MozTW 討論區 https://forum.moztw.org/ |
|
我的火狐也被綁架了 https://forum.moztw.org/viewtopic.php?f=2&t=14677 |
第 1 頁 (共 2 頁) |
發表人: | milk750ml [ 2006-06-24, 15:21 ] |
文章主題 : | 我的火狐也被綁架了 |
3個w.survey88.com/?p=allyestechchina 常常會自動開啟這個網頁 或者是開啟的網頁其網址都有"allyestech" ; "allyeschina"等字眼 我已經使用過ad-awear以及antispy等防木馬程式掃過了..都沒有效 我還封鎖了一堆host file 另外在電腦內搜尋關鍵字"allyes"結果看到一堆檔案 http://img216.imageshack.us/my.php?image=allyes8kg.jpg 提供HijackThis的Logfile給各位大大.... 我最近唯一上過的大陸網站是百度mp3搜索= =" 這到底要怎麼移除呢...真煩人!! 我用ie上網時不會開啟這些廣告網頁 只有在firefox時才會發生.. 先感謝各位大大的指教唷!! Scan saved at 下午 02:48:11, on 2006/6/24 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe C:\WINDOWS\System32\PAStiSvc.exe C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe C:\Program Files\Pigfoot Firefox CE\firefox.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Owner\桌面\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: hp 工具箱 - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [HotKeysCmds] ; C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [StorageGuard] ; "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync O4 - HKLM\..\Run: [QuickTime Task] ; "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe" O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe" O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod 服務 (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe |
發表人: | parisian [ 2006-06-24, 18:07 ] |
文章主題 : | |
在命令提示字元下面: regsvr32 /u amstreamxb.dll(看能不能放掉) 放的掉的話── del C:\WINDOWS\system32\amstreamxb.dll 放不掉的話用Process Explorer強行釋放,放完就把它del掉;或直接用磁片以DOS開機進去del掉。 |
發表人: | milk750ml [ 2006-06-25, 02:38 ] |
文章主題 : | |
感謝 已經刪除掉這個東東 不過很好奇的是 小弟執行第一步時(regsvr32 /u amstreamxb.dll) 系統先是告知 索性進去目錄底下找 找到他後 便直接砍掉它了.... 不知道這樣子做正不正確.... 感謝您的回覆與協助唷!! |
發表人: | parisian [ 2006-06-25, 02:44 ] |
文章主題 : | |
能砍掉就是好事,它可能沒讓rundll32.exe呼叫,而是被瀏覽器主程式呼叫出來。 |
發表人: | roytam1 [ 2006-06-25, 08:58 ] |
文章主題 : | |
引言回覆: O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll 這個好像是木馬... |
發表人: | milk750ml [ 2006-06-25, 18:56 ] |
文章主題 : | |
關於msplus.dll這個檔案 我本來也覺得怪怪的 不過使用HijackThis要移除掉它時 被程式警告 無法修復 我還以為是啥系統的重要檔案程式之類的 上網估狗了一下這個檔案名稱 發現清一色都是大陸的網友們對這個檔案"有問題" 有人提供解決方式,以下是小弟的操作步驟 1.重新啟動機器,進入安全模式,將“msplus.dll”改名為“msplusshit.dll”後使其無法連接網路。 (msplus.dll查看檔案說明.系統說他的原始檔是Adplus.dll) (我還另外找到了msplus1.dll、msplus2.dll、msplus3.dll、msplus4.dll四個變名檔案.用notepad看裡面的內容.赫然發現裡面都有Adplus這些字眼.也一併改名加上shit) 2.下載LSPFix.exe,啟動程式後有個選項“I Know What I'm Doing”,然後把左面視窗裏的msplus.dll檔移到右面視窗裏(不要動其他文件),然後選“Finish”。 3.重新啟動電腦按F8進安全模式,在檔案夾選項中,顯示隱藏檔和取消“隱藏受保護的作業系統檔”。然後找到c:\windows\system32\msplus.dll檔並刪除 我還順便把msplusshit1.dll、msplusshit2.dll、msplusshit3.dll、msplusshit4.dll四個變名檔案也給刪除掉了 4.用LSPFix.exe 這個WinsockFix工具修復一下,重啟後再看看“Winsock 提供者”裡面已經沒有C:\WINDOWS\system32\msplus.dll 5.執行登錄檔清除程式....移除掉無效的登錄檔... 不知道這樣子到底有沒有成功地移除掉這些餘孽!! |
發表人: | parisian [ 2006-06-25, 19:12 ] |
文章主題 : | |
你的教學圖示還做的真漂亮耶… |
發表人: | milk750ml [ 2006-06-25, 19:33 ] |
文章主題 : | |
無聊做做...想說自己的問題...或許別的網友也有可能遇到 做個清楚的圖示.方便大家查閱! 因為有熱心的朋友回覆問題.. 所以遇到問題的網友 也應該試著把解決的經過提供給大家 以方便後續的回覆與討論 這是我的想法... 漂亮是談不上啦~ 小兒科的繪圖軟體弄弄而已... |
發表人: | coolcd [ 2006-06-25, 20:38 ] |
文章主題 : | |
請問刪掉 C:\WINDOWS\system32\amstreamxb.dll 後,Fx 被綁架的情形解決了嗎? 看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有,可是你用 allyes 找出來的相關檔案都是 IE 的 ICON?因為沒有顯示副檔名,不知道是什麼檔。Windows 搜尋應該不認得 Fx 的 Temprary Internet Files 資料庫格式吧?如果這樣的話,難道是 IE 中標導致 Fx 被綁架?不太懂說... 如果 Fx 被綁架,印象中是有被改 host 檔,或者 user.js 的先例。 |
發表人: | parisian [ 2006-06-25, 21:41 ] |
文章主題 : | |
coolcd 寫: 請問刪掉 C:\WINDOWS\system32\amstreamxb.dll 後,Fx 被綁架的情形解決了嗎?
