[求助]浏览器问题

peak8

近来，打开浏览器，浏览论坛主页时，居然，弹出个窗口，关闭浏览器，重复前面的操作，还是弹出，再重复操作，没有弹出窗口，肯定是浏览器的问题了。请求解决方法

dgxhls

狗屁绿色上网，电信就是利用这个下套。

bdfcy

没有啊！我不可能用这种垃圾软件的，何况我是用的路由器！

dgxhls

原帖由 bdfcy 于 2006-8-8 01:01 PM 发表
举报我这边的情况：

139 要你好玩 - 请勿关闭，精彩内容将马上向您呈现
http://139.com/learn.html?cid=41 ... mNvbS9pbmRleC5waHA=

绿色上网,安全一夏
http://202.103. ...

你这个明显是电信嵌入的，你用的是电信的拨号软件吧！

bdfcy

这帖没人关注了么？

bdfcy

第一个带有好多色情的文字什么的！

第二个是湖南省电信有限公司的！

bdfcy

举报我这边的情况：

139 要你好玩 - 请勿关闭，精彩内容将马上向您呈现
http://139.com/learn.html?cid=41 ... mNvbS9pbmRleC5waHA=

绿色上网,安全一夏
http://202.103.120.4/ChangDepush ... SZwb2xpY3lpZD0xNzAz

tingyuqian

这种官商勾结的事情不少见呢！比较恐怖！
例如互联星空就是属于这类垃圾

6618

原帖由 6618 于 2006-8-7 01:41 PM 发表
家贼难防，如你的服务商就流氓，更是防不胜防，老毛桃也是扬州的，不知这几天他去哪快活了？老毛桃快点现身，看看他那边的有没有这种情况。

liuhj

关注此帖几天了，长见识，顶一下。

peak8

我无法阻止ISP劫获并修改我的http会话，但我对它硬塞给我的东西，我是要唾弃的，刚用IP安全策略屏蔽了那个及其恶心的------http://219.133.33.37/angel.html。快哉！！

6618

家贼难防，假如你的服务商就流氓，更是防不胜防，老毛桃也是扬州的，不知这几天他去哪快活了？老毛桃快点现身，看看他那边的有没有这种情况。

[ 本帖最后由 6618 于 2006-8-7 11:19 PM 编辑 ]

peak8

弹出窗口的直接地址是http://219.133.33.37/angel.html
于是我在hosts文件里屏蔽此ip:

127.0.0.1  219.133.33.37

再直接访问http://219.133.33.37/angel.html还是能访问

我试着用hosts文件来屏蔽其他网站，能起作用，但这一招对219.133.33.37怎么不起作用了？

peak8

直接访问  http://219.133.33.37/   会跳转到http://v.21cn.com

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> 精彩电影 </TITLE>
</HEAD>
<BODY>
<script>window.location.href='http://v.21cn.com/RegisterUser.jsp?user_from=29640&sms_from=1861706&container=www.maybook.net';</script>
</BODY>
</HTML>

219.133.33.37这个垃圾和v.21cn.com有什么勾当！

bdfcy

晕，我这里也有了什么“绿色上网”！

peak8

原帖由 Climbing 于 2006-8-7 09:51 AM 发表
投诉ISP吧，把你抓到的数据包作为证据，直接向网络警察投诉。

没这个精力去，说实话，就这个问题，浪费了我宝贵的时间；另，我们当地的网络警察技术........嘿嘿。有一次，单位报警，公安局居然请了个软件公司里的人，哈哈哈..................

总之，今天是 219.133.33.37    往后说不定又换了什么呢。反正开启阻止弹出窗口是看不到的。诅咒和219.133.33.37 广告相关的人及其以后再次有此行径的畜牲不如的东西,去死吧.

Climbing

投诉ISP吧，把你抓到的数据包作为证据，直接向网络警察投诉。

peak8

从Ethereal获取的数据（前面几楼已经提供）看，我100%肯定不是我的电脑的问题。climbing的的分析更确定了我当初的推断，当时wang6071说极有可能，说是域名劫持。

我感觉被愚弄了一把，为了把这个问题搞清，在我的本本没有光软驱的情况下，设法重新安装了系统3次，一次是ghost还原备份，第二次是用ghostxp快速安装，第三次是从硬盘中IBM原盘备份的I386安装的。晕iing......#$$%^%&^*

[ 本帖最后由 peak8 于 2006-8-7 09:38 AM 编辑 ]

peak8

219.133.33.37这个IP太肮脏太龌蹙   屏蔽了这个垃圾不如的东西！！

Climbing

具体说，这种方式叫HTTP会话劫持。我通过google搜索到的相关链接如下：
http://my.opera.com/Csineneo/archive/monthly/?day=20060709
http://soft.yesky.com/security/hkjj/55/2286555.shtml
http://forums.mozine.org/index.php?showtopic=7242

1.===================================================================
Sunday, 9. July 2006
廣告
Sunday, 9. July 2006, 17:46:57

I use Opera!
　　最近兩天四川電信ADSL的廣告插入頻率又增加不少，像這種HTTP劫持，個人完全沒有辦法，雖然可以簡單屏蔽廣告地址，但由於垃圾代碼而造成的雜亂無章的頁面讓人看着實不爽。如果僅僅是廣告也就罷了，可是他還悄沒聲息的返回諸如provinceid,cityid,classid,username,sourceurl之類的數據，這簡直讓人無法忍受了。
　　據說近來的電信ADSL插入廣告是因為電信在進行廣告推送的招標而對各投標人的技術所做的測試，只是測試就有如此頻率，可以想像等到正式投入使用的時候打開任一頁面首先映入眼簾的將是氾濫的廣告！
0 Comments
谁控制了我们的浏览器？
Sunday, 9. July 2006, 17:22:27

I use Opera!
　　本文遵从GPL协议，欢迎转载。

　　1、现象是什么？

　　大约从今年年初开始，很多人就发现，在浏览一些网站的时候，地址栏的url后面会被莫名其妙地加上“?curtime=xxxxxxxxxx”（x为数字），并且弹出广告窗口。很多人以为这是网站自己弹出的广告，也就没有在意。

　　我是属于很在意的那些人之一。

　　2、这是怎么回事？

　　经过测试和分析，我们发现，上述现象与使用何种浏览器无关（我们测试了各种流行的http客户端），与使用何种操作系统也无关（linux用户也有相关报告）。我对出现该现象的IE浏览器进程进行了跟踪调试，没有发现任何异常。可以断定，并不是系统被安装了adware或者spyware。

