发作症状
随机出现.打开一个网页一直刷新.直到网页死机关闭.
下面的样本是在网页死机关闭前查看的源文件
本机装了冰点还原.瑞星杀毒.防火墙.卡助手.都没有查出异常

样本一

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://kefu.xoyo.com/gonggao/jxsj/2009-06-15/661817.shtml";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>


样本二

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://www.sina.com.cn/";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>


样本三

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://news.xinhuanet.com/world/2009-06/15/content_11544755.htm";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

打开的网页是固定的.就是同一个网页也是有时出现打开一个网页一直刷新.直到网页死机关闭.有时是正常的. 也不是一直纯粹的刷新他好像是一下打开[url=http://61.183.0.79/]http://61.183.0.79/[/url].....后面看不清
                                                            一下打开http://kefu.xoyo.com/gonggao/jxsj/2009-06-15/661817.shtml
就是样本里面那二个网址跳来跳去的样子

日志文件SREngLOG09616.log发上来了

天月谢谢你了啊.
我那个冰点还原是开机还原的.现在的毒真是厉害

API HOOK
入口点错误：NtCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003C56D5)
入口点错误：NtCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003C5875)
入口点错误：NtLoadDriver (危险等级: 高,  被下面模块所HOOK: 0x003C5FC5)
入口点错误：NtSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003C5945)
入口点错误：NtWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003C57A5)
入口点错误：ZwCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003C56D5)
入口点错误：ZwCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003C5875)
入口点错误：ZwSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003C5945)
入口点错误：ZwWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003C57A5)
入口点错误：CreateServiceA (危险等级: 高,  被下面模块所HOOK: 0x003C5C85)
入口点错误：CreateServiceW (危险等级: 高,  被下面模块所HOOK: 0x003C5D55)
入口点错误：LoadLibraryA (危险等级: 高,  被下面模块所HOOK: 0x003C6985)
入口点错误：LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: 0x003C556D)
入口点错误：CreateFileW (危险等级: 高,  被下面模块所HOOK: 0x003C64A5)
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x003C68B5)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x003C6715)
知道这是什么回事?是什么病毒的反应?

恩知道.我怕是病毒作用的反应

还有一个就是启动项目里面.注册表里面有一个选项.叫AppInit_Dll有问题
帮忙看下谢谢了

不好意思.新手

理论上.冰点还原的开机还原功能在正常工作情况下.硬盘应该是不会被修改吧,就算改了保存不了.开机还原了?是吗?

修复不了.没有要修复的

注册表应该是在系统盘里吧?能不能驻留内存或是主板.引导区什么特殊地方吗?就像开机引导.我的意思就是像瑞星有时更新需要重启.重启还是接着完成后半更新那样子的