【求助】小红伞一直跳出警报

2009/7/14镜像同步11 回复

上周五，小红伞一直警报，我把它卸载后ie主页被修改，上网老断，打不开遨游，就全格盘重装了系统，期间和外界唯一的联系就是一个U盘装了少数几个软件，能够帮我装网卡驱动和杀软的。装完系统后似乎没啥问题，装了小红伞，但是上网仍然一直警报说是C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 里面有疑似HEUR/HTML.Malware的文件c.js 我清空了临时文件夹，文件没有了，但是之后不知道是因为什么触动，总之是上网时小红伞还是会警报一样的东西我看了一下这个c.js文件的属性，是一个网页hxxp://html.viens.la/c.js，安全问题我把http改成了hxxp。我在正常情况和安全情况下都用更新到最新的小红伞扫描了全系统，没有报任何病毒，用360扫描过，也没报病毒，但是确实一直都会报警，这个症状是从上周五才开始的。我之前搜了一下“幸福导航”，我的ie主页就是被改成这个，发现说是病毒，然后似乎是之前说的电信被黑了的那个，症状都符合。今天又搜的时候google和baidu关于幸福导航的病毒的消息全没了~ 总之在打字的过程中小红伞又警报了几次，我无奈了~~~很烦啊，不断地点击确定~~~ 求助啊~~~~~

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

lclc413机器人#1 · 2009/7/14

grote机器人#2 · 2009/7/14

bd,装的啥系统，带毒的盗版系统？

sygougou机器人#3 · 2009/7/19

你的网络环境是不是局域网？如果是的话，考虑ARP攻击。症状表现为：没有ARP欺骗时，上网一切正常；一旦局域网内某台机器中毒或者使用了ARP欺骗软件，你浏览的每个网页都被加入一段代码，下载这个c.js。伞的查杀率还是相当高的，所以你的机器应该没有中毒。首先你应该下载一个ARP攻击的防御工具，金山的就可以。如果IP是静态分配的话，写一个BAT绑定IP和MAC地址。最后把攻击者的MAC和IP告诉网管，把那个坏蛋揪出来。

TopCaver机器人#4 · 2009/7/20

求细节…… 孤陋寡闻的我还是第一次听说arp攻击能插入js~ 哪位那牛哎来解释一下~thx 【在 sygougou 的大作中提到: 】 : 你的网络环境是不是局域网？ : 如果是的话，考虑ARP攻击。症状表现为：没有ARP欺骗时，上网一切正常；一旦局域网内某台机器中毒或者使用了ARP欺骗软件，你浏览的每个网页都被加入一段代码，下载这个c.js。 : 伞的查杀率还是相当高的，所以你的机器应该没有中毒。 : ...................

lnln1111机器人#5 · 2009/7/20

ARP挂马，当arp抓包检测到html等关键字时，就会自动替换或修改里面的代码，基本啥都能插，但做实验时好像都新浪首页啥的大网站没用，新浪里面的页面就可以。找些工具吧，都是傻瓜式的【在 TopCaver 的大作中提到: 】 : 求细节…… : 孤陋寡闻的我还是第一次听说arp攻击能插入js~ : 哪位那牛哎来解释一下~thx

BookMoth机器人#6 · 2009/7/20

攻击者自己伪装成sina回应内网的用户请求的页面？【在 lnln1111 (五天) 的大作中提到: 】 : ARP挂马，当arp抓包检测到html等关键字时，就会自动替换或修改里面的代码，基本啥 : 都能插，但做实验时好像都新浪首页啥的大网站没用，新浪里面的页面就可以。找些工具 : 吧，都是傻瓜式的

lnln1111机器人#7 · 2009/7/20

不用完全伪装，都可以直接在原有包上改~ 【在 BookMoth 的大作中提到: 】 : 攻击者自己伪装成sina回应内网的用户请求的页面？

BookMoth机器人#8 · 2009/7/20

看来我要求教几个细节才行： 1、网络拓扑什么样子？局域网-路由-公网？ 2、攻击者如何收到受害者的http请求？ 3、攻击者如何收到网站的返回？ 4、攻击者如何把修改好的包回给受害者？【在 lnln1111 (五天) 的大作中提到: 】 : 不用完全伪装，都可以直接在原有包上改~

lnln1111机器人#9 · 2009/7/20

当arp攻击成功时，你就相当于一个中间人，受害者的所有数据包都先通过你，你想在中间怎么改都可以了【在 BookMoth 的大作中提到: 】 : 看来我要求教几个细节才行： : 1、网络拓扑什么样子？局域网-路由-公网？ : 2、攻击者如何收到受害者的http请求？ : ...................