对LINK789的一点见解..希望早日解决这个问题 bbs.ikaka.com

aac258 - 2006-1-10 2:22:00

我也是中招者之一.系统XPSP1(极度反感SP2)
安全补丁应该肯定是不全
不知道有没有防止抢劫的补丁..有的话版主帮忙找找吧..

下面说下link789具体症状
=========================================================

目前有几个网站(我也不知道进其他站会不会,偶尔上个其他网站也许就弹了..晕死了..反正我个人肯定弹的是www.getchu.com进去会弹)

(偶尔弹之前会显示一排代码偶尔会随机变化代码)
ation='httpwww.link789.comlele.html'+''+urlstring;
一般会弹以下几个网址(还随机变化的..从启后就不同...晕死了)
http://union.kuho.com/reg.html?vendor=eqifa&channel=27276&uuid=188
http://www.link789.com/xxxxxxx.html
(以前是http://www.link789.com/8522movie.html 后边的网页经常变今天就变了
变成http://union.kuho.com/reg.html?vendor=eqifa&channel=27276&uuid=188和
http://www.link789.com/eqifa/movie.html)

搜索过注册表(没任何可疑的和相关的),检查了启动项,各类杀毒修复IE的都用了(害的系统差点崩溃了..=,=)
也尝试过有朋友说的那个替换文件的方法也是不行..
到底是IE启动加载了什么.还是什么恶意代码看到那网址就启动这就不清楚了..

还有部分人是玩WOW中(估计也是网页导致的) 我没玩WOW过的说..

偶尔(不定期)收藏夹会多出来一个空的"链接"的文件夹(从启后删除还会出现,可能是恶意加载环境用的)

很多人说GHOST也没用,从装系统也还会中..所以也一直没格也舍不得..=,=

这可恶的病毒(可以这样叫吧..但是他没多大影响..也许影响网速?最近感觉网速不如以前好了,不过下载倒是一样快,就上网页的问题,估计网络问题吧..)

希望在瑞星这里得到各位的支持和帮助早日大家共同解决这个顽固的病毒
强烈鄙视这个偷毒者..我个人用电脑很仔细的,生怕中毒啥的..不知不觉还是中招了..
该反省了..用这么多年也没碰到这样的病毒..真是讨厌死了..
中招快两周了..找了无数方法无解啊...郁闷死了.心里有块大石头..很不舒服..
我想中招的也都一样吧...这种心情..

各位瑞星的大大..加油啊..研究出来到底是什么原因...由于也没办法提出出来病毒
他的网页上也不是带病毒的..想研究貌似都费劲..唉..怎么办好呢..

aac258 - 2006-1-10 23:11:00

呃..没人看吗...=,=

饭得彪 - 2006-1-11 0:26:00

楼主的经历和我相似
我是上verycd的时候弹出
我朋友也是
哎
向vc论坛求助
人家说：不是本站带的
真无奈了

dml008 - 2006-1-11 18:04:00

症状一样，不过我感觉弹出的网页越来越多了……

除了楼主说得几个，我还会弹一个 c99m 的网页，今天又弹了一个 94lm 的网页。

可以说什么办法都用上了，根本找不到蛛丝马迹。

根据我上nga论坛（一个wow论坛）有些机子已经莫名其妙的不会弹出网页了，同寝室的一个朋友也一样，但是另外一个朋友和我一样仍然问题依旧。

aac258 - 2006-1-12 0:38:00

晕..大家系统都一样吗
我也感觉网站越来越多了..
不知名的新网站也会导致..
我这里基本都是日本站..=,=个人工作是一个动漫杂志的编辑..
经常要去找新资料..
结果经常弹..

http://www.toranoana.jp/shop/050801/050801fate.html
这个又弹了..

aac258 - 2006-1-12 0:39:00

呃..我弹之前先出现这个代码..
跟你说的那个94LM一样啊..
ation='http://www.94lm.com/linktone.html'+'?'+urlString;

aac258 - 2006-1-12 0:50:00

我靠
我上卡卡社区都弹了.
开始进入时候是94LM...后来跳转成这个网页
http://ring.hawa.cn/cmsms/index.jsp?cid=1001&cuid=3424

我还是莫名其妙的弹.. 晕死了.现在开始波及中文网站了..
我打开论坛都弹...偶尔不知道出现在哪个帖子里面就弹..比以前严重了..
以前就一个网站..

