世界之窗论坛 - Powered by Discuz! Board

标题: [求助]常在网上飘，哪能不挨刀。IE中了一飞刀！ [打印本页]

作者: 沉沉暮霭 时间: 2006-5-12 22:21 标题: [求助]常在网上飘，哪能不挨刀。IE中了一飞刀！

打开浏览器时、刷新时、开新页面时，时不时会在浏览器下部出现滚动广告，其他调用IE内核的程序也有出现，如图：

用NOD32（1.1533）、ewido3.5（#1859）扫描没任何发现，HijackThis1.99.1扫描也未发现可疑项。

打电话询问电信ADSL客服，对方声称对此事不负责。

今天晚上开机首次出现状况，回忆昨天的操作，只是在腾讯官方下载了QQ2006Beta2全新安装，上珊瑚虫临时论坛下载了4.5B6增强包（soff提供的地址，没下分流的）。再早一点，就是在http://51ct.cn/downinfo/1256.html下了个毛笔字模拟器玩了一会。

究竟怎么中的飞刀呀？求助高手深入调查，解疑释惑！对A君、无边等等特别殷切期望！

欢迎出主意灌水混分，诸如重装系统、Gosht、杀毒杀马软件推荐等。

作者: qwe15550 时间: 2006-5-12 22:59

提示: 作者被禁止或删除内容自动屏蔽

作者: 亡灵法师 时间: 2006-5-12 23:08

给出系统启动程序清单和当前系统进程清单啊。

作者: waschineran 时间: 2006-5-12 23:36

同情啊
现在的流氓软件真是越来越多
下个修复工具吧

作者: Aycox 时间: 2006-5-13 00:25

试一下（无序）：
1，检查 IE 扩展模块（BHO），看是否有可疑模块会被加载，HijackThis 等工具可以查看，IE 选项和注册表中也可。
2，用 ProcessExplorer 查看浏览器进程（或系统其它核心进程）的所有加载的模块，找到非系统模块并具体判断是否有可疑的。
3，检查 Host，可打开 ...system32\drivers\etc\ 下的 host（无扩展名）文件查看，并重要的是检查 ...system32\ 下是否有类似文件存在，比如类似 host.dat 这样的。
4，可同时尝试不同的杀毒软件，国内的木马查杀工具，以及类似 Guardio 那样的 IE 修复软件进行。
5，一种未试过的想法：找一款文本查找工具（可查任意文件的那种，如 UE）在系统盘查找广告地址中的关键词，看有否收获，也可在注册表中进行。
6，沉沉中的是小李飞刀，偶等不入牛水平看不到摸不着档不住只剩胡说^_^

作者: Stefanie 时间: 2006-5-13 01:08

虽然不像，还是说说吧

不是有个情况是 ISP加的广告么？
在某个回帖里茶杯说是不可能过滤的...
什么底层数据什么的...（不懂...）

作者: 沉沉暮霭 时间: 2006-5-13 02:04

呵呵`我来混水，用兔子的IE修复专家，我觉得它比较好用！不过我也知道沉沉不会用！哈哈

关键是，我得先知道我要修复的是什么东东，找不到啊。

不是有个情况是 ISP加的广告么？

我最早来这里就是因为ISP搞的UU网摘的广告问题，所以这次我再次致电电信客服，再次威胁要用弹弓崩他们局长家玻璃！但这次他们声泪俱下、赌咒发誓不关他们的事，要我明察。

给出系统启动程序清单和当前系统进程清单啊。

————————————————————————————————————————————————————
Logfile of HijackThis v1.99.1
Scan saved at 1:46:42, on 2006-5-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
d:\program files\rising\rfw\RfwMain.exe
D:\Program Files\Eset\nod32kui.exe
C:\WINNT\system32\internat.exe
D:\TheWorld\TheWorld.exe
C:\WINNT\system32\conime.exe
D:\HB_HijackThis1991zww\HijackThis.exe

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "d:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe

——————————————————————————————————————————————————————

作者: 沉沉暮霭 时间: 2006-5-13 02:09

原帖由 Aycox 于 2006-5-13 12:25 AM 发表
试一下（无序）：
1，检查 IE 扩展模块（BHO），看是否有可疑模块会被加载，HijackThis 等工具可以查看，IE 选项和注册表中也可。
2，用 ProcessExplorer 查看浏览器进程（或系统其它核心进程）的所有加载的模块 ...