　　那么是不是那些网站自己做的呢？后来发现，访问我们自己管理的网站时也出现了这种情况，排除了这个可能。

　　那么剩下唯一的可能就是：有人在某个或某几个关键网络节点上安装了inject设备，劫持了我们的HTTP会话——我实在是不愿相信这个答案，这个无耻、龌龊的答案。

　　伟大的谢洛克·福尔摩斯说过：当其他可能都被排除之后，剩下的，即使再怎么不可思议，也一定是答案。

　　为了验证这个想法，我选择了一个曾经出现过上述现象的网站附近网段的某个IP。直接访问这个IP的HTTP服务，正常情况下是没有页面的，应该返回404错误。我写了一个脚本，不断访问这个IP，同时记录进出的数据包。在访问进行了120次的时候，结束请求，查看数据。120次请求中，118次返回的都是正常的404错误：

HTTP/1.1 404 Object Not Found
Server: Microsoft-IIS/5.0
Date: Mon, 19 Jul 2004 12:57:37 GMT
Connection: close
Content-Type: text/html
Content-Length: 111

〈html〉〈head〉〈title〉Site Not Found〈/title〉〈/head〉
〈body〉No web site is configured at this address.〈/body〉〈/html〉

　　但是有两次，返回了这个：

HTTP/1.1 200 OK
Content-type: text/html

〈html〉
〈meta http-equiv='Pragma' content='no-cache'〉
〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉
〈script〉
window.open('http://211.147.5.121/DXT06-005.htm', '', 'width=400,height=330');
〈/script〉
〈head〉
〈title〉〈/title〉
〈/head〉
〈body〉
〈/body〉
〈/html〉

　　更进一步分析数据包，可知劫持流程如下：

　　A、在某个骨干路由器的边上，躺着一台旁路的设备，监听所有流过的HTTP会话。这个设备按照某种规律，对于某些HTTP请求进行特殊处理。

　　B、当一个不幸的HTTP请求流过，这个设备根据该请求的seq和ack，把早已准备好的数据作为回应包，发送给客户端。这个过程是非常快的，我们的HTTP请求发出之后，仅过了0.008秒，就收到了上面的回应。而任何正常的服务器都不可能在这么短的时间内做出回应。

　　C、因为seq和ack已经被伪造的回应用掉了，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。

　　D、浏览器会根据〈meta http-equiv='Refresh' content='0;URL=?curtime=1091231851'〉这一行，重新对你要访问的URL进行请求，这一次，得到了请求的真正页面，并且调用window.open函数打开广告窗口。

　　在google中以“php?curtime”、“htm?curtime”、“asp?curtime”为关键字搜索，出现的基本上是国内网站，这表明，问题出在国内。用于inject的设备插在国内的某个或某几个大节点上。

　　真相大白。我们被愚弄了，全中国的网民都成了某些人的赚钱工具。

　　3、现在怎么办？

　　在坏家伙被捉出来之前，我们要想不受这个玩意的骚扰，可以考虑下面的方法：

　　A、请各单位的网络管理员，在网络的边界设备上，完全封锁211.147.5.121。
　　B、在你自己的个人防火墙上，完全封锁211.147.5.121。
　　C、如果你的浏览器是FireFox、Opera、GreenBrowser、或者MyIE，可以把“http://211.147.5.121/*”丢到弹出窗口过滤列表中去。

　　绝不只是广告那么简单，这涉及到我们的选择，我们的自由，这比垃圾邮件更加肮脏和无耻。今天是广告，明天就可能在你下载软件的时候给你加个adware或者加个病毒进去，谁知道呢？我们的HTTP通信完全控制在别人手里。

　　4、如何把坏家伙揪出来？

　　如果你是一个有权力调查和处理这件事的人，从技术上，可以考虑下面的手段：

　　方法1、

　　伪造的回应数据中并没有处理TTL，也就是说，我们得到的回应数据中TTL是和inject设备位置相关的。以我收到的数据包为例，真实的服务器端回应TTL是107，伪造的回应TTL是53。那么，从我们这里到被请求的服务器之间经过了21（128-107）个节点，从我们这里到inject设备经过了11（64-53）个节点。只需要traceroute一下请求的服务器，得到路由回溯，往外数第11个节点就是安插inject设备的地方！

　　方法2：

　　假如坏家伙也看到了这篇文章，修改了TTL，我们仍然有办法。在google上以下面这些关键字搜索：php?curtime，htm?curtime，asp?curtime，可以得到大量访问时会被inject的网址。编写脚本反复访问这些网址，验证从你的ip访问过去是否会被inject。将确实会被inject的结果搜集起来，在不同的网络接入点上挨个用traceroute工具进行路由回溯。分析回溯的结果。

　　上面我们已经说明了，坏家伙是在某个或者某些重要节点上安插了inject设备，那么这个节点必然在被inject的那些网址到我们的IP之间的某个位置上。例如有A、B、C、D四个被inject到的网站，从四个地方进行路由回溯的结果如下：

MyIP-12-13-14-15-65-[89]-15-57-A
MyIP-66-67-68-69-85-[89]-45-68-84-52-44-B
MyIP-34-34-36-28-83-[89]-45-63-58-64-48-41-87-C
MyIP-22-25-29-32-65-45-[89]-58-D

　　显然，inject设备极大可能就在“89”所在的机房。

　　方法3：

　　另一方面，可以从存放广告业面的211.147.5.121这个IP入手，whois查询结果如下：

inetnum: 211.147.0.0 - 211.147.7.255
netname: DYNEGY-COMMUNICATION
descr: DYNEGY-COMMUNICATION
descr: CO.LTD
descr: BEIJING
country: CN
admin-c: PP40-AP
tech-c: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: hui_zh@sina.com 20011112
status: ALLOCATED PORTABLE
source: APNIC

person: Pang Patrick
nic-hdl: PP40-AP
e-mail: bill.pang@bj.datadragon.net
address: Fl./8, South Building, Bridge Mansion, No. 53
phone: +86-10-63181513
fax-no: +86-10-63181597
country: CN
changed: ipas@cnnic.net.cn 20030304
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: ShouLan Du
address: Fl./8, South Building, Bridge Mansion, No. 53
country: CN
phone: +86-010-83160000
fax-no: +86-010-83155528
e-mail: dsl327@btamail.net.cn
nic-hdl: SD76-AP
mnt-by: MAINT-CNNIC-AP
changed: dsl327@btamail.net.cn 20020403
source: APNIC

　　5、我为什么要写这篇文章？

　　新浪为我提供桃色新闻，我顺便看看新浪的广告，这是天经地义的；或者我安装某某网站的广告条，某某网站付给我钱，这也是天经地义的。可是这个211.147.5.121既不给我提供桃色新闻，又不给钱，却强迫我看广告，这就严重伤害了我脆弱而幼小的心灵。事实上，你可以敲诈克林斯·潘，强奸克里奥·佩德拉，咬死王阳明，挖成吉思汗墓，我都不会计较，但是现在你既然打搅了我的生活，我就不得不说几句了。

