MozTW 討論區

各項 Mozilla 相關軟體與技術討論

所有顯示的時間為 UTC + 8 小時





發表新文章 回覆主題  [ 20 篇文章 ]  前往頁數 12  下一頁
發表人 內容
 文章主題 : 我的火狐也被綁架了
文章發表於 : 2006-06-24, 15:21 
離線

註冊時間: 2006-06-24, 14:58
文章: 9
3個w.survey88.com/?p=allyestechchina

常常會自動開啟這個網頁
或者是開啟的網頁其網址都有"allyestech" ; "allyeschina"等字眼

我已經使用過ad-awear以及antispy等防木馬程式掃過了..都沒有效
我還封鎖了一堆host file
另外在電腦內搜尋關鍵字"allyes"結果看到一堆檔案
http://img216.imageshack.us/my.php?image=allyes8kg.jpg




提供HijackThis的Logfile給各位大大....

我最近唯一上過的大陸網站是百度mp3搜索= ="
這到底要怎麼移除呢...真煩人!!
我用ie上網時不會開啟這些廣告網頁 只有在firefox時才會發生..
先感謝各位大大的指教唷!!

Scan saved at 下午 02:48:11, on 2006/6/24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\Program Files\Pigfoot Firefox CE\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\桌面\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: hp 工具箱 - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [HotKeysCmds] ; C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [StorageGuard] ; "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [QuickTime Task] ; "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod 服務 (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8) Gecko/20051209 Firefox/1.5 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-24, 18:07 
離線
頭像

註冊時間: 2005-12-05, 04:36
文章: 479
在命令提示字元下面:

regsvr32 /u amstreamxb.dll(看能不能放掉)

放的掉的話──
del C:\WINDOWS\system32\amstreamxb.dll

放不掉的話用Process Explorer強行釋放,放完就把它del掉;或直接用磁片以DOS開機進去del掉。


回頂端 Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.8.1a3) Gecko/20060526 BonEcho/2.0a3
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 02:38 
離線

註冊時間: 2006-06-24, 14:58
文章: 9
感謝 已經刪除掉這個東東

不過很好奇的是
小弟執行第一步時(regsvr32 /u amstreamxb.dll)
系統先是告知
圖檔

索性進去目錄底下找
找到他後

圖檔

便直接砍掉它了....

不知道這樣子做正不正確....

感謝您的回覆與協助唷!! :P


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8) Gecko/20051209 Firefox/1.5 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 02:44 
離線
頭像

註冊時間: 2005-12-05, 04:36
文章: 479
能砍掉就是好事,它可能沒讓rundll32.exe呼叫,而是被瀏覽器主程式呼叫出來。


回頂端 Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.8.1a3) Gecko/20060526 BonEcho/2.0a3
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 08:58 
離線
[社群版本維護者]

註冊時間: 2004-11-28, 17:21
文章: 855
引言回覆:
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll

這個好像是木馬...

_________________
I am the bone of my firefox.

Source is my body, and library is my blood.

I've created over a thousand of builds.

Unaware of notice.
Nor aware of warning.

With stood pain to create binaries.
Waiting for one's download.

I have no regrets. This is the only path.

My whole life was "Unlimited build works"

「只有宗教狂熱分子和極權主義國家才將道德等同於法制。」 Linus Torvalds寫道。
我的廢棄日記


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.5) Gecko/20060617 Firefox/1.5.0.5 (Firefox musume)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 18:56 
離線

註冊時間: 2006-06-24, 14:58
文章: 9
關於msplus.dll這個檔案
我本來也覺得怪怪的

不過使用HijackThis要移除掉它時 被程式警告 無法修復
我還以為是啥系統的重要檔案程式之類的

上網估狗了一下這個檔案名稱
發現清一色都是大陸的網友們對這個檔案"有問題"

有人提供解決方式,以下是小弟的操作步驟

1.重新啟動機器,進入安全模式,將“msplus.dll”改名為“msplusshit.dll”後使其無法連接網路。
(msplus.dll查看檔案說明.系統說他的原始檔是Adplus.dll)
(我還另外找到了msplus1.dll、msplus2.dll、msplus3.dll、msplus4.dll四個變名檔案.用notepad看裡面的內容.赫然發現裡面都有Adplus這些字眼.也一併改名加上shit)

2.下載LSPFix.exe,啟動程式後有個選項“I Know What I'm Doing”,然後把左面視窗裏的msplus.dll檔移到右面視窗裏(不要動其他文件),然後選“Finish”。

