八达网

标题: 【菜鸟求助】ie弹出窗口 [打印本页]

---

作者: YangFan    时间: 2008-3-10 23:18
标题: 【菜鸟求助】ie弹出窗口
每次登陆windows ie弹出60.191.62.4的窗口
杭州电信adsl
该找的位置都找了
去不掉

---

作者: mbcgame    时间: 2008-3-10 23:19
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: YangFan    时间: 2008-3-10 23:19

原帖由 mbcgame 于 2008-3-10 23:19 发表
........360safe

not working

---

作者: 文若天成偶得之    时间: 2008-3-10 23:19
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: MeGaTRon    时间: 2008-3-10 23:20
好象弄不掉了 很烦

---

作者: speical    时间: 2008-3-10 23:21
你再给弹回去就像弹JJ一样

---

作者: mbcgame    时间: 2008-3-10 23:21
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: YangFan    时间: 2008-3-10 23:21

原帖由 李风流 于 2008-3-10 23:19 发表
直接在IE里的不信任网站里屏蔽掉这个网站吧

现在的情况是我把它ip给屏蔽了
但是窗口还是会弹
打不开地址而已

---

作者: lewis    时间: 2008-3-10 23:22
客服问问

---

作者: njlaoma    时间: 2008-3-10 23:22
把桌面的 IE删了
重新复制个快捷方式到桌面

---

作者: YangFan    时间: 2008-3-10 23:23

原帖由 mbcgame 于 2008-3-10 23:21 发表
上个图试试？

就弹出电信的广告
360认为没有什么问题
启动项也都查过了

---

作者: MeGaTRon    时间: 2008-3-10 23:23
打客服有个P用 这个是电信自己的广告吧  好象新用户都有

---

作者: njlaoma    时间: 2008-3-10 23:24
电信的广告一般只是登陆第一次会有
后来就不会有的

---

作者: YangFan    时间: 2008-3-10 23:24

原帖由 njlaoma 于 2008-3-10 23:22 发表
把桌面的 IE删了
重新复制个快捷方式到桌面

老兄
桌面那个只是个link啊
恶意代码要调也是调执行文件啊

---

作者: mainframe    时间: 2008-3-10 23:26
应该在启动项里有吧
再看一下服务里有没有
你装星空极速了吗？
实在不行要搞DLL，这个有点困难
一般都找工具的

---

作者: lewis    时间: 2008-3-10 23:26

原帖由 YangFan 于 2008-3-10 23:24 发表

老兄
桌面那个只是个link啊
恶意代码要调也是调执行文件啊

他在各应呢

---

作者: PPLN    时间: 2008-3-10 23:27
用360或者SReng检查一下，应该是什么恶意插件吧。

---

作者: njlaoma    时间: 2008-3-10 23:27

---

作者: YangFan    时间: 2008-3-10 23:27
我记得这个机器xp系统当初没装极速星空的
启动项肯定没有
service里应该也没有啊
操

---

作者: mainframe    时间: 2008-3-10 23:27
虽然跳出来是杭州ADSL的广告
但是地址是广告地址还是恶意地址呢？

---

作者: MeGaTRon    时间: 2008-3-10 23:28

原帖由 PPLN 于 2008-3-10 23:27 发表
用360或者SReng检查一下，应该是什么恶意插件吧。

是电信自己的广告 好象没什么办法 过一段时间自然会没的

---

作者: YangFan    时间: 2008-3-10 23:29
我已经忍了好一阵了
懒得弄它
今天找了半天确实火了

---

作者: PPLN    时间: 2008-3-10 23:30
如果是电信的那个急速星空就没办法了，那个好像装上就卸不掉。

---

作者: MeGaTRon    时间: 2008-3-10 23:31

原帖由 YangFan 于 2008-3-10 23:29 发表
我已经忍了好一阵了
懒得弄它
今天找了半天确实火了

你这就火拉  你等暑假吧 杭州电信还会用特殊的服务给你的

---

作者: YangFan    时间: 2008-3-10 23:33

原帖由 mainframe 于 2008-3-10 23:27 发表
虽然跳出来是杭州ADSL的广告
但是地址是广告地址还是恶意地址呢？

广告啊

---

作者: laserfox    时间: 2008-3-10 23:36
不用找了
那是DNS劫持，你打10000号去跟他说不要给你推送广告就OK了
电信是按照ADSL广告推送列表来推送广告的。。。

