【菜鸟求助】ie弹出窗口

YangFan

每次登陆windows ie弹出60.191.62.4的窗口
杭州电信adsl
该找的位置都找了
去不掉

YangFan

原帖由 mbcgame 于 2008-3-10 23:19 发表
........360safe

not working

MeGaTRon

好象弄不掉了 很烦

speical

你再给弹回去就像弹JJ一样

YangFan

原帖由 李风流 于 2008-3-10 23:19 发表
直接在IE里的不信任网站里屏蔽掉这个网站吧

现在的情况是我把它ip给屏蔽了
但是窗口还是会弹
打不开地址而已

lewis

客服问问

njlaoma

把桌面的 IE删了
重新复制个快捷方式到桌面

YangFan

原帖由 mbcgame 于 2008-3-10 23:21 发表
上个图试试？

就弹出电信的广告
360认为没有什么问题
启动项也都查过了

MeGaTRon

打客服有个P用 这个是电信自己的广告吧  好象新用户都有

njlaoma

电信的广告一般只是登陆第一次会有
后来就不会有的

YangFan

原帖由 njlaoma 于 2008-3-10 23:22 发表
把桌面的 IE删了
重新复制个快捷方式到桌面

老兄
桌面那个只是个link啊
恶意代码要调也是调执行文件啊

mainframe

应该在启动项里有吧
再看一下服务里有没有
你装星空极速了吗？
实在不行要搞DLL，这个有点困难
一般都找工具的

lewis

原帖由 YangFan 于 2008-3-10 23:24 发表

老兄
桌面那个只是个link啊
恶意代码要调也是调执行文件啊

他在各应呢

PPLN

用360或者SReng检查一下，应该是什么恶意插件吧。

njlaoma

YangFan

我记得这个机器xp系统当初没装极速星空的
启动项肯定没有
service里应该也没有啊
操

mainframe

虽然跳出来是杭州ADSL的广告
但是地址是广告地址还是恶意地址呢？

MeGaTRon

原帖由 PPLN 于 2008-3-10 23:27 发表
用360或者SReng检查一下，应该是什么恶意插件吧。

是电信自己的广告 好象没什么办法 过一段时间自然会没的

YangFan

我已经忍了好一阵了
懒得弄它
今天找了半天确实火了

PPLN

如果是电信的那个急速星空就没办法了，那个好像装上就卸不掉。

MeGaTRon

原帖由 YangFan 于 2008-3-10 23:29 发表
我已经忍了好一阵了
懒得弄它
今天找了半天确实火了

你这就火拉  你等暑假吧 杭州电信还会用特殊的服务给你的

YangFan

原帖由 mainframe 于 2008-3-10 23:27 发表
虽然跳出来是杭州ADSL的广告
但是地址是广告地址还是恶意地址呢？

广告啊

laserfox

不用找了
那是DNS劫持，你打10000号去跟他说不要给你推送广告就OK了
电信是按照ADSL广告推送列表来推送广告的。。。

laserfox

天涯有人的发帖：

今天打10000去投诉了电信adsl宽带关于dns劫持被迫看广告的事情，接电话的是个男的，我就把大概的情况说了一下，没等他解释什么的，我提高了嗓门，就强烈抗议他们践踏我合法权利的事情，要求他们马上取消，如果还有这样的现象，我就用法律途径解决此事，没想到那个男的什么都没解释，态度不错地就说马上替我解决，现在半天了，没有那种现象发生，大家也打电话去抗议啊～～～～貌似有效果！

色彩斑斓

DNS劫持啊,和那个114查询一样,又不是什么新鲜事.

换个DNS就行了

YangFan

杭州电信强制弹窗源技术分析报告

技术原理:
使用PHP集成AJAX技术，采集Baidu当日关键字，并应用DNS服务器劫持用户浏览器，弹出Javascript页面并随机跳转至目标广告。
步骤过程分析:
在用户向电信DNS服务器发出访问其他网站的请求时
DNS服务器向用户随机发送形似于 "http://60.191.62.4/statpage/stat_v_统计ID.aspx?param=随机生成的验证码" 的强制访问请求
导致浏览器停止用户请求而预先弹出此窗口

该页面跳转至http://vod571.com/html/114/hotwords.htm
此页面主要代码行分析如下

  
此处调用JS解释,生成的是随机数,用来分配弹窗内容

var HttpRequest;
var Url = "http://vod571.com/html/114/topbaidu.htm";            
根据encode.js生成数,获得保存在服务器上的最新baidu关键字列表
var ServerUrl = "/js/search/keys.aspx?url=";
获得劫持目标URL
var RegexCompet = /target=\"_blank\"> ([\S\s]*?)
var RemoveAllKeys = "17大|十七大";                                
过滤所有与17大,十七大有关的关键字
var Html = "";
var oneKeys = "最新欧美大片";
如果不满足以上条件,则搜索该关键字
(中间省略)
var goUrl = "http://search.114.vnet.cn/search_web.html";
goUrl += "?id=419&bt=s&st=web&kw="+ words +"&imageField.x="+ Rand(25) +"&imageField.y=" + Rand(25);
//window.open (Url, 'newwindow', 'height=400, width=400, top=0,left=0, toolbar=no, menubar=no, scrollbars=no, resizable=no,location=no, status=no') ;
location.href=goUrl;
此处打开一个除了标题栏之外没有其他工具栏的400x400的广告窗口,包含前文提到的广告内容

防御方法:

在%SYSTEMROOT%/system32/drivers/etc/hosts文件中,加入如下文字,可以暂时屏蔽电信的广告显示
但是无法屏蔽弹窗,只会显示404错误,具体有效解决措施暂无

#以下是电信vnet广告
0.0.0.0                     vnet.cn
0.0.0.0                     114.vnet.cn
0.0.0.0                     search.vnet.cn
0.0.0.0                     search.114.vnet.cn
0.0.0.0                     keyword.vnet.cn
0.0.0.0                     welcome1.zj.vnet.cn
0.0.0.0                     vnet.qicha.com
0.0.0.0                     game1.zj.vnet.cn
0.0.0.0                     union.cn7151.cn
0.0.0.0                     vnet2.qicha.com
0.0.0.0                     60.191.124.208
0.0.0.0                     60.191.62.4
0.0.0.0                     60.191.124.252
0.0.0.0                     vod571.com

mainframe

发现没搞清楚状况
如果你一开IE就跳的话，那没办法解决
如果你一登录WINDOWS就跳IE窗口，那是要解决的
第二种情况肯定是能找到办法的，耐心找一下