【菜鸟求助】ie弹出窗口

19 主题	0 好友	4万积分

信义坊第一R

发消息

电梯直达

1楼

发表于 2008-3-10 23:18 |只看该作者 |正序浏览

每次登陆windows ie弹出60.191.62.4的窗口
杭州电信adsl
该找的位置都找了
去不掉

淘帖0 收藏0

19 主题	0 好友	4万积分

信义坊第一R

发消息

39楼

发表于 2008-3-11 00:34 |只看该作者

这个到不像有木马
只是很烂很不爽
已经删了
还得自己把启动项都添进去

色彩斑斓

0 主题	0 好友	1401 积分

龙骑士

发消息

38楼

发表于 2008-3-11 00:30 |只看该作者

"黄山ie修复"本身就是带木马的,天空华军下的都带

19 主题	0 好友	4万积分

信义坊第一R

发消息

37楼

发表于 2008-3-11 00:22 |只看该作者

找了个叫什么黄山ie修复的
广告去掉了
但是也把我启动项里什么卡巴斯基，gmail notify，金山词霸，逻辑鼠标驱动
全干掉了
宁可错杀一千也不放走一个
我真是无语了。。。

19 主题	0 好友	4万积分

信义坊第一R

发消息

36楼

发表于 2008-3-10 23:57 |只看该作者

注册表里都找过了
我都找的累死了
这是hijackthis的log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:50:05, on 2008-3-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\CMBCHINA\WebProtect\WPService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe
C:\Program Files\Kingsoft\Powerword 2007\xdict.exe
C:\Program Files\360safe\safemon\360Tray.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\360safe\antiarp\antiarp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Tencent\Foxmail\Foxmail.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\360safe\360safe.exe
F:\ffdown\HiJackThis_PConline\HijackThis.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: WebProtect.IEHlpObj - {53763D1D-9CA8-4C7C-9756-A8E6B8FC063B} - C:\Program Files\CMBCHINA\WebProtect\WebProtect.dll
O2 - BHO: Windows Live 登录帮助程序 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [powerword 2007] "C:\Program Files\Kingsoft\Powerword 2007\xdict.exe" -s -nosplash
O4 - HKLM\..\Run: [360Safetray] C:\Program Files\360safe\safemon\360Tray.exe /start
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [360Antiarp] C:\Program Files\360safe\antiarp\antiarp.exe /start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Tencent\Foxmail\Foxmail.exe" -min
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - Extra context menu item: 在Foxmail中添加该RSS频道/频道组 - res://C:\WINDOWS\system32\fmrsslink.dll/201
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换选取内容为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换选取内容到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 转换选定的链接到 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: 转换选定的链接到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: 转换链接目标为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换链接目标到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 追加到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Web反病毒统计 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1156954709578
O16 - DPF: {6DBB2904-082D-4DB0-944A-21C22BA121F4} (CCtInf Class) - http://www.95599.cn/perbank/BankControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{580C1E22-F258-4746-B425-E63B514F8A2C}: NameServer = 202.101.172.35 202.101.172.47
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC3CF2E3-65F9-4C4C-BA06-F69A78525777}: NameServer = 202.101.172.35
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: 卡巴斯基反病毒6.0个人版 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Cmb WebProtect Support (CMBWPS) - China Merchants Bank - C:\Program Files\CMBCHINA\WebProtect\WPService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 8082 bytes

19 主题	0 好友	4万积分

信义坊第一R

发消息

35楼

发表于 2008-3-10 23:56 |只看该作者

我是觉得有点问题啊
360查不出什么情况
优化大师几年前误删过我东西后来没用过

色彩斑斓

0 主题	0 好友	1401 积分

龙骑士

发消息

34楼

发表于 2008-3-10 23:55 |只看该作者

进系统就弹的话就是中插件了,好好找吧

mainframe

0 主题	0 好友	2万积分

发消息

33楼

发表于 2008-3-10 23:53 |只看该作者

原帖由 YangFan 于 2008-3-10 23:47 发表
但是我现在开机不拨号也弹啊

你的意思是你登录了WINDOWS，什么都不做，然后跳一个IE窗口出来？
那肯定是有问题的。
如果只是你开IE就跳那个广告，那是正常的。
你要解决的话，一般来说，加密你发出的数据包是可以解决的。
但是有必要花这个工夫吗？

More . The . War .

laserfox

0 主题	0 好友	5万积分

光明执政官

自定义个啥?-_-

发消息

32楼

发表于 2008-3-10 23:48 |只看该作者

或者用这个试试：
使用方法非常简单，对于宽带拨号用户来说，在“设置”-“网络连接”中找到宽带上网的连接，打开网络连接属性，选择Interner协议（TCP/IP）的属性页里，不要选择自动获取DNS，而要选择“使用下面的DNS服务器地址”，首选DNS服务器和备用DNS服务器分别设置为208.67.222.222和208.67.220.220，如下图所示，完成后重新连接上网，就可以摆脱服务商对我们的DNS劫持。