---

作者: laserfox    时间: 2008-3-10 23:38
天涯有人的发帖：

今天打10000去投诉了电信adsl宽带关于dns劫持被迫看广告的事情，接电话的是个男的，我就把大概的情况说了一下，没等他解释什么的，我提高了嗓门，就强烈抗议他们践踏我合法权利的事情，要求他们马上取消，如果还有这样的现象，我就用法律途径解决此事，没想到那个男的什么都没解释，态度不错地就说马上替我解决，现在半天了，没有那种现象发生，大家也打电话去抗议啊～～～～貌似有效果！

---

作者: 色彩斑斓    时间: 2008-3-10 23:42
DNS劫持啊,和那个114查询一样,又不是什么新鲜事.

换个DNS就行了

---

作者: YangFan    时间: 2008-3-10 23:47
杭州电信强制弹窗源技术分析报告

技术原理:
使用PHP集成AJAX技术，采集Baidu当日关键字，并应用DNS服务器劫持用户浏览器，弹出Javascript页面并随机跳转至目标广告。
步骤过程分析:
在用户向电信DNS服务器发出访问其他网站的请求时
DNS服务器向用户随机发送形似于 "http://60.191.62.4/statpage/stat_v_统计ID.aspx?param=随机生成的验证码" 的强制访问请求
导致浏览器停止用户请求而预先弹出此窗口

该页面跳转至http://vod571.com/html/114/hotwords.htm
此页面主要代码行分析如下

  
此处调用JS解释,生成的是随机数,用来分配弹窗内容

var HttpRequest;
var Url = "http://vod571.com/html/114/topbaidu.htm";            
根据encode.js生成数,获得保存在服务器上的最新baidu关键字列表
var ServerUrl = "/js/search/keys.aspx?url=";
获得劫持目标URL
var RegexCompet = /target=\"_blank\"> ([\S\s]*?)
var RemoveAllKeys = "17大|十七大";                                
过滤所有与17大,十七大有关的关键字
var Html = "";
var oneKeys = "最新欧美大片";
如果不满足以上条件,则搜索该关键字
(中间省略)
var goUrl = "http://search.114.vnet.cn/search_web.html";
goUrl += "?id=419&bt=s&st=web&kw="+ words +"&imageField.x="+ Rand(25) +"&imageField.y=" + Rand(25);
//window.open (Url, 'newwindow', 'height=400, width=400, top=0,left=0, toolbar=no, menubar=no, scrollbars=no, resizable=no,location=no, status=no') ;
location.href=goUrl;
此处打开一个除了标题栏之外没有其他工具栏的400x400的广告窗口,包含前文提到的广告内容

防御方法:

在%SYSTEMROOT%/system32/drivers/etc/hosts文件中,加入如下文字,可以暂时屏蔽电信的广告显示
但是无法屏蔽弹窗,只会显示404错误,具体有效解决措施暂无

#以下是电信vnet广告
0.0.0.0                     vnet.cn
0.0.0.0                     114.vnet.cn
0.0.0.0                     search.vnet.cn
0.0.0.0                     search.114.vnet.cn
0.0.0.0                     keyword.vnet.cn
0.0.0.0                     welcome1.zj.vnet.cn
0.0.0.0                     vnet.qicha.com
0.0.0.0                     game1.zj.vnet.cn
0.0.0.0                     union.cn7151.cn
0.0.0.0                     vnet2.qicha.com
0.0.0.0                     60.191.124.208
0.0.0.0                     60.191.62.4
0.0.0.0                     60.191.124.252
0.0.0.0                     vod571.com

---

作者: mainframe    时间: 2008-3-10 23:47
发现没搞清楚状况
如果你一开IE就跳的话，那没办法解决
如果你一登录WINDOWS就跳IE窗口，那是要解决的
第二种情况肯定是能找到办法的，耐心找一下

