瑞星卡卡安全论坛

最近电脑经常出现一些类似的一个文件夹和一个压缩文件（文件名都是C5开头，就像C5-0A7C5B6D-0AEA8E0D-0572E08D），桌面，C盘，D盘,G盘都出现过，删了不知道什么时候又出现。。。有时候上网，例如在浏览器地址栏输入：www.3**buy.com或者其他网站，显示内容却是游戏广告，但是地址栏依然是：www.3**buy.com。。。刷新一下页面又可以正常浏览www.3**buy.com网页了。。。用笔记本方式打开 压缩文件 显示如下：

<html>
<script language=javascript type="text/javascript">
    window.location.replace("http://nfdnserror7.wo.com.cn:8080?HOST="
        + location.hostname + "&R="
        + location.pathname + "&" + location.search.substr(location.search.indexOf("\?")+1));
</script>


<noscript>
<meta  http-equiv="refresh"  c>
</noscript>
<head>
<title>Redirect</title>
</head>
<body bgcolor="white" text="black">
</body>
</html>





用户系统信息：Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari/535.1

附件: C5-0A7C5B6D-0AEA8E0D-0572E08D.zip

附件: C5-0A495B6D-0FFA8E0D-0C02E05D.zip

附件: C5-0D09CB9D-01153E9D-04BC9D2D.zip

最近电脑经常出现一些类似的一个文件夹和一个压缩文件（文件名都是C5开头，就像C5-0A7C5B6D-0AEA8E0D-0572E08D），桌面，C盘，D盘,G盘都出现过，删了不知道什么时候又出现。。。有时候上网，例如在浏览器地址栏输入：www.3**buy.com或者其他网站，显示内容却是游戏广告，但是地址栏依然是：www.3**buy.com。。。刷新一下页面又可以正常浏览www.3**buy.com网页了。。。用笔记本方式打开 压缩文件 显示如下：


<html>
<script language=javascript type="text/javascript">
    window.location.replace("http://nfdnserror7.wo.com.cn:8080?HOST="
        + location.hostname + "&R="
        + location.pathname + "&" + location.search.substr(location.search.indexOf("\?")+1));
</script>


<noscript>
<meta  http-equiv="refresh"  c>
</noscript>
<head>
<title>Redirect</title>
</head>
<body bgcolor="white" text="black">
</body>
</html>







用户系统信息：Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.107 Safari/535.1

附件: C5-0EFBB03D-0A3A5ACD-087A553D.zip

附件: C5-0EFB9E1D-0BD43ACD-0350A1ED.zip

附件: C5-0D09309D-01073E9D-02BC90ED.zip

附件: C5-0D09CB9D-01153E9D-04BC9D2D.zip

附件: C5-0A495B6D-0FFA8E0D-0C02E05D.zip

附件: C5-0A7C5B6D-0AEA8E0D-0572E08D.zip

下载sreng日志工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html

扫描已经压缩。

附件: SREngLOG.rar

日志未见异常，lz是通过什么方式上网啊

联通宽带网络，有线路由器。

未见异常，那怎么会最近突然多了很多C5开头的压缩文件和文件夹呢？以前还真没试过。。。

不排除运营商恶意推广广告的可能性。

C:\Windows\system32\drivers\PassGuard.sys 这个驱动找到压缩发来看一下。

很多C5开头的压缩文件和文件夹呢？以前还真没试过。。。这个又怎么去理解呢？

附件: PassGuard.rar

PassGuard.sys是正常文件。

意思是我电脑目前看不出什么问题？

最大的可能性是你自己的电脑内某个你一直以为没问题的软件在创建那些文件，而你无法辨别，所以觉得象病毒。

这问题还真的比较复杂，如果要你用瑞星软件全局监控文件的创建并记录日志，估计也不现实。

得你自己观察到底什么软件运行后会出现那玩意了。

那如果我重新安装WIN 7，并且在安装过程中将所有盘都格式化，能彻底解决问题吧？~！

那个应该不是联通的广告，因为联通确实有在网页上投放广告，那些是一些网页游戏的广告。联通的广告不是那样的，这点可以确定。

lz回想一下，是否安装了某个软件后就出现了此问题？如果是最好能提供软件或软件下载地址。

。。。最近都没装什么软件。。。今天重装系统算了。。。为确保新系统的安全，我狠心将1.5T硬盘全部格式化。。。
我是不是应该先 快速格式化 所有盘（除C盘），然后开始装系统呢？

重装的时候，在启动光盘内删除所有盘内容或格式化随便你了

你愿意试的话，也可以保留其他盘文件，或许哪天打开运行到了，就又异常了

不就知道原因了么

XP重装的时候，在启动光盘内能重新分区我就知道，但是能格式化其他盘么？半年多没用XP不记得了。。。。

分析html代码:

http://nfdnserror7.wo.com.cn:8080  这是联通的wo的广告的网址

那html代码的意思就是：
当你访问了这个html（这应该是zip文件里的html文件）网页时，就跳转到上面那个网址