Board logo

标题: [求助]常在网上飘,哪能不挨刀。IE中了一飞刀! [打印本页]

作者: 沉沉暮霭    时间: 2006-5-12 22:21     标题: [求助]常在网上飘,哪能不挨刀。IE中了一飞刀!

打开浏览器时、刷新时、开新页面时,时不时会在浏览器下部出现滚动广告,其他调用IE内核的程序也有出现,如图:

用NOD32(1.1533)、ewido3.5(#1859)扫描没任何发现,HijackThis1.99.1扫描也未发现可疑项。

打电话询问电信ADSL客服,对方声称对此事不负责。

今天晚上开机首次出现状况,回忆昨天的操作,只是在腾讯官方下载了QQ2006Beta2全新安装,上珊瑚虫临时论坛下载了4.5B6增强包(soff提供的地址,没下分流的)。再早一点,就是在http://51ct.cn/downinfo/1256.html下了个毛笔字模拟器玩了一会。

究竟怎么中的飞刀呀?求助高手深入调查,解疑释惑!对A君、无边等等特别殷切期望!

欢迎出主意灌水混分,诸如重装系统、Gosht、杀毒杀马软件推荐等。


作者: qwe15550    时间: 2006-5-12 22:59

提示: 作者被禁止或删除 内容自动屏蔽
作者: 亡灵法师    时间: 2006-5-12 23:08

给出系统启动程序清单和当前系统进程清单啊。
作者: waschineran    时间: 2006-5-12 23:36

同情啊
现在的流氓软件真是越来越多
下个修复工具吧
作者: Aycox    时间: 2006-5-13 00:25

试一下(无序):
1,检查 IE 扩展模块(BHO),看是否有可疑模块会被加载,HijackThis 等工具可以查看,IE 选项和注册表中也可。
2,用 ProcessExplorer 查看浏览器进程(或系统其它核心进程)的所有加载的模块,找到非系统模块并具体判断是否有可疑的。
3,检查 Host,可打开 ...system32\drivers\etc\ 下的 host(无扩展名)文件查看,并重要的是检查 ...system32\ 下是否有类似文件存在,比如类似 host.dat 这样的。
4,可同时尝试不同的杀毒软件,国内的木马查杀工具,以及类似 Guardio 那样的 IE 修复软件进行。
5,一种未试过的想法:找一款文本查找工具(可查任意文件的那种,如 UE)在系统盘查找广告地址中的关键词,看有否收获,也可在注册表中进行。
6,沉沉中的是小李飞刀,偶等不入牛水平看不到摸不着档不住只剩胡说^_^
作者: Stefanie    时间: 2006-5-13 01:08

虽然不像,还是说说吧

不是有个情况是 ISP加的广告么?
在某个回帖里茶杯说是不可能过滤的...
什么底层 数据 什么的...(不懂...)
作者: 沉沉暮霭    时间: 2006-5-13 02:04

呵呵`我来混水,用兔子的IE修复专家,我觉得它比较好用!不过我也知道沉沉不会用!哈哈

关键是,我得先知道我要修复的是什么东东,找不到啊。

不是有个情况是 ISP加的广告么?

我最早来这里就是因为ISP搞的UU网摘的广告问题,所以这次我再次致电电信客服,再次威胁要用弹弓崩他们局长家玻璃!但这次他们声泪俱下、赌咒发誓不关他们的事,要我明察。

给出系统启动程序清单和当前系统进程清单啊。

————————————————————————————————————————————————————
Logfile of HijackThis v1.99.1
Scan saved at 1:46:42, on 2006-5-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
d:\program files\rising\rfw\RfwMain.exe
D:\Program Files\Eset\nod32kui.exe
C:\WINNT\system32\internat.exe
D:\TheWorld\TheWorld.exe
C:\WINNT\system32\conime.exe
D:\HB_HijackThis1991zww\HijackThis.exe

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "d:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - d:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe

——————————————————————————————————————————————————————
作者: 沉沉暮霭    时间: 2006-5-13 02:09

原帖由 Aycox 于 2006-5-13 12:25 AM 发表
试一下(无序):
1,检查 IE 扩展模块(BHO),看是否有可疑模块会被加载,HijackThis 等工具可以查看,IE 选项和注册表中也可。
2,用 ProcessExplorer 查看浏览器进程(或系统其它核心进程)的所有加载的模块 ...


