每隔10~20分就會打開IE這是中毒還是spyware進駐我的電腦? |
答題得分者是:P.D.
|
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
在下述事件發生前一天,我的電腦似有spyware進駐,開機後會看見一個小視窗裡面有一個WEB SEARCH按鈕及輸入欄位,打開工作管理員程式會發現有個程式名叫DESKTOP.EXE,但奇怪的是該程式所在目錄無法刪除(即便結束程式執行),在REGISTRY的RUN機碼的資料值會看到DESKTOP.EXE,奇怪的是該機碼的資料值也無法刪除,MICROSOFT ANTISPYWARE有偵查這SPYWARE但也無法刪除,我好不容易刪除後開機即不在見這小視窗(裡面有一個WEB SEARCH按鈕及輸入欄位),打開工作管理員程式也不再發現這個程式DESKTOP.EXE,但之後上網後每隔10~20分就會自動打開IE,而IE的網址不外如下這幾個
http://adv.eblocs.com/spyblocs/adv/admed_006.html
http://www9.paypopup.com/belnk/belnk.htm
http://www.virushunter.com/?nats=NzIyMDozOjE
http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions
http://www.loadingwebsite.com/normal/yyy34.html(最常見)
http://www.9ringtone.com/tw/index.php(最常見)
請問這是中毒還是spyware進駐我的電腦?我要如何處理呢?因為用MICROSOFT ANTISPYWARE去偵查並無發現任何SPYWARE ?
|
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
|
P.D.
版主 發表:603 回覆:4038 積分:3874 註冊:2006-10-31 發送簡訊給我 |
引言: 漏寫一個網址http://e.rn11.com/a/a369-ovc720spi,這網址的內容大意是我的電腦有一危險的間諜軟體,要掃瞄把它找出來嗎,上面還有一個UPDATE按鈕.正常的spyware是不會主動打開IE的, 如果你是用一些FREE或來路不明的spyware有可能是偽裝的, 而按你的狀況十分有可能是被惡意的植入後門程式(backdoor)或蠕蟲(worm), 建議你找幾套偵測regisitry的工具如魔法兔子, netspeed, noaward都是針對不同型態的backdoor進行修正 以上至 www.softking.com.tw都可以找的到都有試用版 或者上 http://www.pandasoftware.com.tw/freescan/activescan.htm 可以幫你檢查你電腦的狀況(這是free的, 但無法解, 至少你可以知道目前情況) 但有一點要注意, 每一種檢查工具一定都有其強調的部份, 也有其忽略的地方, 舉例來說, 上面的free檢查網站查我的電腦會發生一個infact是award類型, 可是用其他如pccillin, notorn, macfee都查不出來, 因此不要只相信一種, 多用幾種來進行交叉檢查是比較好的 |
㊣
版主 發表:261 回覆:2302 積分:1667 註冊:2005-01-04 發送簡訊給我 |
修改註冊表的惡意代碼,大家肯定都見過了,手裡也有一兩樣對付的工具。 但是,最近有一種化妝成 BHO(Browser Helper Objects) 的惡意代碼出現了,現有的殺毒軟體和防火牆以及反木馬軟體好像不能對付,(誰發現了能對付這種代碼的殺毒軟體,告訴我哦!),下面的資料是部分是我的經驗,部分資料是從網際網路上搜索來得,算是一個解決方案吧。 電腦現象:電腦打開網頁時,自動彈出一個叫什麼「女生宿舍」的網頁。 基本分析:我有屏蔽彈出廣告和保護註冊表的軟體,而且防火牆和殺毒軟體沒有報警,所以基本上可以肯定不是簡單的註冊表修改,估計病毒是偽裝成什麼合法的組件修改了註冊表。 通過網際網路搜索,知道這種惡意代碼是偽裝成 BHO 感染註冊表的。 解決方案: 運行註冊表工具,切換到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 鍵值下,發現有四個 BHO 助手 ID 號,已知的有兩個 GOOGLE 工具條和 FLASHGET 的。還有兩個未知。複製這四個 ID 到記事本內,以便查找,把鍵值切換到: HKEY_CLASSES_ROOT 下,點編輯->查找,在查找項目(僅選擇項)中分別鍵入這幾個 ID 分別查找,將找到的 CLSID 項展中,雙擊左則的 InprocServer32,右邊默認中將會顯示出這個 CLSID 對應的 DLL 文件位置和名稱,分別記錄下來。 查找完後,只有一個 DLL 文件:Navihelper.dll (和 GOOGLE 工具條沒有關係)比較陌生,於是進入windows\system32 下找到這個文件,查看其屬性中並沒有寫明公司名稱及版權,初步確定就是這個 DLL 搗的鬼。用 UltraEdit 打開此 DLL,搜索 http://,發現了兩個網址: http://bar.iebar8.com/host.dat