扩展模块就一个，应该是网际快车的。

Host也看了的，跟原装的一样。

其他的建议现在就试~~~~~

作者: 清风皓月苔茵展 时间: 2006-5-13 09:49

提示: 作者被禁止或删除内容自动屏蔽

作者: lesterwang 时间: 2006-5-13 17:50

汗一下楼上的，，。。。。

作者: 亡灵法师 时间: 2006-5-13 18:55

HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
这是什么东西？？

以前有人中过这个。

作者: constantine 时间: 2006-5-13 18:59

Ewido都示搞定啊!!!!~~~
那还真可怕,本来想推荐Spybot的,不过似乎Spybot的功能也有限.

作者: justone 时间: 2006-5-13 21:40

现在的流氓软件真是越来越多

作者: starsoft 时间: 2006-5-13 21:40

原帖由 亡灵法师 于 2006-5-13 06:55 PM 发表
HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
这是什么东西？？

以前有人中过这个。

名称上看应该是DNS吧

作者: Aycox 时间: 2006-5-13 22:50

好像从楼主的列表中看不出什么端倪，202.98.192.68 是电信的 DNS，可能真的要准备死后重生或准备弹弓了^_^。

作者: 沉沉暮霭 时间: 2006-5-13 23:06

基本上确定又是DNS服务器的问题，完美解决的办法只有一个，远离贵州电信ADSL，换一个ISP。

把61.138.197.220扔进了防火墙黑名单，世界是清静了，不过有时候打开页面会出现空白页，必须刷新一下的诟病也来了。

面对电信客服的信誓旦旦，不禁想起凯歌的名言：“人不能无耻到这个地步”，在此沉沉暮霭也把这句话送给贵州电信。

作者: qwe15550 时间: 2006-5-13 23:17

提示: 作者被禁止或删除内容自动屏蔽

作者: 沉沉暮霭 时间: 2006-5-13 23:31

原帖由 qwe15550 于 2006-5-13 11:17 PM 发表
我是成都的ADSL``还是一样有时候要弹雪花啤酒的广告！一样 `你们那里交多少钱啊！
我们这里是120和98``

120/2M ， 99/1M ，按月交。

按年交还要少。

作者: qwe1234 时间: 2006-5-14 01:49

楼主的标题好押韵.....
我是进来学习的

作者: qwe15550 时间: 2006-5-14 02:20

提示: 作者被禁止或删除内容自动屏蔽

作者: zlowly 时间: 2006-5-14 02:25

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
这一项虽然我在我的服务里也看到有，但这个服务是手动，而且不在hijackthis里显示出来的。不知道是环境不同还是有点问题。
hijackthis好像对Rootkit方式的木马无能为力，试试看用icesword吧。

作者: 31668023 时间: 2006-5-14 04:34

LZ真是有意思，没事情发水帖么？

明明自己都说了，重装、GHOST、杀毒~还需要讨论么？

如果你想了解更多，那偶建议LZ去学程序~~最简单的学下E语言吧~~那个可以做木马D~~当然做个流氓小软件也是够用D~~或者苦读三四年把C学了~~

本来是8想回了~不过LZ的帖子已经明说了，大家灌水混分么~~不发表点敢言也对不起你是不。

好了，水差不多了~~就此潜水。

作者: rock269 时间: 2006-5-14 07:59

从hijackthis的报告看，系统没多加什么进程啊..............要杀这东东你可以试试icesword，当然最快捷的方法是装个牛牛ad muncher，占用内存不多，对付楼主这种广告效果还是蛮明显的！

作者: 沉沉暮霭 时间: 2006-5-14 19:14

原帖由 zlowly 于 2006-5-14 02:25 AM 发表
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
这一项虽然我在我的服务里也看到有，但这个服务是手动，而且不在hijackthis ...