有效是有效，有时候解析域名的速度会稍微慢一点。

你的情况需要用360或者Windows清理助手（推荐）扫描一下系统。

[ 本帖最后由 laserfox 于 2008-3-10 23:50 编辑 ]

我以为你只是1和3中间的数，没想到你还是1和3俩数的组合

19 主题	0 好友	4万积分

信义坊第一R

发消息

31楼

发表于 2008-3-10 23:47 |只看该作者

但是我现在开机不拨号也弹啊

mainframe

0 主题	0 好友	2万积分

发消息

30楼

发表于 2008-3-10 23:47 |只看该作者

发现没搞清楚状况
如果你一开IE就跳的话，那没办法解决
如果你一登录WINDOWS就跳IE窗口，那是要解决的
第二种情况肯定是能找到办法的，耐心找一下

More . The . War .

19 主题	0 好友	4万积分

信义坊第一R

发消息

29楼

发表于 2008-3-10 23:47 |只看该作者

杭州电信强制弹窗源技术分析报告

技术原理:
使用PHP集成AJAX技术，采集Baidu当日关键字，并应用DNS服务器劫持用户浏览器，弹出Javascript页面并随机跳转至目标广告。
步骤过程分析:
在用户向电信DNS服务器发出访问其他网站的请求时
DNS服务器向用户随机发送形似于 "http://60.191.62.4/statpage/stat_v_统计ID.aspx?param=随机生成的验证码" 的强制访问请求
导致浏览器停止用户请求而预先弹出此窗口

该页面跳转至http://vod571.com/html/114/hotwords.htm
此页面主要代码行分析如下


此处调用JS解释,生成的是随机数,用来分配弹窗内容

var HttpRequest;
var Url = "http://vod571.com/html/114/topbaidu.htm";
根据encode.js生成数,获得保存在服务器上的最新baidu关键字列表
var ServerUrl = "/js/search/keys.aspx?url=";
获得劫持目标URL
var RegexCompet = /target=\"_blank\"> ([\S\s]*?)
var RemoveAllKeys = "17大|十七大";
过滤所有与17大,十七大有关的关键字
var Html = "";
var oneKeys = "最新欧美大片";
如果不满足以上条件,则搜索该关键字
(中间省略)
var goUrl = "http://search.114.vnet.cn/search_web.html";
goUrl += "?id=419&bt=s&st=web&kw="+ words +"&imageField.x="+ Rand(25) +"&imageField.y=" + Rand(25);
//window.open (Url, 'newwindow', 'height=400, width=400, top=0,left=0, toolbar=no, menubar=no, scrollbars=no, resizable=no,location=no, status=no') ;
location.href=goUrl;
此处打开一个除了标题栏之外没有其他工具栏的400x400的广告窗口,包含前文提到的广告内容

防御方法:

在%SYSTEMROOT%/system32/drivers/etc/hosts文件中,加入如下文字,可以暂时屏蔽电信的广告显示
但是无法屏蔽弹窗,只会显示404错误,具体有效解决措施暂无

#以下是电信vnet广告
0.0.0.0                   vnet.cn
0.0.0.0                   114.vnet.cn
0.0.0.0                   search.vnet.cn
0.0.0.0                   search.114.vnet.cn
0.0.0.0                   keyword.vnet.cn
0.0.0.0                   welcome1.zj.vnet.cn
0.0.0.0                   vnet.qicha.com
0.0.0.0                   game1.zj.vnet.cn
0.0.0.0                   union.cn7151.cn
0.0.0.0                   vnet2.qicha.com
0.0.0.0                   60.191.124.208
0.0.0.0                   60.191.62.4
0.0.0.0                   60.191.124.252
0.0.0.0                   vod571.com

色彩斑斓

0 主题	0 好友	1401 积分

龙骑士

发消息

28楼

发表于 2008-3-10 23:42 |只看该作者

DNS劫持啊,和那个114查询一样,又不是什么新鲜事.

换个DNS就行了

laserfox

0 主题	0 好友	5万积分

光明执政官

自定义个啥?-_-

发消息

27楼

发表于 2008-3-10 23:38 |只看该作者

天涯有人的发帖：

今天打10000去投诉了电信adsl宽带关于dns劫持被迫看广告的事情，接电话的是个男的，我就把大概的情况说了一下，没等他解释什么的，我提高了嗓门，就强烈抗议他们践踏我合法权利的事情，要求他们马上取消，如果还有这样的现象，我就用法律途径解决此事，没想到那个男的什么都没解释，态度不错地就说马上替我解决，现在半天了，没有那种现象发生，大家也打电话去抗议啊～～～～貌似有效果！

我以为你只是1和3中间的数，没想到你还是1和3俩数的组合