扩展模块就一个,应该是网际快车的。

Host也看了的,跟原装的一样。

其他的建议现在就试~~~~~
作者: 清风皓月苔茵展    时间: 2006-5-13 09:49

提示: 作者被禁止或删除 内容自动屏蔽
作者: lesterwang    时间: 2006-5-13 17:50

汗一下楼上的,,。。。。
作者: 亡灵法师    时间: 2006-5-13 18:55

HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
这是什么东西??

以前有人中过这个。
作者: constantine    时间: 2006-5-13 18:59

Ewido都示搞定啊!!!!~~~
那还真可怕,本来想推荐Spybot的,不过似乎Spybot的功能也有限.
作者: justone    时间: 2006-5-13 21:40

现在的流氓软件真是越来越多
作者: starsoft    时间: 2006-5-13 21:40

原帖由 亡灵法师 于 2006-5-13 06:55 PM 发表
HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
这是什么东西??

以前有人中过这个。



名称上看应该是DNS吧
作者: Aycox    时间: 2006-5-13 22:50

好像从楼主的列表中看不出什么端倪,202.98.192.68 是电信的 DNS,可能真的要准备死后重生或准备弹弓了^_^。
作者: 沉沉暮霭    时间: 2006-5-13 23:06

基本上确定又是DNS服务器的问题,完美解决的办法只有一个,远离贵州电信ADSL,换一个ISP。

把61.138.197.220扔进了防火墙黑名单,世界是清静了,不过有时候打开页面会出现空白页,必须刷新一下的诟病也来了。

面对电信客服的信誓旦旦,不禁想起凯歌的名言:“人不能无耻到这个地步”,在此沉沉暮霭也把这句话送给贵州电信
作者: qwe15550    时间: 2006-5-13 23:17

提示: 作者被禁止或删除 内容自动屏蔽
作者: 沉沉暮霭    时间: 2006-5-13 23:31

原帖由 qwe15550 于 2006-5-13 11:17 PM 发表
我是成都的ADSL``还是一样有时候要弹雪花啤酒的广告!一样 `你们那里交多少钱啊!
我们这里是120和98``


120/2M , 99/1M , 按月交。

按年交还要少。
作者: qwe1234    时间: 2006-5-14 01:49

楼主的标题好押韵.....
我是进来学习的
作者: qwe15550    时间: 2006-5-14 02:20

提示: 作者被禁止或删除 内容自动屏蔽
作者: zlowly    时间: 2006-5-14 02:25

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
这一项虽然我在我的服务里也看到有,但这个服务是手动,而且不在hijackthis里显示出来的。不知道是环境不同还是有点问题。
hijackthis好像对Rootkit方式的木马无能为力,试试看用icesword吧。
作者: 31668023    时间: 2006-5-14 04:34

LZ真是有意思,没事情发水帖么?

明明自己都说了,重装、GHOST、杀毒~还需要讨论么?

如果你想了解更多,那偶建议LZ去学程序~~最简单的学下E语言吧~~那个可以做木马D~~当然做个流氓小软件也是够用D~~或者苦读三四年把C学了~~

本来是8想回了~不过LZ的帖子已经明说了,大家灌水混分么~~不发表点敢言也对不起你是不。

好了,水差不多了~~就此潜水。
作者: rock269    时间: 2006-5-14 07:59

从hijackthis的报告看,系统没多加什么进程啊..............要杀这东东你可以试试icesword,当然最快捷的方法是装个牛牛ad muncher,占用内存不多,对付楼主这种广告效果还是蛮明显的!
作者: 沉沉暮霭    时间: 2006-5-14 19:14

原帖由 zlowly 于 2006-5-14 02:25 AM 发表
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
这一项虽然我在我的服务里也看到有,但这个服务是手动,而且不在hijackthis ...


这个服务在我挂了双硬盘以后,系统就自动开启了,我也不敢关,怕盘符出错。

原帖由 31668023 于 2006-5-14 04:34 AM 发表
LZ真是有意思,没事情发水帖么?

明明自己都说了,重装、GHOST、杀毒~还需要讨论么?

如果你想了解更多,那偶建议LZ去学程序~~最简单的学下E语言吧~~那个可以做木马D~~当然做个流氓小软件也是够用D~~或者苦 ...


我没学过计算机语言,不过现在看来,这个广告别说重装、GHOST、杀毒,就是把电脑主机砸了,买个新电脑一样都会有的,至于为什么我前面的回帖已经说明了。
作者: qwe15550    时间: 2006-5-14 19:49

提示: 作者被禁止或删除 内容自动屏蔽
作者: yanjing    时间: 2006-6-3 22:41

其实最重要的还是要做好防护工作。。我用的防火墙是LSN,防毒专用NOD32,杀毒专用卡巴2006,再配个杀木马的ewido anti-malware,平时开着NOD32和LSN防护便可,有人说不要防火墙??那兄弟你要小心哈,就算是个菜鸟。。在网上看看教程,就能从没有防火墙的后门入侵你滴电脑,在别人面前什么隐私都没了~~
    由于NOD32防护比卡巴2006强,况且用NOD32内存消耗相当小。。。所以当仁不让滴承担起平常网页、数据包防毒~
    LSN虽然不是最好的但对于我们普通玩家绝对够用了~一般的黑客破解不了,真正滴高手不屑破解一台没什么价值的个人电脑~而且内存消耗才3M哈。。。。赞美神~
    至于卡巴2006。。。大家都明白哈。。最NB的杀毒软件,杀到你脚软哈~
    ewido anti-malware的功能木马,病毒都杀滴,不过木马专杀是他滴专长,什么木马杀客啊,木马克星,在他面前就是个小P孩~!
      下载东西以后~~NOD32、卡巴2006 、ewido anti-malware   3个轮流杀一遍。。。99%9999的病毒都被你逼死了~~HOHO~!~!
作者: Stefanie    时间: 2006-6-3 22:50

寒一个楼上的...
作者: 露水灵珠    时间: 2006-6-7 11:46

原帖由 沉沉暮霭 于 2006-5-13 23:31 发表


120/2M , 99/1M , 按月交。

按年交还要少。


比我这里便宜好多啊。羡慕

我这里是  150/2M   130/1M
作者: 山水人天    时间: 2006-6-7 13:46

重生吧 估计没别的办法了  人家微软都说了,中了毒要重装
作者: twelve    时间: 2006-6-10 19:17

原帖由 qwe1234 于 2006-5-14 01:49 发表
楼主的标题好押韵.....
我是进来学习的


我有看,超喜欢
我平常上网的时候,江民的监控中心开的蛮多,所以至今没中过飞刀
实在不行,那就ghost恢复备份,
作者: terryk    时间: 2006-6-10 23:32

问题这是ISP的问题, 我们再怎么在自己的机上抵抗都是无效的...
这种流氓真tm厉害
作者: qiuyi    时间: 2006-6-11 14:19

这种情况常有,就是一些恶意IE插件,为了经济利益,一些软件强制在客户系统中安装上。禁用或卸载它的插件即可。
作者: 清风皓月苔茵展    时间: 2006-6-11 20:18

提示: 作者被禁止或删除 内容自动屏蔽




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/) Powered by Discuz! 7.2