瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中了广告病毒
cnscdy - 2015-8-25 0:08:00
不知道进错了什么网站,我也记得我曾经点击了一封来自群里的电子邮件,然后我就发现我的电脑出现了问题。情况如下。刚开始,我发现当我进入铁血论坛、一些新闻网页的时候,偶尔在点击下一页的时候,网页会被劫持或者说它自动跳转到一些广告网页上(类似怎么赚钱之类的),当时觉得问题不大,于是就没在意。
然后,这两天,情况又变了:当我浏览铁血网、新闻网页、百度新闻、百度百科、百度知道等。例如,我发现当我浏览百度新闻时,一些所谓的百度网盟(百度DSP)广告存在的话,正常网页偶尔会跳转到如图1所示情况。但更多的时候,我发现我的网页被各类的牛皮癣所覆盖,而且我发现它可能是把网页原广告给替换或覆盖,如图2-8 。广告类型很多样,情色、营商,以及类似QQ提示框,还会didi叫,就和牛皮癣一样,IE牛皮癣。不过这种情况在个别网站不会出现,例如新浪军事网,国防部网站,以及一些电子报纸网站等。
于是,我就用瑞星全盘查杀。第一次是在断网的情况下进行安全模式,第二次是在正常模式联网情况下,分别查到了两个病毒。第一个,我认为就是以QQ盗号木马;第二个,瑞星开始只是检查到但不能给予自动处理,于是我手动处理,病毒名为Malware.RDM.27!5.21。由于担心像以前一样病毒突然从文件恢复区消失,我就直接进入日志隔离区删除所选,所以现在没有样本。如图9
我还把IE浏览器还原和重置,清理了电脑垃圾,本以为这样就好了,但没想到依旧。于是我百度,发现我的情况和中了adware/win32.agent.cp等木马情况类似,就是所谓的“IE牛皮癣”。
不知道怎么办了,瑞星工程师,求救。

用户系统信息:Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 BIDUBrowser/6.x Safari/537.31
cnscdy - 2015-8-25 14:52:00
偶尔进入视频等网站,就自动成了这样。正如前文,我不知道是不是瑞星V16没有查到“元凶”,还是怎么的。希望得到帮助,希望解决。
麦青儿 - 2015-8-25 18:18:00
先扫个日志发上来吧,让版主看看:
http://bbs.ikaka.com/showtopic-8442813.aspx
那电子邮件还在吗,是点了附件后发生的?如果还在,请转发我们一份:bbs@rising.com.cn
cnscdy - 2015-8-25 21:17:00
请帮我看看吧,现在弄的我真的头痛。那个电邮,我点了之后发现不些对劲,已经删了。

附件: SREngLOG.log (2015-8-25 21:17:23, 103.13 K)
该附件被下载次数 421

cnscdy - 2015-8-25 21:20:00
请抽时间帮我看看日志吧。先谢谢了。
cnscdy - 2015-8-25 23:35:00
因为是第一次用,所以在是关了手动开启的程序后,再扫了一次(名字叫SREngLOG1),不过这次的速度明显快了很多,不会有问题吧?我还是不希望给高人的分析造成多余的麻烦。麻烦帮我看看,谢谢。
cnscdy - 2015-8-25 23:38:00
因为第一次用,不懂,听说要关掉手动开启的程序后再扫描,这是我后面在关了一些手动开启的程序后重新扫描的,不过这次速度快了很多。麻烦了,请帮忙选择合格的看看。

附件: SREngLOG1.log (2015-8-25 23:38:43, 87.87 K)
该附件被下载次数 433

cnscdy - 2015-8-25 23:42:00
而且,我现在发现一个新的问题,偶尔在新打开一个浏览器标签或说新网页后,风扇会突然转得很欢,不知道对分析有没有作用。
天月来了 - 2015-8-26 10:56:00
你是8系统64位的,这日志没什么用