　　6、我是谁？

　　如果你知道MyName，又知道MyCount的话，那么，用下面这段perl可以得到：2f4f587a80c2dbbd870a46481b2b1882。

#!/usr/bin/perl -w

use Digest::MD5 qw(md5 md5_hex md5_base64);

$name = 'MyName';
$count = MyCount;

for ($i=0; $i〈$count; $i++)
{
$name = md5_hex($name);
}

print $name;

以下签名，用于以后可能出现的关于此文的交流：
1 6631876c2aea042934a5c4aaeabb88e9
2 a6a607b3bcff63980164d793ff61d170
3 6a58e8148eb75ce9c592236ef66a3448
4 ded96d29f7b49d0dd3f9d17187356310
5 cc603145bb5901a0ec8ec815d83eea66

　　注：本文为转载，作者不详，发布日期为：2004.7.20。

3.============================================================
辽宁网通宽带用户。最近被辽宁网通宽带服务的强制广告困扰。
这是我上网时出现广告的电脑截图：
广告窗口位置是浏览器最下方



●引用来自 315投诉网
辽宁网通公司，自2006年2月起，在没有同用户签署任何协议的情况下，单方面擅自连同北京紫光绿信公司，开展“绿色上网”和“UU网摘”等一系列附加业务。
这些业务，经常性的在用户正常上网时，弹出（插入）广告窗口和广告条，严重影响了用户的正常网上活动。
经过确认，辽宁境内很多网通用户都有此现象。
根据技术分析，这些广告的投放地点，必须是在电信级的路由器/服务器上，才能达到此效果。
由于使用了会话劫持等一系列技术，在客户端根本无法对这些广告进行屏蔽！
我已经向10060（辽宁网通）客服热线反应多次，均被告知无法解决。

peak8

原帖由 Climbing 于 2006-8-7 08:55 AM 发表
这肯定是ISP搞得鬼，我印象中曾经看过类似的文章。通过修改你发出的HTTP的请求头来散发广告，这是ISP很卑劣的一种做法。详细的介绍我搜索不到了，不过确实有这么回事。ISP要想修改你的数据实在是太简单的一件事情 ...

谢谢Climbing，其实这个问题可能早就存在，以前internet选项里开启了阻止探出窗口，所以看不到那个恶心的内容，不过页面顶端仍会有弹出窗口的提示，不过此时的提示出现后立刻消失（系统会发出吧嗒吧嗒的声音）。我们知道通常的弹出窗口的提示会停在那里，用户可以单击打开被阻止的窗口。

可恶！！

如果弹出的窗口内容是关注国计民生的也就罢了，里面的内容居然是略带色情的！！！什么“春光......"，试问：小孩子看到了会怎么办？？

再次严重谴责这一卑鄙无耻的行径！！！

试问，这是ISP搞的鬼，还是ISP中某个人的行为，从而从中获取非法的收入？

Climbing

这肯定是ISP搞得鬼，我印象中曾经看过类似的文章。通过修改你发出的HTTP的请求头来散发广告，这是ISP很卑劣的一种做法。详细的介绍我搜索不到了，不过确实有这么回事。ISP要想修改你的数据实在是太简单的一件事情。我敢肯定这不是病毒或者木马搞得鬼。

peak8

另外一点，我不是太确定，好像访问我们本地的一些网站，都不会弹出打开http://219.133.33.37/angel.html的窗口。包括访问www.gov.cn我发现都会弹出那个窗口。

peak8

说明，我重新拨号后，上www.baidu.com，如果不阻止的话，也会弹出访问wuyou时一样的窗口，说明不是wuyou和baidu的问题。但那段弹出窗口的代码从enthereal上看，确实是从wuyou和baidu的IP发过来的。

peak8

刚用entherea监控了数据流，分别监控了访问bbs.wuyou.net两次，一次是弹出窗口的，另外一次是没有弹出窗口的

请注意红色的文字

下面是正常时的数据

[/quote]
GET / HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, */*

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: bbs.wuyou.net

Connection: Keep-Alive

Cookie: cdb_sid=HZqZwK; cdb_cookietime=315360000; cdb_onlineindex=1; cdb_visitedfid=36D8D1D34; cdb_auth=AAFbUVoAVlECVVZTAA9dUFMEXVVXBFNdAQIBDAtXCldoalUPDQNW; cdb_oldtopics=D80453D80585D80515D



HTTP/1.1 200 OK

Date: Sun, 06 Aug 2006 23:28:04 GMT

Server: Apache/1.3.29 (Unix) mod_jk/1.2.5 mod_ssl/2.8.16 OpenSSL/0.9.7c DAV/1.0.3 mod_perl/1.27

X-Powered-By: PHP/4.3.4

Set-Cookie: cdb_sid=YREPLi; expires=Sun, 13-Aug-06 23:28:04 GMT; path=/

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html



1000


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
<html>
<head>
<title>............   - powered by Discuz!</title>

<meta http-equiv="Content-Type" content="text/html; charset=gbk">
<meta name="keywords" content="Discuz!,Board,Comsenz,forums,bulletin board,">
<meta name="description" content="............  - Discuz! Board">
<meta name="generator" content="Discuz! 4.1.0 with Templates 4.0.0">
<meta name="MSSmartTagsPreventParsing" content="TRUE">
<meta http-equiv="MSThemeCompatible" content="Yes">

<style type="text/css"><!--
a...{ text-decoration: none; color: #003366 }
a:hover...{ text-decoration: underline }
body...{ scrollbar-base-color: #F8F8F8; scrollbar-arrow-color: #698CC3; font-size: 12px; background-color: #9EB6D8 }
table...{ font: 12px Tahoma, Verdana; color: #000000 }
input,select,textarea.{ font: 11px Tahoma, Verdana; color: #000000; font-weight: normal; background-color: #F8F8F8 }
form...{ margin: 0; padding: 0}
select...{ font: 11px Arial, Tahoma; color: #000000; font-weight: normal; background-color: #F8F8F8 }
.nav...{ font: 12px Tahoma, Verdana; color: #000000; font-weight: bold }
.nav a...{ color: #000000 }
.header...{ font: 11px Tahoma, Verdana; color: #FFFFFF; font-weight: bold; background-color: #698CC3 }
.header a..{ color: #FFFFFF }
.category..{ font: 11px Arial, Tahoma; color: #000000; background-color: #EFEFEF }
.tableborder..{ background: #D6E0EF; border: 1px solid #698CC3 }
.singleborder..{ font-size: 0px; line-height: 1px; padding: 0px; background-color: #F8F8F8 }
.smalltxt..{ font: 11px Arial, Tahoma }
.outertxt..{ font: 12px Tahoma, Verdana; color: #000000 }
.outertxt a..{ color: #000000 }
.bold...{ font-weight: bold }
.altbg1...{ background: #F8F8F8 }
.altbg2...{ background: #FFFFFF }
.maintable..{ width: 98%; background-color: #FFFFFF }
--></style><script language="JavaScript" src="include/common.js"></script>
</head>

