自动弹出网页,突然消失,只保留在历史记录里...
请高手看看:
前几天开始的,突然弹出一个网页没看清就关闭了,但是任务管理器进程里IE依然在运行,IE的访问记录里有,而且会不短的在访问记录里刷其他的“流氓”,主要以
www.8yule.com为首。同时务管理器进程里IE的内存占用不断增加。
系统、网络、使用情况:
Windows Server 2003 + IE 7.0
自从使用路由器以来不开防火墙,之前没任何问题。
怀疑是有毒或木马,就在安全模式下用KAKA查木马、修复系统、修复IE都没异常。用Rising查毒,结果无毒。同时安装系统补丁,检查修补漏洞。
之后正常进入系统,连上网络有继续刷“流氓”。
同时发现在Temp文件夹下多了Cookies Internet 临时文件等几个IE常用文件夹并删除不了显示IE在占用。而且关闭IE时任务管理器进程里IE依然在运行。
在刷“流氓”的时候我打开了防火墙,结果说:
c:\program files\common files\thunder network\kankan\playerhelper.dll 要访问网络是否同意?选“禁止”
c:\program files\common files\thunder network\kankan\pplayer.2.0.0.181.(569).dll 要访问网络是否同意?选“禁止”
日志里有这样一条:详细内容2008-11-16 01:37:19, 系统禁止本地PPlayer.2.0.0.181.(569).dll发送UDP数据包,地址为:0.0.0.0:3715 => 121.10.120.193:18996程序名称为:C:\PROGRAM FILES\INTERNET EXPLORER\iexplore.exe>>C:\Program Files\Common Files\Thunder Network\KanKan\PPlayer.2.0.0.181.(569).dll
同时把playerhelper.dll和pplayer.2.0.0.181.(569).dll加进规则里全部禁止症状消失。
请高手检查下这两个playerhelper.dll pplayer.2.0.0.181.(569).dll是不是有嫌疑。
这文件装了迅X就有了。
另外用sreng扫后说有入口点错误:CreateProcessA和CreateProcessW 被未知模块Hook地址0x01113BDD和
0x01113CC5 修复不了。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)