建议将所有你认为没问题的非微软的软件都卸载后观察看如何

以及换别的电脑试你的宽带看如何

下面这个项目不认识,你自己分辨下

==================================
驱动程序
[INETMON / INETMON][Running/Manual Start]
  <\??\C:\Windows\System32\Drivers\INETMON.sys><N/A>
cnscdy - 2015-8-26 14:14:00
谢谢,那依你的经验看,如果重装系统而不格式化硬盘,可以解决问题吗?因为软件确实查不出“病源”。
天月来了 - 2015-8-26 16:59:00
重装系统,不格式化其他盘,应该可以解决问题,但是要注意查看硬盘主引导是否异常
CFBIQM - 2015-8-26 18:30:00
我记得以前都是删帖制啊:kaka2:
cnscdy - 2015-8-26 21:06:00
好的,谢谢。
cnscdy - 2015-8-27 1:23:00
你好,我发现了一种情况:DNS劫持,遇到它也会出现广告、跳转等。请问怎么办?重装系统有用吗?
cnscdy - 2015-8-27 1:35:00
之前发了一篇《[tr=rgb(245,]
中了广告病毒
》的帖子,经过杀毒软件,没发现病毒,后来我想到了可能是DNS劫持,情况类似。请问我该怎么办?家里没有宽带路由器,是那种联通的。请高手帮忙指教。

用户系统信息:Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 BIDUBrowser/6.x Safari/537.31
cnscdy - 2015-8-27 1:38:00
之前发了篇《中了广告病毒》,采用杀毒软件没效果,才想起可能是DNS被劫持,请问我该怎么办?我家里没有路由器(猫),是联通那种,请高手支招。

用户系统信息:Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.43 BIDUBrowser/6.x Safari/537.31
cnscdy - 2015-8-27 1:40:00
现在我恍然大悟,似乎找到了原因,但又很着急,百度之后我不会弄。我家里也没有路由器(猫),是联通那种,请高手细心指教,谢谢!
cnscdy - 2015-8-27 1:44:00
而且网上说的192.168.1.1等根本进入不了。
天月来了 - 2015-8-27 8:42:00
你又悟出神马了哟:kaka8:

找别人的电脑试你的宽带,不就知道是否宽带问题,还是你电脑问题咯

至于DNS劫持,去看看你本地连接那的属性内的TCP/IP那的DNS是啥情况咯:kaka6:
cnscdy - 2015-8-27 15:14:00
是这样的,我的TCP/IP本来设置的都是自动获得。昨晚我把TCP/IPv4取消自动获得DNS服务器地址,由于不知道填写什么就手动填写了一个首选119.6.6.6(在瑞星防火墙里看到的,查询后我看是成都联通,就用了),备选114.114.114.114,昨晚试了一些,发现有效果,很多都复原了,但当我继续查DNS解析的相关资料时,发现有一个还是会跳转到百度网盟推广,比特网也还是会出现之前相同的广告。今天在上网的时候,发现一切如旧。于是中午又把首选改为114.114.114.114和114.114.115.115,现在来看,是恢复了。
本来家里有台电脑,刚好坏了,只有之后去借一台回来。对于DNS之类的,我也是临时抱佛脚的去认识,所以希望你可以多指点,谢谢高人!
cnscdy - 2015-8-27 15:24:00
对了,你看我是否需要更改一下宽带连接的密码?因为我不知道原理是什么,不知道怎么弄合适。
cnscdy - 2015-8-27 15:36:00
网上的解决方法说要根据路由器背面的信息,在浏览器输入http://192.168.1.1(这是迅捷的)之类的,然后对路由器的设置、密码等进行更改,可是我家里没有路由器(猫),只有一根电缆线,是联通那种的,我该怎么办?请高人指教。
天月来了 - 2015-8-27 16:17:00
宽带连接的密码是改不了,也不需要改

DNS问题,还是服务商的问题了

你既然只有一根电缆线,是联通那种的,我建议你联系联通服务商来实地看看

最好能有另外的无异常的电脑拿来试你的宽带
cnscdy - 2015-8-27 16:48:00
好的,谢谢高人指点。
我之后找一台电脑回来试试。不过,不会对别人的电脑造成伤害吧?我担心是不光是我的电脑被篡改设置,如果是网上说所的路由器设置被篡改或宽带运营商的问题,万一用别人的电脑xxx家的网线,如果问题还存在,给别人电脑也整出问题了,我就不好意思了。
谢谢你,给了我一些建议,找出了大概方向,我就安心了许多,虽然还不知道具体弄什么。
天月来了 - 2015-8-27 17:15:00
那就自己电脑搬别人家的网络试你的电脑是否还那么异常

汗:kaka6:

试的时候,别人家所有东西关机断电,不连网,就你自己的电脑单独连网


试完,别人家的网络设备断电重启


左右不会影响别人家的了
1
查看完整版本: 中了广告病毒