<body leftmargin="0" rightmargin="0" topmargin="0" onkeydown="if(event.keyCode==27) return false;">

<table bgcolor="#FFFFFF" width="98%" cellpadding="0" cellspacing="0" border="0" align="center">

<tr>
<td width="100%" background="images/default/topbg.gif">
<table border="0" cellspacing="0" cellpadding="0" width="98%" align="center" class="outertxt">

<tr>
<td rowspan="2" width="0"><img src="images/spacer.gif" width="0" height="0"></td>
<td rowspan="2" valign="top"><a href="index.php"><img src="images/default/logo.gif" alt="............" border="0"></a></td><td height="80" align="right">&nbsp;
<a href=http://www.wuyou.com target="_blank"><img border=0 src=http://bbs.wuyou.net/images/banner.gif width=460 height=60></a></td>
</tr>

<tr>
<td align="right" class="smalltxt"><span class="bold">&raquo;</span>
<span class="bold">peak8: </span> <a href="logging.php?action=logout">....</a>
| <a href="pm.php" target="_blank">......</a>
|  <a href="memcp.php">........</a>
| <a href="member.php?action=list">....</a>
| <a href="search.php">....</a>
| <a href="stats.php">....</a>
     
| <a href="status.php">..........</a>
| <a href="faq.php">....</a>

</td><td rowspan="2" width="0"><img src="images/spacer.gif" width="0" height="0"></td>
</tr>

</table>
</td></tr></table>
<center>
<div class="maintable"><br><table cellspacing="0" cellpadding="0" border="0" width="98%" align="center" style="table-layout: fixed">
<tr><td class="nav" width="85%" align="left" nowrap>&nbsp;<a href="index.php">............</a> </td>
<td align="right" width="15%">
&nbsp;<a href="#bottom"><img src="images/default/arrow_dw.gif" border="0" align="absmiddle"></a></td>
</tr></table><br>
</div>

<div class="maintable">
<table cellspacing="4" cellpadding="0" border="0" width="98%" align="center" class="outertxt">
<tr><td class="smalltxt">
.......... 07:28 AM, .............. 2006-8-6 09:52 PM<br>
....: <span class="bold">1448</span>&nbsp;
....: <span class="bold">721</span>&nbsp;
....: <span class="bold">0</span>&nbsp;
/ ....:
<span class="bold">........</span>
</td><td align="right" nowrap class="smalltxt">
<a href="search.php?srchfrom=35000&searchsubmit=yes">........</a> |
<a href="search.php?srchu

1000

id=68567&mytopics=yes&searchsubmit=yes">........</a> |
<a href="blog.php?uid=68567" target="_blank">Blog</a> |
<a href="digest.php">......</a> |
<a href="member.php?action=markread">........</a>
| .......... <a href="viewpro.php?username=Mgccl"><span class="bold">Mgccl</span></a><br>
.. <span class="bold">79799</span> ...... / <span class="bold">838938</span> ...... / .... <span class="bold">47</span> ...... / <span class="bold">68582</span> ......
</td></tr></table>
</div>
<div class="maintable">
<table cellspacing="1" cellpadding="4" width="98%" align="center" class="tableborder">
<tr class="header"><td colspan="3">............ ....</td></tr>
<tr class="altbg2" align="center">
<td colspan="3" align="center">
........................
</td></tr>
<tr class="altbg2"><td>
<table width="100%" border="0" cellpadding="1" cellspacing="0">
<tr><td width="50%">
</td><td align="right">
<img src="images/default/search.gif" border="0" align="bottom" width="16" height="16">&nbsp;&nbsp;<input type="text" name="searchbox" value=".........................." size="30" class="altbg2" onmouseover="this.focus()" onfocus="this.select()">
<select name="stype"><option value="" selected>....</option><option value="1">....</option></select>
<input name="button" type="button" style="height: 1.8em" onclick="window.open('search.php?srchtype=qihoo&srchtxt='+findobj('searchbox').value+'&stype='+findobj('stype').value+'&searchsubmit=yes');" value="....">
</td></tr>
<tr><td>
<span class="bold">........</span>&nbsp;
<a href="topic.php?topic=%CE%DE%D3%C7%C6%F4%B6%AF%C5%CC&keyword=%CE%DE%D3%C7%C6%F4%B6%AF%C5%CC&stype=0&length=0&relate=score" target="_blank">..........</a> &nbsp;
<a href="topic.php?topic=%C9%EE%C9%BD%BA%EC%D2%B6&keyword=%C9%EE%C9%BD%BA%EC%D2%B6&stype=0&length=0&relate=score" target="_blank">........</a> &nbsp;
<a href="topic.php?topic=Embedded&keyword=Embedded&stype=0&length=0&relate=score" target="_blank">Embedded</a> &nbsp;
<a href="topic.php?topic=GRUB&keyword=GRUB&stype=0&length=0&relate=score" target="_blank">GRUB</a> &nbsp;
<a href="topic.php?topic=EasyBoot&keyword=EasyBoot&stype=0&length=0&relate=score" target="_blank">EasyBoot</a> &nbsp;
<a href="topic.php?topic=WinPE&keyword=WinPE&stype=0&length=0&relate=score" target="_blank">WinPE</a> &nbsp;
</td><td align="right">
<span class="bold">........</span>&nbsp;&nbsp;<a href="topic.php?keyword=" target="_blank"></a>  [<a href="###" onclick="window.open('misc.php?action=customtopics', '', 'width=320,height=450,resizable=yes,scrollbars=yes');">....</a>]
</td></tr>
</table>
</td></tr>
</table><br></div>
<div class="maintable">
<table cellspacing="1" cellpadding="4" width="98%" align="center" class="tableborder">
<tr><td colspan="7" class="header"><table cellspacing="0" cellpadding="0" width="100%">
<tr class="smalltxt"><td class="bold"><a href="index.php?gid=0">............</a></td><td align="right">
<a href="###" onclick="toggle_collapse('category_0');"><img id="category_0_img" src="images/default/collapsed_no.gif" border="0"></a>
</td></tr></table></td></tr>
<tr class="category" align="center">
                <td width="5%"> </td>
                <td width="48%">....</td>
                <td width="5%">....</td>
                <td width="5%">....</td>
                <td width="5%">....</td>
                <td width="16%">........</td>
                <td width="16%">....</td>
   ..</tr><tbody id="category_0" style="">
<tr>
<td class="altbg1" align="center"><img src="images/default/red_forum.gif"></td>
<td class="altbg2" align="left" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<a href="forumdisplay.php?fid=34"><span class="bold">..........</span></a>
<br><span class="smalltxt">....................................<br><span class="bold">......:</span> <a href="forumdisplay.php?fid=33"><u>..........</u></a>, <a href="forumdisplay.php?fid=36"><u>DOS........</u></a>, <a href="forumdisplay.php?fid=37"><u>VMWare ....</u></a>, <a href="forumdisplay.php?fid=38"><u>Embedded ....</u></a></span></td>
<td class="altbg1" align="center">29323</td>
<td cla