看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有,可是你用 allyes 找出來的相關檔案都是 IE 的 ICON?因為沒有顯示副檔名,不知道是什麼檔。Windows 搜尋應該不認得 Fx 的 Temprary Internet Files 資料庫格式吧?如果這樣的話,難道是 IE 中標導致 Fx 被綁架?不太懂說... 如果 Fx 被綁架,印象中是有被改 host 檔,或者 user.js 的先例。 IE應該也會的,現今這些綁架程式,以我所遇過的來說,通常不針對某個瀏覽器。只是這次直接就能砍掉,我認為是因為程式沒有完成全部的寫入,否則那個mstreamxb.dll應該無法直接砍掉。 看看目前版上許多FX的問題,其實很多都很怪…我只是在訓練腦力,否則很多描述的情況都已超出我的想像空間。 |
發表人: | milk750ml [ 2006-06-26, 17:59 ] |
文章主題 : | |
刪掉 C:\WINDOWS\system32\amstreamxb.dll 後,Fx 被綁架的情形目前看來是解決了 不過因為我有另外增加一些設定 例如: 另外,為何只有FX發生? 因為除了少數網站必須要用IE瀏覽. 我幾乎都用FX開網頁 所以都是在使用FX時碰到自動跳出廣告網頁的問題 |
發表人: | orange [ 2006-06-26, 19:59 ] | ||
文章主題 : | |||
milk750ml 寫: 另外,為何只有FX發生? 因為除了少數網站必須要用IE瀏覽.
我幾乎都用FX開網頁 所以都是在使用FX時碰到自動跳出廣告網頁的問題 文法有點看不懂 你是問 FX使用cookies及IE也有限制網站,為什麼FX還是自動跳出廣告網頁? cookies只能限制cookies不能限制網頁動作,IE的限制網站只能用於IE(FX不受其影響 除非IE tab) 如果要限制廣告網頁,有些防火牆、防毒軟體有限制的功能,看你要不要換那個方法 cookies也不是常去都全部都設阻止,我不定期用spybot掃描,把有問題的cookies列入黑名單 下面就是我的成果,當然都經過spybot的"認證" 如果你的cookies還沒有任何限制建議自己手動拒絕他們使用cookies
|
發表人: | milk750ml [ 2006-06-26, 21:50 ] |
文章主題 : | |
orange 寫: milk750ml 寫: 另外,為何只有FX發生? 因為除了少數網站必須要用IE瀏覽. 我幾乎都用FX開網頁 所以都是在使用FX時碰到自動跳出廣告網頁的問題 文法有點看不懂 你是問 FX使用cookies及IE也有限制網站,為什麼FX還是自動跳出廣告網頁? cookies只能限制cookies不能限制網頁動作,IE的限制網站只能用於IE(FX不受其影響 除非IE tab) 感謝您的回覆 小弟是在回覆coolcd網友所言"看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有" 因為小弟都是使用FX為主 所以都是遇到使用FX時被自動開啟廣告網頁 而非只有 Fx 被綁架、IE 沒有 另外感謝您提供圖示上一些相關餅乾黑名單的實用列表 |
發表人: | coolcd [ 2006-06-26, 22:24 ] |
文章主題 : | |
milk750ml 寫: 小弟是在回覆coolcd網友所言"看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有"
因為小弟都是使用FX為主 所以都是遇到使用FX時被自動開啟廣告網頁 而非只有 Fx 被綁架、IE 沒有 謝謝你的回覆 所以說可能如 parisian 大所言,其實兩者都被綁架了。 我想探討的地方是:你第一篇附圖中用 allyes 搜尋出來,跟綁架網站有相關的檔案應該是 IE 的東西,因為 Fx 的網路暫存檔是用特殊格式儲存的,應該不是長那個樣子。根據這個,我會推測:是你少數幾次使用 IE 時,不慎被壞東西入侵了你的系統,所以才會自己跳出那些網站。我不解的是,那些壞東西是怎麼感染 Fx 的呢?以後如遇到這種情形,除了 user.js、prefs.js、windows 的 host file,還有哪些要注意的地方?cookies 感覺上好像沒有那麼關鍵性的影響,所以想跟你確認是不是 amstreamxb.dll 在作怪。 |
發表人: | parisian [ 2006-06-27, 09:44 ] |
文章主題 : | |
coolcd 寫: (恕略前後文)我不解的是,那些壞東西是怎麼感染 Fx 的呢?以後如遇到這種情形,除了 user.js、prefs.js、windows 的 host file,還有哪些要注意的地方?
這半年來跨瀏覽器的綁架,大半都還是要經過執行檔的安裝。來源包括假好心軟體,像我解過一個案例是安裝來路不明的DDoS防護小軟體、另一個是某種P2P下載工具的加速器。另外在ASTALAVISTA所連結的破解器網站,有很多是假的,下載下來的都是綁架程式;或是出現在罕見的最新版軟體破解器(假的)裡,太快出現又沒有作者簽名,或短期內別人都解不開的大型軟體卻出現沒簽名的破解器,就很可疑,最好不要用,或是執行之前對系統先進行備份。另外比較少見的是在網上尋找dll檔,不小心下載到被人惡意修改過的非原始檔。這些都傾向小區域綁架、又不具傳染性,防毒軟體很容易就漏掉。 |
第 1 頁 (共 2 頁) | 所有顯示的時間為 UTC + 8 小時 |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |