“【问题综述】一周常见、特殊问题总结”索引 bbs.ikaka.com

花落花又开 - 2005-11-24 13:32:00

大家好！欢迎来到反浏览器劫持版。

 为了加强本版的管理与建设，故开设此栏，主要是对一周常见、特别的问题进行总结，概述。目的是为了能集中的反映普遍的问题，加强对本版的知识性建设。同时也方便广大会员查阅，参考……

 本专栏为专题之用，定期维护。每周日更新，针对一周以来在本版常见的问题等做出总结或概述；如有特别问题需要写上，请悄悄话通知版主。PS：希望一直关注本版并有能力的会员们也能在此写出你们的墨水哦：）

格式：在楼下跟帖:本版一周常见、特别问题总结05.11.24--05.12.1……为标题，内容针对于问题展开分析和总结，具体不限。给予一周置顶，到下一篇总结为止。

觉得没什么好多写了，先到这里吧，以后有内容再加入。

-------------------------------------------------------------
本帖为本版版主编辑整理,未经本版版主同意严禁转载,转载可标明住处"瑞星卡卡社区www.ikaka.com"

敬告：专栏专用，未经允许，不得回复！
-------------------------------------------------------------
补：如内容有错误或有更好的解决方法欢迎大家批评，指正。

                  花落花又开
2005.11.24

花落花又开 - 2005-11-25 19:52:00

【问题综述】反浏览器劫持论坛本周常见及特殊问题总结[05.11.25]
http://forum.ikaka.com/topic.asp?board=67&artid=7456192 天使之剑

【问题综述】反浏览器劫持论坛本周常见及特殊问题总结[05.12.3]
http://forum.ikaka.com/topic.asp?board=67&artid=7490398 花落花又开

【问题综述】反浏览器劫持论坛本周常见及特殊问题总结[05.12.10]
http://forum.ikaka.com/topic.asp?board=67&artid=7526816 魔法学徒

【问题综述】反浏览器劫持论坛本周常见及特殊问题总结[05.12.17]
http://forum.ikaka.com/topic.asp?board=67&artid=7559836 飞跃迷离

【问题综述】反浏览器劫持论坛本周常见及特殊问题总结[05.12.25]
http://forum.ikaka.com/topic.asp?board=67&artid=7596791 天使之剑

【问题综述】反浏览器劫持论坛本周常见及特殊问题总结[06.1.1]
http://forum.ikaka.com/topic.asp?board=67&artid=7617138 花落花又开

【问题综述】反浏览器劫持版一周常见、特殊问题总结[06.1.9]
http://forum.ikaka.com/topic.asp?board=67&artid=7660650 魔法学徒

【问题综述】反浏览器劫持版一周常见、特殊问题总结[06.1.29]
http://forum.ikaka.com/topic.asp?board=67&artid=7740465 魔法学徒

【问题综述】反浏览器劫持版一周常见、特殊问题总结[06.2.6]
http://forum.ikaka.com/topic.asp?board=67&artid=7767328 魔法学徒

我就是小猪 - 2005-11-27 13:08:00

鸭子听雷~~~迷茫啊

旭光２３８９ - 2005-12-29 14:36:00

附件: 64409720051229143606.png

旭光２３８９ - 2005-12-29 14:51:00

老师好.上网开1个网页就出1个如下图.网速特慢,开瑞星也出,请帮忙.

附件: 64409720051229145137.png

旭光２３８９ - 2005-12-29 16:01:00

老师不在?

荣虎荣虎 - 2005-12-29 23:08:00

怎么了,现在的助手又多,最终出问题也多呀.

花落花又开 - 2005-12-31 19:39:00

又过了一年，大家元旦快乐！

本周就重点谈谈“link789.com”这个头痛的问题吧……

1.见帖：http://forum.ikaka.com/topic.asp?board=67&artid=7601375
LOG中都没什么异常，帖中谈到关于WOW这个游戏的问题，具体是这个“Lancher.exe”，这个“Lancher.exe”是WOW游戏的启动程序，如果一启动就会有link789.com劫持,那9C公司应该有点责任了……大家有安装这个游戏的话不妨用杀软查查是否有报毒。有新情况到上面的链接跟帖说明。

不过有能力查到什么程序在作祟的朋友可以把样本压缩加密码virus发给我rsvirus@163.com，暂且静观其变吧。

2.microapmddt.dll进程困扰
[MacroMediapd]
{B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD} <C:\WINDOWS\system32\microapmddt.dll, MacroMedia>
有朋友说这个进程结束了还会再新建，关键是没找准问题的根本。
以上是SREng中这个劫持的LOG，可以删除这个浏览器加载项目看看能不能解决。

3.重头戏：WMF漏洞

[转]微软已经针对最近的WMF漏洞可能引起的攻击问题发布了一份安全咨询公告，微软称在对此漏洞进行全面的研究并发布安全补丁之前REGSVR32是一个可行的解决方案。

反注册Windows Picture和Fax Viewer的DLL文件Shimgvw.dll步骤如下：

(1).在运行中输入"regsvr32 -u %windir%/system32/shimgvw.dll"（不包括引号）后回车确定。

(2). 一个对话框会显示出来确认反注册工作已经成功，点击OK关闭对话框即可。

使用了上述的临时解决方法后，在用户点击一个和Windows Picture和Fax Viewer关联的图片时Windows Picture和Fax Viewer就不会再运行了。如果想取消上述的工作，重新注册一下Shimgvw.dll文件就可以了，重复上面操作的第一步输入"regsvr32 %windir%/system32/shimgvw.dll"就能完成Shimgvw.dll文件的注册工作。

安全网站F-Secure的安全专家认为这个方法比单纯的过滤掉WMF内容更加安全可靠，因为有太多类型的图形格式文件(.GIF, .BMP, .JPG, .TIF, etc...)也可能利用这个漏洞。F-Secure发出警告说他们现在已经发现利用此漏洞的木马程序和病毒，更多类型的木马程序和病毒也许很快就会出现

4.U88连锁加盟网问题又有抬头
这个问题魔法版主已经在http://forum.ikaka.com/topic.asp?board=67&artid=7526816中分析，有此类问题的朋友可以看看

dzq666 - 2006-1-5 12:16:00

请问各位大虾，我每次打开浏览器时，总是指向同一个网页。我试过用空白页，也无效，用超级兔子也无效。都是指向http://www.msn.com.cn/。不能更改，改了也指向这个网页。请问有办法解决吗？

魔法学徒 - 2006-1-9 15:32:00

本周的新花样不多，只有一个中搜的searchNet比较活跃，也比较麻烦，不太容易清除干净

这里提供几种清除方式

1、
重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

开始--运行--输入 c:\Program Files\searchNet\uninstall.exe --确定

2、
开始→控制面板→性能和维护→管理工具→服务→查找Remote Log→右击→属性→启动类型→禁止→应用→停止→确定。

重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

运行Hijackthis，修复
O4 - 启动项HKLM\\Run: [SearchNet_Up] "C:\Program Files\SearchNet\ServeUp.exe"

显示隐藏文件
删除
C:\Program Files\SearchNet\整个目录
C:\WINDOWS\system32\ServeHost.exe

3、如果以上两种方法仍然没能清除C:\Program Files\SearchNet\，可参考一下玉面修罗朋友的办法
转自安全中国 http://www.anti-vir.cn/bbs/index.php

方法如下:
开始-运行-CMD
进到searchnet的目录下(用CD 命令完成,如何使用该命令在百度里面搜一下就知道)
输入:attrib *.* -s -h -r 回车(注意是4个空格!)
del *.* 出现提示的时候选择 Y(注意是1个空格!)
这样就将searchnet文件夹里的内容全部删除.
然后回到searchnet所在目录(一般为Program files,直接输入 cd.. 命令就行了)删除该文件夹:
输入:rd searchnet
这样该文件夹就彻底删除了.

WUHAOJI88 - 2006-3-2 14:46:00

版主帮我看一HijackThis@Qoo的扫描日志 V1.97.7
Scan saved at 14:18:18, on 2006-3-2
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
F:\Program Files\Rising\Rav\CCenter.exe
F:\Program Files\Rising\Rav\Ravmond.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\RUNDLL32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Common Files\COMM\Network.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
F:\Program Files\Rising\Rav\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\Rundll32.exe
C:\WINNT\System32\internat.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\WINNT\system32\rundll32.exe
F:\Program Files\Rising\Rav\RavTask.exe
F:\Program Files\Rising\Rav\Ravmon.exe
C:\WINNT\System32\conime.exe
C:\Program Files\Tencent\QQ\TMDlls\TM.exe
C:\quarantine\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\chen\LOCALS~1\Temp\Rar$EX00.878\HijackThis.exe

R3 - URLSearchHook:
R3 - URLSearchHook: (no name) - <default> - (no file)
O1 - Hosts: 218.85.133.223 www.hkyzx.com
O1 - Hosts: 218.85.133.223 hkyzx.com
O1 - Hosts: 218.85.133.223 www.ty22.com
O1 - Hosts: 218.85.133.223 ty22.com
O1 - Hosts: 218.85.133.223 www.tu333.com
O1 - Hosts: 218.85.133.223 tu333.com
O1 - Hosts: 218.85.133.223 tk.83263.com
O1 - Hosts: 218.85.133.223 tu.hk9588.com
O1 - Hosts: 218.85.133.223 www.558tk.com
O1 - Hosts: 218.85.133.223 558tk.com
O1 - Hosts: 218.85.133.223 jpg.55tk.com
O1 - Hosts: 218.85.133.223 www.fc669.com
O1 - Hosts: 218.85.133.223 fc669.com
O1 - Hosts: 218.85.133.223 www.tk339.net
O1 - Hosts: 218.85.133.223 tk339.net
O1 - Hosts: 218.85.133.223 tk.5868.cn
O1 - Hosts: 218.85.133.223 www.2399.cn
O1 - Hosts: 218.85.133.223 2399.cn
O1 - Hosts: 218.85.133.223 www.2388.cn
O1 - Hosts: 218.85.133.223 2388.cn
O1 - Hosts: 218.85.133.223 www.bb520.com
O1 - Hosts: 218.85.133.223 bb520.com
O1 - Hosts: 218.85.133.223 wwww.cctv100.com
O1 - Hosts: 218.85.133.223 .cctv100.com
O1 - Hosts: 218.85.133.223 tk.tttuuu.net
O1 - Hosts: 218.85.133.223 tk.tttuuu.com
O1 - Hosts: 218.85.133.223 cd.vkv.cn
O1 - Hosts: 218.85.133.223 www.tvs66.net
O1 - Hosts: 218.85.133.223 tvs66.net
O1 - Hosts: 218.85.133.223 www.tvs66.com
O1 - Hosts: 218.85.133.223 tvs66.com
O1 - Hosts: 218.85.133.223 www.3d080.com
O1 - Hosts: 218.85.133.223 3d080.com
O1 - Hosts: 218.85.133.223 www.okok66.com
O1 - Hosts: 218.85.133.223 okok66.com
O1 - Hosts: 218.85.133.223 www.hj200.com
O1 - Hosts: 218.85.133.223 hj200.com
O1 - Hosts: 218.85.133.223 www.hj200.net
O1 - Hosts: 218.85.133.223 hj200.net
O1 - Hosts: 218.85.133.223 tk.4523.com
O1 - Hosts: 218.85.133.223 www.tk098.net
O1 - Hosts: 218.85.133.223 tk098.net
O1 - Hosts: 218.85.133.223 www.711722.com
O1 - Hosts: 218.85.133.223 711722.com
O1 - Hosts: 218.85.133.223 www.12142.com
O1 - Hosts: 218.85.133.223 12142.com
O1 - Hosts: 218.85.133.223 www.77tk.net
O1 - Hosts: 218.85.133.223 77tk.net
O1 - Hosts: 218.85.133.223 www.77tk.com
O1 - Hosts: 218.85.133.223 77tk.com
O1 - Hosts: 218.85.133.223 www.345tk.net
O1 - Hosts: 218.85.133.223 345tk.net
O1 - Hosts: 218.85.133.223 www.35777.net
O1 - Hosts: 218.85.133.223 35777.net
O1 - Hosts: 218.85.133.223 www.a9tk.com
O1 - Hosts: 218.85.133.223 a9tk.com
O1 - Hosts: 218.85.133.223 wwww.a9tk.com
O1 - Hosts: 218.85.133.223 .a9tk.com
O1 - Hosts: 218.85.133.223 www.m88888.com
O1 - Hosts: 218.85.133.223 m88888.com
O1 - Hosts: 218.85.133.223 www.86886.net