这个服务在我挂了双硬盘以后，系统就自动开启了，我也不敢关，怕盘符出错。

原帖由 31668023 于 2006-5-14 04:34 AM 发表
LZ真是有意思，没事情发水帖么？

明明自己都说了，重装、GHOST、杀毒~还需要讨论么？

如果你想了解更多，那偶建议LZ去学程序~~最简单的学下E语言吧~~那个可以做木马D~~当然做个流氓小软件也是够用D~~或者苦 ...

我没学过计算机语言，不过现在看来，这个广告别说重装、GHOST、杀毒，就是把电脑主机砸了，买个新电脑一样都会有的，至于为什么我前面的回帖已经说明了。

作者: qwe15550 时间: 2006-5-14 19:49

提示: 作者被禁止或删除内容自动屏蔽

作者: yanjing 时间: 2006-6-3 22:41

其实最重要的还是要做好防护工作。。我用的防火墙是LSN，防毒专用NOD32，杀毒专用卡巴2006，再配个杀木马的ewido anti-malware，平时开着NOD32和LSN防护便可，有人说不要防火墙？？那兄弟你要小心哈，就算是个菜鸟。。在网上看看教程，就能从没有防火墙的后门入侵你滴电脑，在别人面前什么隐私都没了～～
由于NOD32防护比卡巴2006强，况且用NOD32内存消耗相当小。。。所以当仁不让滴承担起平常网页、数据包防毒～
LSN虽然不是最好的但对于我们普通玩家绝对够用了～一般的黑客破解不了，真正滴高手不屑破解一台没什么价值的个人电脑～而且内存消耗才3M哈。。。。赞美神～
至于卡巴2006。。。大家都明白哈。。最NB的杀毒软件，杀到你脚软哈～
ewido anti-malware的功能木马，病毒都杀滴，不过木马专杀是他滴专长，什么木马杀客啊，木马克星，在他面前就是个小P孩～！
下载东西以后～～NOD32、卡巴2006 、ewido anti-malware 3个轮流杀一遍。。。99％9999的病毒都被你逼死了～～HOHO～！～！

作者: Stefanie 时间: 2006-6-3 22:50

寒一个楼上的...

作者: 露水灵珠 时间: 2006-6-7 11:46

原帖由 沉沉暮霭 于 2006-5-13 23:31 发表

120/2M ， 99/1M ，按月交。

按年交还要少。

比我这里便宜好多啊。羡慕

我这里是 150/2M 130/1M

作者: 山水人天 时间: 2006-6-7 13:46

重生吧估计没别的办法了人家微软都说了，中了毒要重装

作者: twelve 时间: 2006-6-10 19:17

原帖由 qwe1234 于 2006-5-14 01:49 发表
楼主的标题好押韵.....
我是进来学习的

我有看，超喜欢
我平常上网的时候，江民的监控中心开的蛮多，所以至今没中过飞刀

实在不行，那就ghost恢复备份，

作者: terryk 时间: 2006-6-10 23:32

问题这是ISP的问题，我们再怎么在自己的机上抵抗都是无效的...
这种流氓真tm厉害

作者: qiuyi 时间: 2006-6-11 14:19

这种情况常有，就是一些恶意IE插件，为了经济利益，一些软件强制在客户系统中安装上。禁用或卸载它的插件即可。

作者: 清风皓月苔茵展 时间: 2006-6-11 20:18

提示: 作者被禁止或删除内容自动屏蔽

欢迎光临世界之窗论坛 (http://bbs.theworld.cn/)