[求助]常在网上飘，哪能不挨刀。IE中了一飞刀！ 飞刀, 求助

沉沉暮霭

打开浏览器时、刷新时、开新页面时，时不时会在浏览器下部出现滚动广告，其他调用IE内核的程序也有出现，如图：

用NOD32（1.1533）、ewido3.5（#1859）扫描没任何发现，HijackThis1.99.1扫描也未发现可疑项。

打电话询问电信ADSL客服，对方声称对此事不负责。

今天晚上开机首次出现状况，回忆昨天的操作，只是在腾讯官方下载了QQ2006Beta2全新安装，上珊瑚虫临时论坛下载了4.5B6增强包（soff提供的地址，没下分流的）。再早一点，就是在http://51ct.cn/downinfo/1256.html下了个毛笔字模拟器玩了一会。

究竟怎么中的飞刀呀？求助高手深入调查，解疑释惑！对A君、无边等等特别殷切期望！

欢迎出主意灌水混分，诸如重装系统、Gosht、杀毒杀马软件推荐等。

亡灵法师

给出系统启动程序清单和当前系统进程清单啊。

waschineran

同情啊
现在的流氓软件真是越来越多
下个修复工具吧

Aycox

试一下（无序）：
1，检查 IE 扩展模块（BHO），看是否有可疑模块会被加载，HijackThis 等工具可以查看，IE 选项和注册表中也可。
2，用 ProcessExplorer 查看浏览器进程（或系统其它核心进程）的所有加载的模块，找到非系统模块并具体判断是否有可疑的。
3，检查 Host，可打开 ...system32\drivers\etc\ 下的 host（无扩展名）文件查看，并重要的是检查 ...system32\ 下是否有类似文件存在，比如类似 host.dat 这样的。
4，可同时尝试不同的杀毒软件，国内的木马查杀工具，以及类似 Guardio 那样的 IE 修复软件进行。
5，一种未试过的想法：找一款文本查找工具（可查任意文件的那种，如 UE）在系统盘查找广告地址中的关键词，看有否收获，也可在注册表中进行。
6，沉沉中的是小李飞刀，偶等不入牛水平看不到摸不着档不住只剩胡说^_^

Stefanie

虽然不像，还是说说吧

不是有个情况是 ISP加的广告么？
在某个回帖里茶杯说是不可能过滤的...
什么底层 数据 什么的...（不懂...）

沉沉暮霭

呵呵`我来混水，用兔子的IE修复专家，我觉得它比较好用！不过我也知道沉沉不会用！哈哈

关键是，我得先知道我要修复的是什么东东，找不到啊。

不是有个情况是 ISP加的广告么？

我最早来这里就是因为ISP搞的UU网摘的广告问题，所以这次我再次致电电信客服，再次威胁要用弹弓崩他们局长家玻璃！但这次他们声泪俱下、赌咒发誓不关他们的事，要我明察。

给出系统启动程序清单和当前系统进程清单啊。

————————————————————————————————————————————————————
Logfile of HijackThis v1.99.1
Scan saved at 1:46:42, on 2006-5-13
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
d:\program files\rising\rfw\RfwMain.exe
D:\Program Files\Eset\nod32kui.exe
C:\WINNT\system32\internat.exe
D:\TheWorld\TheWorld.exe
C:\WINNT\system32\conime.exe
D:\HB_HijackThis1991zww\HijackThis.exe

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "d:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - d:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe

——————————————————————————————————————————————————————

沉沉暮霭

原帖由 Aycox 于 2006-5-13 12:25 AM 发表
试一下（无序）：
1，检查 IE 扩展模块（BHO），看是否有可疑模块会被加载，HijackThis 等工具可以查看，IE 选项和注册表中也可。
2，用 ProcessExplorer 查看浏览器进程（或系统其它核心进程）的所有加载的模块 ...

扩展模块就一个，应该是网际快车的。

Host也看了的，跟原装的一样。

其他的建议现在就试~~~~~

lesterwang

汗一下楼上的，，。。。。

亡灵法师

HKLM\System\CS1\Services\Tcpip\..\{06EA5862-F9BA-4A44-B147-62099DF07F6B}: NameServer = 202.98.198.168 202.98.192.68
这是什么东西？？

以前有人中过这个。

constantine

Ewido都示搞定啊!!!!~~~
那还真可怕,本来想推荐Spybot的,不过似乎Spybot的功能也有限.