http://www.netscape.com/newsref/std/小甜餅_spec.html 及一個 \host.dat 的字符串,在同一目錄下找到 host.dat,用 UltraEdit 打開一看,http://www.139love.com 就在其中,確認 NaviHelper.dll 就是罪魁禍首! 原理分析:此 DLL 為 IE 的助手(BHO),打開 IE 時會自動從網站下載需要顯示的廣告,將其保存在host.dat(數據庫:This file contains an SQLite 2.1 database)中,根據數據庫設置進行顯示,其數據庫下載地址為:http://bar.iebar8.com/host.dat,之前之所以... 處理方法:開始>運行 輸入:regsvr32 NaviHelper.dll -u 然後重新啟動計算機,再到 system32 下刪除NaviHelper.dll 及 Host.dat 文件即可。使用XP安裝了SP2的朋友可以直接在 IE 的加載項管理中將NaviHelperObj Class 禁用就 OK。 提醒大家,這種惡意代碼是不是傳統意義上的修改註冊表,它把自己偽裝成 BHO,普通的註冊表保護軟體無效;因為它只是感染註冊表,所以也不是傳統意義上的病毒,殺毒軟體也無效;它是利用你的瀏覽器端口下載數據,估計反木馬軟體也無效。建議大家監視HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 並觀察相關 CLSID 的指向的 DLL 是否正常,必要時可以使用 UltraEdit 打開 DLL,搜索是否含有 http:// 字符串。如果是病毒 DLL,立即刪除,如果發現 Windows 保護 DLL,可以使用 regsvr32 動態鏈接庫名字 -u 的命令行註銷這個 DLL,重起後刪除。 參考看看吧!!
------
------------------------------------------------------------------------- 走是為了到另一境界,停是為了欣賞人生;未走過千山萬水,怎知生命的虛實與輕重!? |
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
P.D.你好:
你介紹的魔法兔子蠻好用,想問你一下這軟體是不是大陸那邊開發得,問這問題是以前瀏覽大陸的網站常有被植入spyware的經驗,所以對大陸的軟體總是有戒心,不過這軟體便宜功能多(雖沒解決我的問題,每隔10~15分打開IE網址大部份是http://www.9ringtone.com/tw/index.php,http://www.loadingwebsite.com/normal/yyy34.html,http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions
)我非常喜愛,有買的衝動,所以才慎重其事得問你軟體得出處.
|
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
|
㊣
版主 發表:261 回覆:2302 積分:1667 註冊:2005-01-04 發送簡訊給我 |
引言: ㊣ 你好及P.D.你好: 若我的問題一直無法解決,用GHOST軟體來備份之前的正常檔案目錄,然後還原之前的正常檔案目錄,這方法可行嗎?GHOST軟體在備份時是否會把登錄檔(REGISTRY)一起備份呢?你應該是中了廣告病毒.它已改了你的登錄檔.現在ghost沒用了. 若之前有ghost,可以ghost回去
------
------------------------------------------------------------------------- 走是為了到另一境界,停是為了欣賞人生;未走過千山萬水,怎知生命的虛實與輕重!? |
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
|
㊣
版主 發表:261 回覆:2302 積分:1667 註冊:2005-01-04 發送簡訊給我 |
|
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
引言: 我的第一篇回應有Po出來ㄚ.... 你試試吧...㊣你好: 我有照你說的去做,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects底下沒發現什麼 ? 在HKEY_CLASSES_ROOT底下也找不到Navihelper.dll,後來上網找到一專殺廣告病毒的軟體AD-Aware SE,在PENICILLIN 2005及MS ANTISPYWARE都找不到的情形下,這軟體居然找出90物件(有FILES,REGISTRY KEY 或REGISTRY VALUE),並有系統分成6大家族病毒,然後我把90物件通通殺掉,再SCAN一次又找到兩隻又殺掉,再SCAN一次沒發現任何可識別的物件,至此我的電腦終於正常不在每隔10~15分就打開IE連接到特定網球址,在此之前我用,魔法兔子,MS ANTISPYWARE,PENICILLIN 2005 SCAN結果都報告正常,但打字至此我的IE又被打開好像還是有遺漏,不過這軟體可免費試用,大家不妨用看看. |
lukyshu
中階會員 發表:16 回覆:120 積分:93 註冊:2002-04-19 發送簡訊給我 |
您是中了Look2ME啦!
參考http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087441,00.htm
解決方式請下載:
http://www.majorgeeks.com/download4166.html 台灣 Delphi 俱樂部
PostgreSQL、FastReport專業討論區 http://www.delphi.club.tw
------
台灣 Delphi 俱樂部 PostgreSQL、FastReport專業討論區 http://www.delphi.club.tw |
P.D.
