[求助]浏览器问题

peak8

近来，打开浏览器，浏览论坛主页时，居然，弹出个窗口，关闭浏览器，重复前面的操作，还是弹出，再重复操作，没有弹出窗口，肯定是浏览器的问题了。请求解决方法

dgxhls

IE估计被流氓插件捆绑了，用RogueCleaner清理看看。

peak8

请大家帮忙，谢谢，我暂时看不出可疑的服务与进程。

dgxhls

有的流氓插件在服务与进程里是看不出的。

peak8

请打狗协会理事 给个RogueCleaner有效下载，不敢随便下，怕了。

6618

打狗说得不错，用HIJACKTHIS扫描你的机子，把日志传上来。hijackthis在附件中下：

lxl1638

贺贺你，中招啦。

dgxhls

RogueCleaner即流氓软件清理助手；
顺便给你一个黄山IE修复专家[文件名：hs]，
到我的“常用软件下载空间”去下吧。

peak8

Logfile of HijackThis v1.99.0
Scan saved at 19:56:10, on 2006-8-4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4serv.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\Program Files\系统安全盾\sysshield.exe
D:\program\syscheck\Syscheck2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
D:\hijackthis\hijackthis.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - Startup: 系统安全盾.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://movie.yzvod.com/player/tools/ietimer.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-3.ibm.com/pc/support/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{455E0399-7723-4B7D-B854-895367589D19}: NameServer = 10.2.0.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{81793D87-9D32-4107-BE75-394CAD77BD8D}: NameServer = 61.147.37.1 61.177.7.1
O23 - Service: Ac Profile Manager Service - Unknown - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: ThinkPad PM Service - Unknown - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service - Unknown - C:\WINDOWS\system32\TpKmpSVC.exe

6618

把这几项修掉：
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://movie.yzvod.com/player/tools/ietimer.cab

以下的几项，比较可疑，是我和朋友你一起探讨。
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
上面的这三个进程比较可疑，rundll32调用的svchost.exe，应该是病毒调用的，只是暂时不知是什么病毒调用的

O4 - HKCU\..\Run: [internat.exe] internat.exe
你的是XP的系统，正常情况下输入法用的是ctfmon.exe才对，为什么是98、2000输入法程序internat.exe？

最后，把前面说的几项修掉，把RunDll32.exe，svchost.exe，svchost.exe（hijackthis中显示的）进程结束掉。
把internat.exe进程结束掉，再上无忧看还会不会弹出窗口。
如果还会，再用HIJACKTHIS扫描，看上面的哪一项还在？（有线程保护？）
你的机子肯定中招了，只是病毒隐藏的较深。

用的是联想的ThinkPad笔记本电脑？
看日志，看不出太多的可疑项，建议用ICESWORD看看有没有隐藏的进程。

[ 本帖最后由 6618 于 2006-8-4 09:11 PM 编辑 ]

6618

另，用Syscheck2.exe看看explorer.exe（资源管理器）给注入了哪些可疑的DLL，这个病毒还挺牛B的，敢在在安盾，Syscheck2.exe，KAV6眼皮底下撒野。

[ 本帖最后由 6618 于 2006-8-4 09:08 PM 编辑 ]

6618

原帖由 gd510090 于 2006-8-4 09:38 PM 发表
请问版主ICESWORD
这程序有没有支持64位CPU
我只找到支持32位
谢谢

我的也是64的CPU呀，ICESWORD就照支持啊，朋友你说得是支持64位的操作系统吧，现在好像暂时不支持。

6618

原帖由 gd510090 于 2006-8-4 09:38 PM 发表

这两项是不是和浏览器插件相关？
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policie ...

这两项是对浏览器进行了限制。

6618

朋友，把下面的这两项直接用HIJACKTHIS修了，从日志和ICESWORD的图片看，我只发现这两个小问题。
R3 - Default URLSearchHook is missing
O11 - Options group: [INTERNATIONAL] International*

[ 本帖最后由 6618 于 2006-8-5 01:55 AM 编辑 ]

peak8

Logfile of HijackThis v1.99.0
Scan saved at 7:17:12, on 2006-8-5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\tp4mon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
D:\program\syscheck\Syscheck2.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\hijackthis\hijackthis.exe

O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{81793D87-9D32-4107-BE75-394CAD77BD8D}: NameServer = 61.147.37.1 61.177.7.1
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: IBM PM Service - Unknown - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: McAfee Framework 服务 - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

把系统ghost恢复了一下，问题依旧，现在重新扫描了一下。看不出什么毛病，真可恶。

6618

原帖由 gd510090 于 2006-8-5 09:54 AM 发表
谢谢版主

不用客气，大家一起学习。

6618

原帖由 peak8 于 2006-8-5 07:19 AM 发表
把系统ghost恢复了一下，问题依旧，现在重新扫描了一下。看不出什么毛病，真可恶。

除下面的这个问题外，我也是发现不了什么问题。
O4 - HKCU\..\Run: [internat.exe] internat.exe
你的是XP的系统，正常情况下输入法用的是ctfmon.exe才对，为什么是98、2000输入法程序internat.exe？

ghost了恢复了还会出现这样的弹出广告，我想病毒不一定在C分区，可能在其他分区，建议升级系统的“卖咖啡”，全面查杀电脑的各个分区。
另，试试再次用GHOST恢复，恢复后不要打开其他分区，马上上网，看还会不会弹出广告，如果还会，则很可能这个备份也存在病毒，如果不会，则可能是其他分区存在病毒，打开其分区时，激活了病毒。

peak8

原帖由 6618 于 2006-8-5 12:55 PM 发表

除下面的这个问题外，我也是发现不了什么问题。
O4 - HKCU\..\Run:  internat.exe
你的是XP的系统，正常情况下输入法用的是ctfmon.exe才对，为什么是98、2000输入法程序internat.exe？

ghost了恢复了还会出 ...

对于输入法，我修改了，关闭了高级文字服务，用了以前的输入法状态图标。

折腾到现在，我实在是看不出系统有什么可以进程之类，我已经重新安装了系统，是英文版ibmoem-xp-sp2, 安装了卡巴，扫描了全盘，没有发现木马之类的东西， 但在浏览  bbs.wuyou.net 首页时，还是偶尔会出现那个弹出窗口，只不过被卡巴挡住了！！

说明，我的浏览器的 internet选项中，“隐私” 标签里的“阻止弹出窗口”现在未勾选。以前勾选上时，是看不到弹出的窗口的，只听见有“啪嗒啪嗒”的声音---屏蔽弹出窗口的声音，这才怀疑，是不是有什么问题的，所以干脆去除了internet选项中的“阻止弹出窗口”勾选，这样才看到弹出窗口的真面目。

所以，我怀疑，wuyou的首页中是否被 hacker 加入了随机执行的恶意代码？---个人猜测。

[ 本帖最后由 peak8 于 2006-8-5 05:13 PM 编辑 ]

6618

这就奇了，我们上无忧并不会这样， 我把这帖发给WWWFOX，让他去看看，不过我猜这个可能性不大。

[ 本帖最后由 6618 于 2006-8-5 05:38 PM 编辑 ]

peak8

大家把弹出窗口去除看看，测试看看，我有时也没有提示弹出窗口的，很随机的。

6618

我是比较常上无忧的，无乎每天都上，我家的电脑，什么杀软件都没装（连XP的自带的防火墙，我也是关了的），也不会出现朋友你所说的弹出窗口，让更多的朋友都跟跟这个帖吧。你们上无忧首页，会弹出窗口吗？

[ 本帖最后由 6618 于 2006-8-5 05:35 PM 编辑 ]

dgxhls

没有这个现象。

peak8

弹出窗口来自  219.133.33.37

随机的，不一定每次都会弹出，我新装的系统啊。还用卡巴扫描了全盘。

我用的adsl  会不会当地的 服务器中招了

谁愿意远程协助帮我？消息联系。谢谢了。

[ 本帖最后由 peak8 于 2006-8-5 05:41 PM 编辑 ]

peak8

苦恼 ing.................

dgxhls

用了我给的2个软件吗？

6618

原帖由 peak8 于 2006-8-5 05:38 PM 发表
弹出窗口来自  219.133.33.37

随机的，不一定每次都会弹出，我新装的系统啊。还用卡巴扫描了全盘。

我用的adsl  会不会当地的 服务器中招了

谁愿意远程协助帮我？消息联系。谢谢了。

我上了那个网站，并不会中招，你的猜测也有可能，无忧论坛中招的可能性极少极少。

6618

刚才我去百度搜了一下21cn.com，一个很大的网站，进一步证实朋友你猜测极有可能，可能是合作了的也有可能，现在的社会，流氓太多，建议找给你装ADSL的那个电信部门解决，反正向他们咨询一下也不是坏事。想问一下，你是用电信的拔号软件拔号还是用MS自带的？

[ 本帖最后由 6618 于 2006-8-5 06:44 PM 编辑 ]

peak8

用的拔号软件拔号是用MS自带的

6618

我也是用MS自带的，网上帖子说有电信带的拔号软件会弹这样广告。

peak8

浏览我们当地的教育网站，没有出现弹出窗口，然后，切换到时空论坛首页也提示弹出，被卡巴阻止了。晕ing............