O1 - Hosts: 218.85.133.223 86886.net
O1 - Hosts: 218.85.133.223 lh.6288.net
O1 - Hosts: 218.85.133.223 wwww.6288.net
O1 - Hosts: 218.85.133.223 .6288.net
O1 - Hosts: 218.85.133.223 www.6533.net
O1 - Hosts: 218.85.133.223 6533.net
O1 - Hosts: 218.85.133.223 www.42789.com
O1 - Hosts: 218.85.133.223 42789.com
O1 - Hosts: 218.85.133.223 www.tu18.com
O1 - Hosts: 218.85.133.223 tu18.com
O1 - Hosts: 218.85.133.223 www.tk46.com
O1 - Hosts: 218.85.133.223 tk46.com
O1 - Hosts: 218.85.133.223 www.tk02.net
O1 - Hosts: 218.85.133.223 tk02.net
O1 - Hosts: 218.85.133.223 www.tk02.com
O1 - Hosts: 218.85.133.223 tk02.com
O1 - Hosts: 218.85.133.223 wwww.fc236.com
O1 - Hosts: 218.85.133.223 .fc236.com
O1 - Hosts: 218.85.133.223 www.fc339.com
O1 - Hosts: 218.85.133.223 fc339.com
O1 - Hosts: 218.85.133.223 cai.tk123.com
O1 - Hosts: 218.85.133.223 www.tm1997.com
O1 - Hosts: 218.85.133.223 tm1997.com
O1 - Hosts: 218.85.133.223 www.lhcty.com
O1 - Hosts: 218.85.133.223 lhcty.com
O1 - Hosts: 218.85.133.223 ww.128t.com
O1 - Hosts: 218.85.133.223 wwww.a8tk.com
O1 - Hosts: 218.85.133.223 .a8tk.com
O1 - Hosts: 218.85.133.223 www.a8tk.com
O1 - Hosts: 218.85.133.223 a8tk.com
O1 - Hosts: 218.85.133.223 www.a8tk.net
O1 - Hosts: 218.85.133.223 a8tk.net
O1 - Hosts: 218.85.133.223 WWW.FC236.COM
O1 - Hosts: 218.85.133.223 wwww.shc88.com
O1 - Hosts: 218.85.133.223 .shc88.com
O1 - Hosts: 218.85.133.223 www.tu688.net
O1 - Hosts: 218.85.133.223 tu688.net
O1 - Hosts: 218.85.133.223 www.tu688.com
O1 - Hosts: 218.85.133.223 tu688.com
O1 - Hosts: 218.85.133.223 www.tk688.net
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll (file missing)
O2 - BHO: (no name) - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: (no name) - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yangling.dll
O2 - BHO:
O2 - BHO: (no name) - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\quarantine\QQIEHelper.dll
O2 - BHO: (no name) - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINNT\downlo~1\CnsHook.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINNT\downlo~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [helper.dll] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [zcom] \zPlatform.exe MIN
O4 - HKLM\..\Run: [RavTask] "F:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [] regedit -s C:\$NtUninstallQ5926809$\sp4custom.dll
O4 - HKLM\..\Run: [3721] C:\$NtUninstallQ5926809$\3721.bat
O4 - HKCU\..\Run: [3721] C:\$NtUninstallQ5926809$\3721.bat
O4 - HKCU\..\Run: [] regedit -s C:\$NtUninstallQ5926809$\sp4custom.dll
O4 - Startup: cnmss3y.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\quarantine\AddToNetDisk.htm
O8 - Extra context menu item: 收藏此页到新浪ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - Extra context menu item: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\quarantine\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\quarantine\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\quarantine\SendMMS.htm
O8 - Extra context menu item: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll/246
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: QQ (HKLM)
O11 - Options group: [!CNS]
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\AutoCAD 2002\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday
O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview

瑞星卡卡安全论坛