1000

ss="altbg2" align="center">237009</td>
<td class="altbg1" align="center">18</td>
<td class="altbg2" height="52">
<table cellpadding="0" cellspacing="0" border="0" width="100%">
<tr><td align="left" class="smalltxt" nowrap>....: <a title="............inf........................" href="redirect.php?tid=80582&goto=lastpost#lastpost">............inf...... ...</a><br>....:
<a href="viewpro.php?username=%B0%B2%C7%E9">....</a><br>....: 2006-8-7 06:22 AM</td></tr></table></td>
<td class="altbg1" align="center" style="word-break: keep-all"><span class="smalltxt"><a href="viewpro.php?username=6618"><b>6618</b></a>, <a href="viewpro.php?username=%B4%F2%B9%B7%D0%AD%BB%E1%C0%ED%CA%C2"><b>............</b></a>, <a href="viewpro.php?username=%D7%CF%BA%FC"><b>....</b></a>, <a href="viewpro.php?username=%C0%CF%C3%AB%CC%D2"><b>......</b></a>&nbsp;</span></td></tr>
<tr>
<td class="altbg1" align="center"><img src="images/default/red_forum.gif"></td>
<td class="altbg2" align="left" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<a href="forumdisplay.php?fid=8"><span class="bold">..........</span></a>
<br><span class="smalltxt">..........................................................<br><span class="bold">......:</span> <a href="forumdisplay.php?fid=32"><u>..........</u></a></span></td>
<td class="altbg1" align="center">13436</td>
<td class="altbg2" align="center">89483</td>
<td class="altbg1" align="center">12</td>
<td class="altbg2" height="52">
<table cellpadding="0" cellspacing="0" border="0" width="100%">
<tr><td align="left" class="smalltxt" nowrap>....: <a title="[....].........." href="redirect.php?tid=80515&goto=lastpost#lastpost">[....]..........</a><br>....:
<a href="viewpro.php?username=6618">6618</a><br>....: 2006-8-7 04:31 AM</td></tr></table></td>
<td class="altbg1" align="center" style="word-break: keep-all"><span class="smalltxt"><a href="viewpro.php?username=%CB%C4%D6%BB%D1%DB%BF%B4%CA%C0%BD%E7"><b>............</b></a>, <a href="viewpro.php?username=6618"><b>6618</b></a>, <a href="viewpro.php?username=%D7%CF%BA%FC"><b>....</b></a>, <a href="viewpro.php?username=magictek"><b>magictek</b></a>&nbsp;</span></td></tr>
<tr>
<td class="altbg1" align="center"><img src="images/default/red_forum.gif"></td>
<td class="altbg2" align="left" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<a href="forumdisplay.php?fid=15"><span class="bold">..........</span></a>
<br><span class="smalltxt">..........................................................<br><span class="bold">......:</span> <a href="forumdisplay.php?fid=31"><u>..........</u></a></span></td>
<td class="altbg1" align="center">2861</td>
<td class="altbg2" align="center">13371</td>
<td class="altbg1" align="center">3</td>
<td class="altbg2" height="52">
<table cellpadding="0" cellspacing="0" border="0" width="100%">
<tr><td align="left" class="smalltxt" nowrap>....: <a title="....WAP.... ............ wapcount.com" href="redirect.php?tid=80609&goto=lastpost#lastpost">....WAP.... ........ ...</a><br>....:
<a href="viewpro.php?username=yxeenlzboy">yxeenlzboy</a><br>....: 2006-8-7 06:22 AM</td></tr></table></td>
<td class="altbg1" align="center" style="word-break: keep-all"><span class="smalltxt"><a href="viewpro.php?username=sliuy0"><b>sliuy0</b></a>, <a href="viewpro.php?username=%D0%A1%CF%BA%C6%A4"><b>......</b></a>, <a href="viewpro.php?username=wwwfox"><b>wwwfox</b></a>&nbsp;</span></td></tr>
<tr>
<td class="altbg1" align="center"><img src="images/default/red_forum.gif"></td>
<td class="altbg2" align="left" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<a href="forumdisplay.php?fid=1"><span class="bold">..........</span></a>
<br><span class="smalltxt">..............................................................</span></td>
<td class="altbg1" align="center">25631</td>
<td class="altbg2" align="center">396908</td>
<td class="altbg1" align="center">12</td>
<td class="altbg2" height="52">
<table cellpadding="0" cellspacing="0" border="0" width="100%">
<tr><td align="left" class="smalltxt" nowrap