我估计是IE启动加载了什么...各位大大啊...帮帮我们吧..
还有什么好补丁和好方法请推荐给我们吧...

魔法学徒 - 2006-1-12 8:21:00

扫个log看一下吧

aac258 - 2006-1-12 16:17:00

HijackThis_815汉化版扫描日志 V1.99.1
保存于 16:17:18, 日期 2006-1-12
操作系统： Windows XP SP1 (WinNT 5.01.2600)
浏览器： Unable to get Internet Explorer version!

当前运行的进程：
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\ctfmon.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
D:\Program Files\Tencent\qq\QQ.exe
D:\Program Files\Tencent\qq\TIMPlatform.exe
D:\Program Files\Tencent\TT\TTraveler.exe
C:\Documents and Settings\Rin\My Documents\杂货专用箱\HB_Hijackthis1991zww8152.exe
C:\Documents and Settings\Rin\My Documents\杂货专用箱\OG2\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\qq\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\System32\ctfmon.exe
O4 - Startup: ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选项为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换选项为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换链接目标为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换链接目标为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BD1DC01-7D8C-4D45-B12C-DE9ED12430F5}: NameServer = 202.99.96.68 202.99.64.69
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: iPod 服务 (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - D:\系统工具\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - NT 服务: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

魔法学徒 - 2006-1-12 16:23:00

LOG看不出异常

aac258 - 2006-1-12 17:09:00

呃...到底是什么在作祟呢..=,=
是不是浏览器启动加载了恶意代码?
..居然还变化..我都怀疑被人下了木马了...郁闷.
可惜什么也查不出来...谁来帮帮我们..

aac258 - 2006-1-12 17:45:00

现在不知道打开什么站..定期就会弹94ML这个站..
http://www.94lm.com/hawa.html

熊熊的疑惑 - 2006-1-12 21:16:00

你去下个雅虎助手试试，我这这样中过招，没问题，或者再下个插件，试下

aac258 - 2006-1-12 21:50:00

那个不就是3721吗..我也用了...也安全模式下用了..
也不管用...(那种东西临时用还可以..但是长久我死也不用那种东西)
....

各位还有其他办法么...=,= 这个顽固的病毒啊
也没有软件能解决..郁闷啊

aac258 - 2006-1-12 22:34:00

完了..现在只要开网站看帖子
就不定期弹94ML

先前会显示一行代码
ation='http://ivr.37112.com/18dx.html'+'?'+urlString;

aac258 - 2006-1-13 17:44:00

...还是无解吗...55555

aac258 - 2006-1-14 4:35:00

http://www.94lm.com/hawa.html

最近看网页..看图..下东西都会弹出来..晕死了
前两天就开始...

link789也一样出(只点网页出)94lm是点什么都不定期出..

饭得彪 - 2006-1-14 23:50:00

楼上的
我也是
94lm和link789
我都要哭了!!

aac258 - 2006-1-15 1:03:00

果然啊...希望版主们早日找到解决方法...

猪头枫 - 2006-1-15 21:47:00

我也是我是访问club.163.com弹
先经过LINK789转到TOMSKYPE的网页
该查的都查了看不到异常情况郁闷死

kakamai - 2006-1-16 17:58:00

我也是啊。大家同命相连~

重装了系统还是不行啊。。上一特定网站100%会弹，连开个帖子都弹。真是鄙视这种害人的烂网

影子110 - 2006-1-16 19:52:00

把IE中的安全项设为高（或把有关于脚本和控件的选项都禁用~~）
另，找一个保护IE浏览器的工具装上，对IE进行实时的保护~~

如，国外常用反间谍工具推荐及教程索引——天使之剑提供
http://forum.ikaka.com/topic.asp?board=67&artid=7421183

这上面有几个是很不错的，，建议你们可以试用一下~

aac258 - 2006-1-17 17:20:00

呃..各位帮忙啊

aac258 - 2006-1-18 20:17:00

还是94ml..

瑞星卡卡安全论坛