圖檔

3.重新啟動電腦按F8進安全模式,在檔案夾選項中,顯示隱藏檔和取消“隱藏受保護的作業系統檔”。然後找到c:\windows\system32\msplus.dll檔並刪除
我還順便把msplusshit1.dll、msplusshit2.dll、msplusshit3.dll、msplusshit4.dll四個變名檔案也給刪除掉了

4.用LSPFix.exe 這個WinsockFix工具修復一下,重啟後再看看“Winsock 提供者”裡面已經沒有C:\WINDOWS\system32\msplus.dll

5.執行登錄檔清除程式....移除掉無效的登錄檔...

圖檔

不知道這樣子到底有沒有成功地移除掉這些餘孽!! :x


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8) Gecko/20051209 Firefox/1.5 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 19:12 
離線
頭像

註冊時間: 2005-12-05, 04:36
文章: 479
你的教學圖示還做的真漂亮耶…


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9a1) Gecko/20060622 Minefield/3.0a1
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 19:33 
離線

註冊時間: 2006-06-24, 14:58
文章: 9
無聊做做...想說自己的問題...或許別的網友也有可能遇到
做個清楚的圖示.方便大家查閱!

因為有熱心的朋友回覆問題..
所以遇到問題的網友 也應該試著把解決的經過提供給大家
以方便後續的回覆與討論
這是我的想法...

漂亮是談不上啦~ :oops: 小兒科的繪圖軟體弄弄而已...


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8) Gecko/20051209 Firefox/1.5 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 20:38 
離線

註冊時間: 2003-11-18, 10:59
文章: 3473
請問刪掉 C:\WINDOWS\system32\amstreamxb.dll 後,Fx 被綁架的情形解決了嗎?

看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有,可是你用 allyes 找出來的相關檔案都是 IE 的 ICON?因為沒有顯示副檔名,不知道是什麼檔。Windows 搜尋應該不認得 Fx 的 Temprary Internet Files 資料庫格式吧?如果這樣的話,難道是 IE 中標導致 Fx 被綁架?不太懂說...

如果 Fx 被綁架,印象中是有被改 host 檔,或者 user.js 的先例。

_________________
:::: 簽名檔分隔線 ::::
免費好用又自由的輸入法 gcin Windows | 勸大家以後不要再買 ATI


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-25, 21:41 
離線
頭像

註冊時間: 2005-12-05, 04:36
文章: 479
coolcd 寫:
請問刪掉 C:\WINDOWS\system32\amstreamxb.dll 後,Fx 被綁架的情形解決了嗎?

看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有,可是你用 allyes 找出來的相關檔案都是 IE 的 ICON?因為沒有顯示副檔名,不知道是什麼檔。Windows 搜尋應該不認得 Fx 的 Temprary Internet Files 資料庫格式吧?如果這樣的話,難道是 IE 中標導致 Fx 被綁架?不太懂說...

如果 Fx 被綁架,印象中是有被改 host 檔,或者 user.js 的先例。


IE應該也會的,現今這些綁架程式,以我所遇過的來說,通常不針對某個瀏覽器。只是這次直接就能砍掉,我認為是因為程式沒有完成全部的寫入,否則那個mstreamxb.dll應該無法直接砍掉。

看看目前版上許多FX的問題,其實很多都很怪…我只是在訓練腦力,否則很多描述的情況都已超出我的想像空間。


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9a1) Gecko/20060622 Minefield/3.0a1
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-26, 17:59 
離線

註冊時間: 2006-06-24, 14:58
文章: 9
刪掉 C:\WINDOWS\system32\amstreamxb.dll 後,Fx 被綁架的情形目前看來是解決了

不過因為我有另外增加一些設定
例如:

圖檔


另外,為何只有FX發生? 因為除了少數網站必須要用IE瀏覽.
我幾乎都用FX開網頁

所以都是在使用FX時碰到自動跳出廣告網頁的問題


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8) Gecko/20051209 Firefox/1.5 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-26, 19:59 
離線
頭像

註冊時間: 2003-07-17, 22:16
文章: 897
milk750ml 寫:
另外,為何只有FX發生? 因為除了少數網站必須要用IE瀏覽.
我幾乎都用FX開網頁
所以都是在使用FX時碰到自動跳出廣告網頁的問題

文法有點看不懂
你是問 FX使用cookies及IE也有限制網站,為什麼FX還是自動跳出廣告網頁?
cookies只能限制cookies不能限制網頁動作,IE的限制網站只能用於IE(FX不受其影響 除非IE tab)