---

作者: YangFan    时间: 2008-3-10 23:47
但是我现在开机不拨号也弹啊

---

作者: laserfox    时间: 2008-3-10 23:48
或者用这个试试：
使用方法非常简单，对于宽带拨号用户来说，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（TCP/IP）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS服务器和备用DNS服务器分别设置为208.67.222.222和208.67.220.220，如下图所示，完成后重新连接上网，就可以摆脱服务商对我们的DNS劫持。

有效是有效，有时候解析域名的速度会稍微慢一点。

你的情况需要用360或者Windows清理助手（推荐）扫描一下系统。

[ 本帖最后由 laserfox 于 2008-3-10 23:50 编辑 ]

---

作者: mainframe    时间: 2008-3-10 23:53

原帖由 YangFan 于 2008-3-10 23:47 发表
但是我现在开机不拨号也弹啊

你的意思是你登录了WINDOWS，什么都不做，然后跳一个IE窗口出来？
那肯定是有问题的。
如果只是你开IE就跳那个广告，那是正常的。
你要解决的话，一般来说，加密你发出的数据包是可以解决的。
但是有必要花这个工夫吗？

---

作者: 色彩斑斓    时间: 2008-3-10 23:55
进系统就弹的话就是中插件了,好好找吧

---

作者: YangFan    时间: 2008-3-10 23:56
我是觉得有点问题啊
360查不出什么情况
优化大师几年前误删过我东西后来没用过

---

作者: YangFan    时间: 2008-3-10 23:57
注册表里都找过了
我都找的累死了
这是hijackthis的log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:05, on 2008-3-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\CMBCHINA\WebProtect\WPService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe
C:\Program Files\Kingsoft\Powerword 2007\xdict.exe
C:\Program Files\360safe\safemon\360Tray.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\360safe\antiarp\antiarp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Tencent\Foxmail\Foxmail.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\360safe\360safe.exe
F:\ffdown\HiJackThis_PConline\HijackThis.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: WebProtect.IEHlpObj - {53763D1D-9CA8-4C7C-9756-A8E6B8FC063B} - C:\Program Files\CMBCHINA\WebProtect\WebProtect.dll
O2 - BHO: Windows Live 登录帮助程序 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [powerword 2007] "C:\Program Files\Kingsoft\Powerword 2007\xdict.exe" -s -nosplash
O4 - HKLM\..\Run: [360Safetray] C:\Program Files\360safe\safemon\360Tray.exe /start
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [360Antiarp] C:\Program Files\360safe\antiarp\antiarp.exe /start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Tencent\Foxmail\Foxmail.exe" -min
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - Extra context menu item: 在Foxmail中添加该RSS频道/频道组 - res://C:\WINDOWS\system32\fmrsslink.dll/201
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换选取内容为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换选取内容到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 转换选定的链接到 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: 转换选定的链接到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: 转换链接目标为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换链接目标到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 追加到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Web反病毒统计 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1156954709578
O16 - DPF: {6DBB2904-082D-4DB0-944A-21C22BA121F4} (CCtInf Class) - http://www.95599.cn/perbank/BankControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{580C1E22-F258-4746-B425-E63B514F8A2C}: NameServer = 202.101.172.35 202.101.172.47
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC3CF2E3-65F9-4C4C-BA06-F69A78525777}: NameServer = 202.101.172.35
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: 卡巴斯基反病毒6.0个人版 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Cmb WebProtect Support (CMBWPS) - China Merchants Bank - C:\Program Files\CMBCHINA\WebProtect\WPService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 8082 bytes

---

作者: YangFan    时间: 2008-3-11 00:22
找了个叫什么黄山ie修复的
广告去掉了
但是也把我启动项里什么卡巴斯基，gmail notify，金山词霸，逻辑鼠标驱动
全干掉了
宁可错杀一千也不放走一个
我真是无语了。。。

---

作者: 色彩斑斓    时间: 2008-3-11 00:30
"黄山ie修复"本身就是带木马的,天空华军下的都带

---

作者: YangFan    时间: 2008-3-11 00:34
这个到不像有木马
只是很烂很不爽
已经删了
还得自己把启动项都添进去

---

欢迎光临 八达网 (https://www.8-da.com/)

Powered by Discuz! X2.5