1000

>....: <a title="................,.........................." href="redirect.php?tid=80600&goto=lastpost#lastpost">................,.... ...</a><br>....:
<a href="viewpro.php?username=xiaoyongge">xiaoyongge</a><br>....: 2006-8-7 02:46 AM</td></tr></table></td>
<td class="altbg1" align="center" style="word-break: keep-all"><span class="smalltxt"><a href="viewpro.php?username=%C4%AA%B0%AE%BA%EC%B3%BE">........</a>, <a href="viewpro.php?username=%D5%FC%BE%C8%CE%A3%BB%FA">........</a>, <a href="viewpro.php?username=%C9%EE%C0%B6%B5%E7%C4%D4">........</a>, <a href="viewpro.php?username=%CC%EC%B7%E7">....</a>, <a href="viewpro.php?username=%B4%F2%B9%B7%D0%AD%BB%E1%C0%ED%CA%C2">............</a>&nbsp;</span></td></tr>
<tr>
<td class="altbg1" align="center"><img src="images/default/red_forum.gif"></td>
<td class="altbg2" align="left" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<a href="forumdisplay.php?fid=21"><span class="bold">..........</span></a>
<br><span class="smalltxt">................................................................</span></td>
<td class="altbg1" align="center">7713</td>
<td class="altbg2" align="center">95347</td>
<td class="altbg1" align="center">0</td>
<td class="altbg2" height="52">
<table cellpadding="0" cellspacing="0" border="0" width="100%">
<tr><td align="left" class="smalltxt" nowrap>....: <a title="......" href="redirect.php?tid=80354&goto=lastpost#lastpost">......</a><br>....:
<a href="viewpro.php?username=clwx">clwx</a><br>....: 2006-8-6 11:30 PM</td></tr></table></td>
<td class="altbg1" align="center" style="word-break: keep-all"><span class="smalltxt"><a href="viewpro.php?username=%B1%CC%BA%A3%BF%F1%CC%CE">........</a>, <a href="viewpro.php?username=%D5%FC%BE%C8%CE%A3%BB%FA">........</a>, <a href="viewpro.php?username=%C9%EE%C0%B6%B5%E7%C4%D4">........</a>&nbsp;</span></td></tr>
<tr>
<td class="altbg1" align="center"><img src="images/default/forum.gif"></td>
<td class="altbg2" align="left" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<a href="forumdisplay.php?fid=30"><span class="bold">..........</span></a>
<br><span class="smalltxt">........................................</span></td>
<td class="altbg1" align="center">544</td>
<td class="altbg2" align="center">3931</td>
<td class="altbg1" align="center">0</td>
<td class="altbg2" height="52">
<table cellpadding="0" cellspacing="0" border="0" width="100%">
<tr><td align="left" class="smalltxt" nowrap>....: <a title="................" href="redirect.php?tid=80447&goto=lastpost#lastpost">................</a><br>....:
<a href="viewpro.php?username=bdfcy">bdfcy</a><br>....: 2006-8-4 07:06 AM</td></tr></table></td>
<td class="altbg1" align="center" style="word-break: keep-all"><span class="smalltxt"><a href="viewpro.php?username=wwwfox">wwwfox</a>&nbsp;</span></td></tr>
</table><br></div><div class="maintable">
<table cellspacing="1" cellpadding="4" width="98%" align="center" class="tableborder">
<tr><td colspan="3" class="header"><a href="###" onclick="toggle_collapse('forumlinks');"><img id="forumlinks_img" src="images/default/collapsed_no.gif" align="right" border="0"></a>
<span class="bold">........</span></td></tr>
<tbody id="forumlinks" style="">
<tr>
<td class="altbg1" width="5%" align="center" valign="middle"><img src="images/default/forumlink.gif"></td>
<td class="altbg2" width="95%" colspan="2" valign="middle" style="word-break: keep-all" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'"><a href="http://www.discuz.com" target="_blank"><img src="images/logo.gif" border="0" alt="Discuz! ........"></a> <a href="http://bbs.websky.net/" target="_blank"><img src="images/websky.gif" border="0" alt="........"></a> <a href="http://bbs.cfanhome.com" target="_blank"><img src="images/cfanclub.gif" border="0" alt="...................."></a> <a href="http://www.jujumao.com" target="_blank"><img src="images/jujumao.gif" border="0" alt="JUJU............"></a> <a href="http://www.hao007.net/cgi-bin/leobbs.cgi" target="_blank"><img src="images/hao007.gif" border="0"

1000

alt="CAD/CAM........"></a> <a href="http://www.myjxtx.com" target="_blank"><img src="images/myjxtx.gif" border="0" alt="........"></a> <a href="http://www.xxjy.org/index.php" target="_blank"><img src="images/xiaoxao.gif" border="0" alt="........"></a> <a href="http://www.zaibbs.com/index.php" target="_blank"><img src="images/zaibbs.gif" border="0" alt=".............."></a> <a href="http://www.mscode.cc" target="_blank"><img src="images/mscode.gif" border="0" alt=".............."></a> <br><a href="http://www.znpc.net/bbs/" target="_blank">[Sysoft ........]</a> <a href="http://www.791600.com/bbs/index.asp" target="_blank">[..........*..........]</a> </td>
</tr>
</tbody>
<tr class="header"><td colspan="3" class="smalltxt" style="font-weight: normal; color: #FFFFFF">
<a name="online"></a><a href="index.php?showoldetails=no#online"><img src="images/default/collapsed_no.gif" align="right" border="0">.</a>
<span class="bold"><a href="member.php?action=online">........</a></span> -
&nbsp;<span class="bold">57</span> ...... - <span class="bold">7</span> ......(<span class="bold">0</span> ....),
<span class="bold">50</span> ...... | .......... <span class="bold">967</span> .. <span class="bold">2006-6-17</span>.
</td></tr>
<tr><td class="altbg1" width="5%" align="center"><img src="images/default/online.gif"></td>
<td class="altbg2" colspan="2" onMouseOver="this.className='altbg1'" onMouseOut="this.className='altbg2'">
<table cellspacing="0" cellpadding="0" border="0" width="98%" align="center" class="smalltxt">
<tr><td colspan="7" valign="middle"><img src="images/common/online_admin.gif"> ...... &nbsp; &nbsp; &nbsp; <img src="images/common/online_supermod.gif"> ........ &nbsp; &nbsp; &nbsp; <img src="images/common/online_moderator.gif"> .... &nbsp; &nbsp; &nbsp; <img src="images/common/online_member.gif"> .... &nbsp; &nbsp; &nbsp; </td></tr>
<tr><td colspan="7"><hr noshade size="0" width="100%" color="#698CC3" align="center"></td></tr><tr><td nowrap>
</td></tr><tr><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=105875" title="....: 07:26 AM
....: ........
....: Embedded ....">Mgccl</a>
</td><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=103904" title="....: 07:19 AM
....: ............
....: ..........">....</a>
</td><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=73110" title="....: 07:25 AM
....: ........
....: ..........">135956</a>
</td><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=68567" title="....: 07:28 AM
....: ............">peak8</a>
</td><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=28881" title="....: 07:19 AM
....: ........
....: ..........">hzqp</a>
</td><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=21510" title="....: 07:20 AM
....: ........
....: ..........">....</a>
</td><td width="15%" nowrap>
<img src="images/common/online_member.gif" align="absmiddle">
<a href="viewpro.php?uid=2728" title="....: 07:27 AM
....: ........
....: ..........">weiq1</a>
</td></tr></table></td></tr>
</table><br><br></div><div class="maintable"><table cellspacing="0" cellpadding="0" border="0" width="98%" align="center" class="outertxt">
<tr><td align="center" class="smalltxt">
<img src="images/default/red_forum.gif" align="absmiddle">&nbsp; ............&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;
<img src="images/default/forum.gif" align="absmiddle">&nbsp; ............</td></tr></table>

<br><br></div><a name="bottom"></a>
<div class="maintable">
<center>............<a href="http://www.miibeian.gov.cn" target="_blank">..ICP..05002490..</a></center><br><br>
</div>

<div class="maintable">
<table cellspacing="2" cellpadding="0" align="center" style="font-size: 11px; font-family: Tahoma, Arial"><tr>
<td align="right"><a href="http://www.alipay.com" target="

