瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 打开任何网页都会出现Suspicious.ShellCode.Exploit这个病毒的拦截提示,该如何解决?

1   1  /  1  页   跳转

[求助] 打开任何网页都会出现Suspicious.ShellCode.Exploit这个病毒的拦截提示,该如何解决?

打开任何网页都会出现Suspicious.ShellCode.Exploit这个病毒的拦截提示,该如何解决?

访问地址:http://www.duohaochi.com/ni/bff.htm
访问网页的进程:"C:\Program Files\Internet Explorer\iexplore.exe"
病毒名称:Suspicious.ShellCode.Exploit
病毒来源:http://www.duohaochi.com/cao/b.css

这就是瑞星提示框显示的内容,我打开任何网页都会弹出来,包括现在这个论坛。
以前也有过类似的提示,只是它提示的病毒来源不一样而已。
用最新病毒库的瑞星全盘杀毒没有任何反应。
系统漏洞和补丁我都打过了,所有软件也都升级到最新的稳定版。系统垃圾文件全部都清理了。
可它还总是这么弹出来,很烦啊!
并且我还注意到一个地方,无论打开任何网页,总会提示我,该网页需要安装Sina TV插件。我之前是安装过这个插件,并且是很久之前的事情了。想在控制面板里卸掉这个插件,可提示说找不到安装文件。我只好把这个sina的文件夹全部删除,但是没有任何帮助。

各位大侠,各位高手,各位版主,请帮忙解决下这个问题啊!

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
分享到:
gototop
 

回复:打开任何网页都会出现Suspicious.ShellCode.Exploit这个病毒的拦截提示,该如...

打开任何网页即报病毒,其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时,浏览器将会把这种畸形ANI文件下载到本机临时文件夹中,并依照网页脚本执行,将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上,当打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,瑞星监控将报警,提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出,一般处理结果为“清除成功”,而如果该文件在被浏览器调用过程中被发现,瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况,此畸形ANI文件都将不起作用,也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言,处理方法非常简单:关闭浏览器,然后清空IE临时文件夹,升级杀毒。
但是,如果浏览任何网页都会出现此报毒提示,那么就有arp病毒攻击欺骗的情况,某些病毒利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候,均会出现脚本病毒或网页木马的报警。、针对这种情况,建议先把补丁打上,其次核实如果是自己的电脑中了毒,应及时清空IE临时目录,升级杀毒;如果是别人的电脑中毒后攻击自己,则下载第三方抓包工具(如sniffer或者antiarp),查找病毒源,找到毒源后,扫SRENG日志后,将扫描结果以附件形式发这论坛来
下载SRENG2.6版工具:http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx


ARP病毒预防的方法,请参见:
http://bbs.ikaka.com/showtopic-8367063.aspx
http://bbs.ikaka.com/showtopic-8514154.aspx

“打开任何网页即报病毒,其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,一般由被挂马的网页的相关恶意代码下载。”
说的欠妥  这就是局域网的arp欺骗攻击 至于漏洞 不一定利用的是MS07-017 。这样的问题 就是 局域网的arp欺骗攻击导致

请按照黑体描述解决该问题 
最后编辑newcenturymoon 最后编辑于 2009-05-11 11:25:05
╭∩╮(︶︿︶)╭∩╮
gototop
 

回复:打开任何网页都会出现Suspicious.ShellCode.Exploit这个病毒的拦截提示,该如...

明白了!!
gototop
 

回复 1F vampire_voidike 的帖子

请问下是不是局域网环境?
是的话安装ARP防火墙找出病毒源机子,将其断网杀毒。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT