总是自动弹出http://www.wxku.com/mms/chanel/chanelx1/chanelx1.htm?uid=178&luid=153&upa=&upb=&advno=（防止误点删除了几个字母）请教如何解决！

到置顶的常用工具下载hijackthis，扫描后复制粘贴上来，以供分析。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:39:44, 日期 2006-4-10
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Unable to get Internet Explorer version!

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\jj4\jjsvr4.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon\Max.exe
D:\STW12.0.2\STW.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Documents and Settings\Administrator\My Documents\2535952005811174944\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O4 - 启动项HKLM\\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pyjj] C:\Program Files\jj4\jjsvr4.exe
O8 - IE右键菜单中的新增项目: 使用Gigaget下载 - C:\Program Files\Giganology\Gigaget\geturl.htm
O8 - IE右键菜单中的新增项目: 使用Gigaget下载全部链接 - C:\Program Files\Giganology\Gigaget\getallurl.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: 联想 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.lenovo.com (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {DE607143-AC19-423e-864A-4D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607143-AC19-423e-864A-4D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138725169021
O17 - HKLM\System\CCS\Services\Tcpip\..\{B04660C2-006B-4D7D-836C-EF09B5DDD84B}: NameServer = 202.99.96.68 202.99.64.69
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - C:\TDdownload\kap\AVP5\kavsvc.exe
O23 - NT 服务: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

【回复“紫月幽灵”的帖子】
修复
R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - (no file)
O2 - BHO: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)

重启后删除
C:\WINDOWS\system32\gigagetbho_v10.dll

我这里也经常弹出http://www.wxku.com/......

做了一下分析，是网通做了会话劫持，抓到的第一个http应答包数据如下
<html><meta http-equiv='Pragma' content='no-cache'> <meta http-equiv='Refresh' content='0;URL='> <script> window.open('http://365tan.com/bang.html'); </script> <head> <title></title> </head> <body></body>.</html>

其中http://365tan.com/bang.html
访问时会被重定向到http://www.wxku.com/......

对方的IP是正确的，因此这个应该不是修改DNS，而是网通直接监听、伪造了tcp包。

这个比较可怕了，网站、邮箱的密码、浏览行为，都有可能被监听了...

iq199 2006-05-21 18:12

--------------------------------------------------------------------------------
访问www.365tan.com，和www.94lm.com是一个网站
whois查询94lm.com
注册人的邮箱是
jason.wei@lvxin.com.cn

www.lvxin.com.cn是“绿信科技”，和“紫光绿信”那个王八蛋公司名字怎么这么像？

看了一下绿信科技的网站，其主要产品电信级AR2000-S的关键特性里面第一项是
引用:
--------------------------------------------------------------------------------
AR2000-S独特的旁路（Pass-by）监听技术无需改变现有网络结构和其它系统设置，不会导致网络流量的下降，不会成为网络的瓶颈，不会降低网络效率，完全适合运营商级应用。
--------------------------------------------------------------------------------



在典型业务中，最后一项是
引用:
--------------------------------------------------------------------------------
利用AR2000-S系统可以在用户上网浏览时向用户的屏幕主动推送各类信息，例如系统调整通知、业务宣传、欠费催告、以及广告等信息内容。可以任意设定发布的范围、时间、频率等，成为运营商发布信息和宣传业务的最佳手段。
--------------------------------------------------------------------------------






这几天在研究彩信，经常到各个大SP的彩信版去，比如
mms.sina.com.cn
mms.kongzhong.com
等
当访问这些彩信版时，经常会弹出http://www.wxku.com/......
访问其它站点时，弹出的几率就很低，看来网通还是在分析tcp包的基础上，有针对性的耍流氓。

privateman 2006-05-22 02:49

--------------------------------------------------------------------------------
简直是挣钱不择手段, 可惜就是没人管.

zhanggr 2006-05-22 06:43

--------------------------------------------------------------------------------
美国电话"窃听门"中国版!