72c

_blank"><img src="images/default/alipay.gif" border="0" align="absmiddle" alt="本论坛支付平台由支付宝提供
携手打造安全诚信的交易社区"></a> &nbsp; </td><td>
Powered by <a href="http://www.discuz.net" target="_blank"><b>Discuz!</b></a> <b style="color:#FF9900">4.1.0</b>
&nbsp;&copy; 2001-2006 <a href="http://www.comsenz.com" target="_blank">Comsenz Inc.</a>
<br>Processed in 0.022586 second(s), 8 queries
</td></tr></table><br>
</div>

<div class="maintable">
<table cellspacing="0" cellpadding="1" width="100%" class="outertxt">
<tr><td>
<table cellspacing="0" cellpadding="4" width="100%" class="smalltxt">
<tr class="altbg1"><td>.......... GMT+8, .......... 2006-8-7 07:28 AM</td>
<td align="right"><a href="member.php?action=clearcookies" class="bold">.... Cookies</a> - <a href="mailto: support@wuyou.com" class="bold">........</a> - <a href="http://www.wuyou.com/" target="_blank" class="bold">........</a>
- <a href="archiver/" target="_blank" class="bold">Archiver</a>
- <a href="wap/" target="_blank" class="bold">WAP</a>
</td>
<td align="right" width="1">
<select onchange="if(this.options[this.selectedIndex].value != '') {
var thisurl = document.URL.replace(/[&?]styleid=.+?&sid=.+?$/i, '');
window.location=(thisurl.replace(/\#.+$/, '')+(thisurl.match(/\?/) ? '&' : '?')+'styleid='+this.options[this.selectedIndex].value+'&sid=YREPLi') }">
<option value="">........</option>
<option value="">----------</option>
<option value="1">........</option>
</select></td>
</tr>
<tr style="font-size: 0px; line-height: 0px; spacing: 0px; padding: 0px; background-color: #698CC3"><td colspan="3">&nbsp;</td></tr></table>
</td></tr></table>
</div>
</center><br>
</body></html>


0

下面是弹出窗口时的数据

GET /index.php HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, */*

Referer: http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Host: bbs.wuyou.net

Connection: Keep-Alive

Cookie: cdb_sid=HZqZwK; cdb_cookietime=315360000; cdb_onlineindex=1; cdb_visitedfid=36D8D1D34; cdb_auth=AAFbUVoAVlECVVZTAA9dUFMEXVVXBFNdAQIBDAtXCldoalUPDQNW; cdb_oldtopics=D80453D80585D80515D; cdb_fid1=1154889825; cdb_fid8=1154896279



HTTP/1.1 200 OK

Date: Mon, 31 Mar 2003 01:24:22 GMT

Server: Apache/2.0.43 (Unix)

Content-Type: text/html

Connection: close



<HTML><script language="JavaScript">
function newwin()
{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=400,height=400,top=0,left=0 ';window.open('http://219.133.33.37/angel.html','ips_win0',win_attr);
  }
</script>
<head><title></title><META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META http-equiv="Content-Type" content="text/html;charset=gb2312"><meta http-equiv="Refresh" content="0; url=http://bbs.wuyou.net/index.php"></head><body onload='newwin()'> </body></html>entParsing" content="TRUE">
<meta http-equiv="MSThemeCompatible" content="Yes">

<style type="text/css"><!--
a...{ text-decoration: none; color: #003366 }
a:hover...{ text-decoration: underline }
body...{ scrollbar-base-color: #F8F8F8; scrollbar-arrow-color: #698CC3; font-size: 12px; background-color: #9EB6D8 }
table...{ font: 12px Tahoma, Verdana; color: #000000 }
input,select,textarea.{ font: 11px Tahoma, Verdana; color: #000000; font-weight: normal; background-color: #F8F8F8 }
form...{ margin: 0; padding: 0}
select...{ font: 11px Arial, Tahoma; color: #000000; font-weight: normal; background-color: #F8F8F8 }
.nav...{ font: 12px Tahoma, Verdana; color: #000000; font-weight: bold }
.nav a...{ color: #000000 }
.header...{ font: 11px Tahoma, Verdana; color: #FFFFFF; font-weight: bold; background-color: #698CC3 }
.header a..{ color: #FFFFFF }
.category..{ font: 11px Arial, Tahoma; color: #000000; background-color: #EFEFEF }
.tableborder..{ background: #D6E0EF; border: 1px solid #698CC3 }
.singleborder..{ font-size: 0px; line-height: 1px; padding: 0px; background-color: #F8F8F8 }
.smalltxt..{ font: 11px Arial, Tahoma }
.outertxt..{ font: 12px Tahoma, Verdana; color: #000000 }
.outertxt a..{ color: #000000 }
.bold...{ font-weight: bold }
.altbg1...{ background: #F8F8F8 }
.altbg2...{ background: #FFFFFF }
.maintable..{ width: 98%; background-color: #FFFFFF }
--></style><script language="JavaScript" src="include/common.js"></script>
</head>

<body leftmargin="0" rightmargin="0" topmargin="0" onkeydown="if(event.keyCode==27) return false;">

<table bgcolor="#FFFFFF" width="98%" cellpadding="0" cellspacing="0" border="0" align="center">

<tr>
<td width="100%" background="images/default/topbg.gif">
<table border="0" cellspacing="0" cellpadding="0" width="98%" align="center" class="outertxt">

<tr>
<td rowspan="2" width="0"><img src="images/spacer.gif" width="0" height="0"></td>
<td rowspan="2" valign="top"><a href="index.php"><img src="images/default/logo.gif" alt="............" border="0"></a></td><td height="80" align="right">&nbsp;
<a href=http://www.wuyou.com target="_blank"><img border=0 src=http://bbs.wuyou.net/images/banner.gif width=460 height=60></a></td>
</tr>

<tr>
<td align="right" class="smalltxt"><span class="bold">&raquo;</span>
<span class="bold">peak8: </span> <a href="logging.php?action=logout">....</a>
| <a href="pm.php" target="_blank">......</a>
|  <a href="memcp.php">........</a>
| <a href="member.php?action=list">....</a>
| <a href="search.php">....</a>
| <a href="stats.php">....</a>
     
| <a href="status.php">..........</a>
| <a href="faq.php">....</a>

</td><td rowspan="2" width="0"><img src="images/spacer.gif" width="0" height="0"></td>
</tr>

</table>
</td></tr></table>
<center>
<div class="maintable"><br><table cellspacing="0" cellpadding="0" border="0" width="98%" align="center" style="table-layout: fixed">
<tr><td class="nav" width="85%" align="left" nowrap>&nbsp;<a href="index.php">............</a> </td>
<td align="right" width="15%">
&nbsp;<a href="#bottom"><img src="images/default/arrow_dw.gif" border="0" align="absmiddle"></a></td>
</tr></table><br>
</div>

<div class="maintable">
<table cellspacing="4" cellpadding="0" border="0" width="98%" align="center" class="outertxt">
<tr><td class="smalltxt">
.......... 06:39 AM, .............. 2006-8-6 09:52 PM<br>
....: <span class="bold">1448</span>&nbsp;
....: <span class="bold">721</span>&nbsp;
....: <span class="bold">0</span>&nbsp;
/ ....:
<span class="bold">........</span>
</td><td align="right" nowrap class="smalltxt">
<a href="search.php?srchfrom=32000&searchsubmit=yes">........</a> |
<a href="search.php?srchu

1000

id=68567&mytopics=yes&searchsubmit=yes">........</a> |
<a href="blog.php?uid=68567" target="_blank">Blog</a> |
<a href="digest.php">......</a> |
<a href="member.php?action=markread">........</a>
| .......... <a

请看下图中标注1   2的两行，218.91.55.*是我的adsl  Client IP address
不知道大家有没有看出里面的蹊跷，我发出访问wuyou的请求，却收到了一个含有下面代码的数据

function newwin()
{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=400,height=400,top=0,left=0 ';window.open('http://219.133.33.37/angel.html','ips_win0',win_attr);
  }
</script>
<head><title></title><META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META http-equiv="Content-Type" content="text/html;charset=gb2312"><meta http-equiv="Refresh" content="0; url=http://bbs.wuyou.net/index.php"></head><body onload='newwin()'> </body></html>entParsing" content="TRUE">
<meta http-equiv="MSThemeCompatible" content="Yes">

[ 本帖最后由 peak8 于 2006-8-7 08:18 AM 编辑 ]

peak8

把RunDll32.exe关闭了，还是有弹出窗口
关于输入法，没改前，就有弹出窗口的情况
SYSCHECK2查看EXPLORER查看，没有发现注入了可疑的线程。

6618

#IE1 警告     IE设置: IE浏览器链接栏名称被恶意修改!
推荐删除: LinksFolderName: Links - HKCU\Software\Microsoft\Internet Explorer\Toolbar ,LinksFolderName
正常：
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
"LinksFolderName"="链接"
0.0.0.0 : 0|C:\WINDOWS\system32\svchost.exe|[ 监听 ]
C:\WINDOWS\system32\RunDll32.exe
存在上面这两个，存在病毒的迹象。
建议：
1、把输入法改成CTFMON。重启电脑后看还有没有启动INDICDLL.dll
2、卸载QQ，重启电脑，反注册INDICDLL.dll
3、结束RunDll32.exe进程。
4、上网看看还会不会弹出窗口。
peak8朋友，系统GHOST过了，重装过了，实在没法，唯有一步一步查找原因了。

用SYSCHECK2查看EXPLORER给注入了哪些线程。

[ 本帖最后由 6618 于 2006-8-7 04:33 AM 编辑 ]

6618

今天上午进入腾讯迷你新闻看杂志，结果中了莫名其妙的弹出网页骚扰，奇怪，退出腾讯QQ就不会有这种情况，结果用百度一搜，才发现别人也有这种情况，但问题却没解决，下面把百度的帖子复制上来，请大家帮忙解决以下，谢谢啦！就是下面这个网页，闪一下就没有了，等一下又闪！

上网时弹出窗口，没中毒，刚装的系统，怎么能解决？
悬赏分：20 - 提问时间2006-7-14 09:40
刚装的系统，使用FIREFOX浏览器，使用阻止弹出窗口的网站就没事，但有些网站必须允许弹出，这时就会出现一个另外的小窗口

弹出网址为：http://219.133.33.37:7010，查为深圳IP，偶就是使用深圳电信ADSL，难道是电信在搞怪？如果真是这样就太TMD无耻了，其它深圳网友有没有这事啊。以前电信也有弹出广告，不过只是刚上网时弹出一下，现在是每打开一次都要弹出，大部分显示不出来，有时会出现SZ10000.com的广告，请问如何能把它屏蔽掉？

完整的弹出网址为：http://219.133.33.37:7010/ndatin ... nBvbGljeWlkPTM0MDQ=
但打开又是空白页

我先去看了上面的这个帖子，6618本人就是深圳的ADSL，没有这个现象，联系安全分析专家，以及下面的帖子，发现这个比较可疑
#M0  警告     DLL:C:\WINDOWS\system32\INDICDLL.dll。
智能杀毒伴侣也有这个，未知模块，腾讯QQ用的，怎么可能是Microsoft Corporation公司？
INDICDLL.dll|C:\WINDOWS\system32\INDICDLL.dll|Microsoft Corporation
百度随便搜一下的结果：
INDICDLL.dll这是个什么文件？
悬赏分：60 - 解决时间：2006-1-15 09:31
我装有瑞星2006防火墙，游戏保护里添加了QQ保护，所以其他程序访问不到我的QQ，每次关QQ时防火墙就会提示有哪些程序曾经试图连接QQ，就有这么一个C:\WINNT\system32\INDICDLL.dll，每次都试图连接。
这是不是一个间谍程序，我们公司有网络监控系统，如果是这个没什么关系，如果是其他黑客的木马什么的就得删了。

杀过毒了。
问题补充：不太了解，请详细说明这个程序是干吗的？

禁止它通过会怎么样？我没发现有什么异常的啊？
提问者： pippo仔 - 经理 五级
最佳答案
这个很正常
QQ必须要调用这个“多语言组件”的动态链接库文件才能正常使用。
但6618的2006版珊瑚虫版QQ却没这个，建议卸载掉QQ，重新启动电脑，再regsvr32 /u INDICDLL.dll再看看还会不会弹出窗口，想问一下peak8朋友，你用的是什么版本的QQ？
最搜，百度也有说是“输入法组件”但我用的CTFMON.exe是没有这个东东的，不知你用的internat.exe是否有这个进程。我再改成你用的输入法图标，是有这个东东，但没你的电脑启动的线程多。

[ 本帖最后由 6618 于 2006-8-7 04:00 AM 编辑 ]

peak8

楼上我提供的这些代码和下面这个链接里提到的代码有十分类似之处：
http://i.sunnyblog.net/archives/000577.html

peak8

手头暂时没有  Browser Sentinel，冰刃

以下附件是ethereal捕获浏览器的记录，我不太熟悉，用ethereal可以打开的。如果用记事本打开，也可以发现里面发现有如下字符串：
<HTML><script language="JavaScript">
function newwin()
{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=400,height=400,top=0,left=0 ';window.open('http://219.133.33.37/angel.html','ips_win0',win_attr);
  }
</script>
<head><title></title><META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META http-equiv="Content-Type" content="text/html;charset=gb2312"><meta http-equiv="Refresh" content="0; url=http://bbs.wuyou.net/"></head><body onload='newwin()'> </body></html>

[ 本帖最后由 peak8 于 2006-8-6 10:24 PM 编辑 ]