发作症状
随机出现.打开一个网页一直刷新.直到网页死机关闭.
下面的样本是在网页死机关闭前查看的源文件
本机装了冰点还原.瑞星杀毒.防火墙.卡助手.都没有查出异常

样本一

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://kefu.xoyo.com/gonggao/jxsj/2009-06-15/661817.shtml";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>


样本二

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://www.sina.com.cn/";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>


样本三

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://news.xinhuanet.com/world/2009-06/15/content_11544755.htm";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

你修复下IE试试...

什么叫：“随机出现.打开一个网页一直刷新.直到网页死机关闭.”？？？？

打开的网页是固定的？？？还是不固定的？？？

打开的网页是固定的.就是同一个网页也是有时出现打开一个网页一直刷新.直到网页死机关闭.有时是正常的. 也不是一直纯粹的刷新他好像是一下打开[url=http://61.183.0.79/]http://61.183.0.79/[/url].....后面看不清
                                                            一下打开http://kefu.xoyo.com/gonggao/jxsj/2009-06-15/661817.shtml
就是样本里面那二个网址跳来跳去的样子

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

日志文件SREngLOG09616.log发上来了

天月谢谢你了啊.
我那个冰点还原是开机还原的.现在的毒真是厉害

汗

日志没看出什么，实在不知道什么原因了

API HOOK
入口点错误：NtCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003C56D5)
入口点错误：NtCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003C5875)
入口点错误：NtLoadDriver (危险等级: 高,  被下面模块所HOOK: 0x003C5FC5)
入口点错误：NtSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003C5945)
入口点错误：NtWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003C57A5)
入口点错误：ZwCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003C56D5)
入口点错误：ZwCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003C5875)
入口点错误：ZwSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003C5945)
入口点错误：ZwWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003C57A5)
入口点错误：CreateServiceA (危险等级: 高,  被下面模块所HOOK: 0x003C5C85)
入口点错误：CreateServiceW (危险等级: 高,  被下面模块所HOOK: 0x003C5D55)
入口点错误：LoadLibraryA (危险等级: 高,  被下面模块所HOOK: 0x003C6985)
入口点错误：LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: 0x003C556D)
入口点错误：CreateFileW (危险等级: 高,  被下面模块所HOOK: 0x003C64A5)
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x003C68B5)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x003C6715)
知道这是什么回事?是什么病毒的反应?

那SRENG的所有提示和你无关

安全软件都容易导致那个提示出现