如果要限制廣告網頁,有些防火牆、防毒軟體有限制的功能,看你要不要換那個方法
cookies也不是常去都全部都設阻止,我不定期用spybot掃描,把有問題的cookies列入黑名單
下面就是我的成果,當然都經過spybot的"認證"
如果你的cookies還沒有任何限制建議自己手動拒絕他們使用cookies
圖檔


附加檔案:
cookies.png [9.57 KiB]
被下載 263 次
回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.4) Gecko/20060603 Firefox/1.5.0.4 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-26, 21:50 
離線

註冊時間: 2006-06-24, 14:58
文章: 9
orange 寫:
milk750ml 寫:
另外,為何只有FX發生? 因為除了少數網站必須要用IE瀏覽.
我幾乎都用FX開網頁
所以都是在使用FX時碰到自動跳出廣告網頁的問題

文法有點看不懂
你是問 FX使用cookies及IE也有限制網站,為什麼FX還是自動跳出廣告網頁?
cookies只能限制cookies不能限制網頁動作,IE的限制網站只能用於IE(FX不受其影響 除非IE tab)



感謝您的回覆 小弟是在回覆coolcd網友所言"看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有"

因為小弟都是使用FX為主 所以都是遇到使用FX時被自動開啟廣告網頁
而非只有 Fx 被綁架、IE 沒有

另外感謝您提供圖示上一些相關餅乾黑名單的實用列表 :twisted:


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8) Gecko/20051209 Firefox/1.5 (pigfoot)
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-26, 22:24 
離線

註冊時間: 2003-11-18, 10:59
文章: 3473
milk750ml 寫:
小弟是在回覆coolcd網友所言"看了你的圖,我是有點疑惑啦,為什麼 Fx 被綁架、IE 沒有"

因為小弟都是使用FX為主 所以都是遇到使用FX時被自動開啟廣告網頁
而非只有 Fx 被綁架、IE 沒有

謝謝你的回覆 :D
所以說可能如 parisian 大所言,其實兩者都被綁架了。

我想探討的地方是:你第一篇附圖中用 allyes 搜尋出來,跟綁架網站有相關的檔案應該是 IE 的東西,因為 Fx 的網路暫存檔是用特殊格式儲存的,應該不是長那個樣子。根據這個,我會推測:是你少數幾次使用 IE 時,不慎被壞東西入侵了你的系統,所以才會自己跳出那些網站。我不解的是,那些壞東西是怎麼感染 Fx 的呢?以後如遇到這種情形,除了 user.js、prefs.js、windows 的 host file,還有哪些要注意的地方?cookies 感覺上好像沒有那麼關鍵性的影響,所以想跟你確認是不是 amstreamxb.dll 在作怪。

_________________
:::: 簽名檔分隔線 ::::
免費好用又自由的輸入法 gcin Windows | 勸大家以後不要再買 ATI


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
 個人資料  
 
 文章主題 :
文章發表於 : 2006-06-27, 09:44 
離線
頭像

註冊時間: 2005-12-05, 04:36
文章: 479
coolcd 寫:
(恕略前後文)我不解的是,那些壞東西是怎麼感染 Fx 的呢?以後如遇到這種情形,除了 user.js、prefs.js、windows 的 host file,還有哪些要注意的地方?


這半年來跨瀏覽器的綁架,大半都還是要經過執行檔的安裝。來源包括假好心軟體,像我解過一個案例是安裝來路不明的DDoS防護小軟體、另一個是某種P2P下載工具的加速器。另外在ASTALAVISTA所連結的破解器網站,有很多是假的,下載下來的都是綁架程式;或是出現在罕見的最新版軟體破解器(假的)裡,太快出現又沒有作者簽名,或短期內別人都解不開的大型軟體卻出現沒簽名的破解器,就很可疑,最好不要用,或是執行之前對系統先進行備份。另外比較少見的是在網上尋找dll檔,不小心下載到被人惡意修改過的非原始檔。這些都傾向小區域綁架、又不具傳染性,防毒軟體很容易就漏掉。


回頂端 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-TW; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4
 個人資料  
 
顯示文章 :  排序  
發表新文章 回覆主題  [ 20 篇文章 ]  前往頁數 12  下一頁

所有顯示的時間為 UTC + 8 小時


誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 16 位訪客


不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

搜尋:
前往 :