版主 發表:603 回覆:4038 積分:3874 註冊:2006-10-31 發送簡訊給我 |
引言: ㊣ 你好及P.D.你好: 若我的問題一直無法解決,用GHOST軟體來備份之前的正常檔案目錄,然後還原之前的正常檔案目錄,這方法可行嗎?GHOST軟體在備份時是否會把登錄檔(REGISTRY)一起備份呢?這套的確是對岸所開發的(不只這套, 其實很多這類的都是, 似乎這類技術在那邊比較純熟), 如果你不放心改用其他地區開發也可以, 只是這套我用過覺得還不錯, 至於是否為spyware, 我曾用其他很多來輔助交叉檢查, 至於都沒有跡象顯示這是一套spyware(但我不保證哦!), 我是這樣想啦! 畢竟對岸還是有真正想研發的團隊! 至於ghost 是無法備份檔案的, 如果你在未植入前ghost整個partition下來, 那現在回復是可行, 但現在已被植入再ghost還是連spyware都進入了, 所以還是找一些反spyware先移除看看, 如果試過都無效那就建議你重灌了! 祝好運 |
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
這幾天用了許多抗病毒軟體或反間諜軟體,將其結果整理一下,供大家參考 1.penicillin 2005,每次都無法找到我中的病毒軟體或間諜軟體.
2.norton antivirus有效找到我中的病毒軟體adware.look2me(找到47個),但似乎仍有遺漏,故問題仍無解決.
3.Ad-Aware.exe(有中文介面),每次都有找到中的病毒或間諜軟體,但似乎仍有遺漏,故問題仍無解決.
4.microsoft anti_spyware,有時會有時不會找到中的病毒或間諜軟體,但似乎仍有遺漏,故問題仍無解決.
5.stinger.exe,無法找到我中的病毒軟體或間諜軟體.
6.Super_Rabbit_Magic_Set.exe,無法找到我中的病毒軟體或間諜軟體. 7.counterspy.exe,ssfsetup555_1793493914.exe,STOPzilla_Setup.bat,wwsetup555_1793493914.exe,這幾個軟體是在同一網頁下載,每次都有找到中的病毒且把問題給解決,因為我的電腦不在每隔10分鐘就自動打開IE,尤其STOPzilla似乎有效攔截並顯示當自動打開IE時所連到的網址,由於這幾個軟體非免費,所以用了一兩天後我就退掉這幾個軟體,一退掉這幾個軟體自動打開IE的問題又發生了,即使我有penicillin 2005,norton antivirus,microsoft anti_spyware這幾個軟體在保護,當然我還有測試其他的軟體只是可能沒解決我的問題,所以沒特別提出來,
|
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
|
P.D.
版主 發表:603 回覆:4038 積分:3874 註冊:2006-10-31 發送簡訊給我 |
引言: 我想可能只有重安裝才能解決這問題,若之前我電腦正常時有用ghost備份在用ghost備份回來可解決這問題嗎?我的c:\windows就有2.5G那麼大,C:\PROGRAM FILES也有1.5G,用ghost備份容易嗎?回存回來容易嗎?你要看的不是file的大小, 而是看原ghost的大小, 我做下來的ghost c碟有4.3G, 實際window的大小有15G, 如果你確認之前GHOST的沒有問題, 當然回去也沒有問題, 甚至你回不同顆硬碟也沒問題, 當然ghost從發展至今版本太多了, 有些支援ntfs, 早期有些可以備份ntfs但無法還原ntfs, 要看你之前用的是那一種! 如果你真的不放心(按上文來看, 你真的很擔心回來有問題), 那很簡單, 找一顆與原來相當的HD, 先回到那裡後看看有沒有問題, 沒有的話再回到原本那顆, 至於如何回, 如何切, 不在本文主題中, 這也一言難盡, 先試試看吧! |
ry_lee
高階會員 發表:368 回覆:251 積分:123 註冊:2002-03-19 發送簡訊給我 |
我補充中毒這幾天奇怪現象(我的IE有安裝GOOGLE及YAHOO的工具列)
1.當我在GOOGLE或YAHOO的工具列的輸入欄位輸入要查詢的關鍵字後按搜尋鈕後,我的IE會自動打開,新打開IE的網址列是
http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions
這網頁也類似一個可搜尋資料的網頁,它有一個輸入欄位(是輸入要查詢的關鍵字),旁邊有一個搜尋鈕,而你在GOOGLE或YAHOO輸入欄位輸入要查詢的關鍵字也出現在這網頁的輸入欄位,也就是說在中毒期間在GOOGLE或YAHOO輸入欄位輸入要查詢的關鍵字後按搜尋鈕後,會打開兩個IE,一個IE內容是GOOGLE或YAHOO的搜尋結果,另一個IE內容是這網址http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions, 2.很奇怪是從2005/04/21下午起似乎沒有中毒的狀況再發生,我自己也不知是那個軟體幫了忙,但能確定中的毒是廣告病毒ADWARE.LOOK2ME.
|
P.D.
版主 發表:603 回覆:4038 積分:3874 註冊:2006-10-31 發送簡訊給我 |
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |