关于软件弹广告的问题？

kills

我用了一个qq金牌网吧代{过}{滤}理的软件，打开后它会弹出一些IE广告，我把它的规则里的“运行一个可执行程序”阻止了IE，可没有效果还是会弹，问一下这个应该怎么设！

风爱朴2

这个调用IE也分不同方式的，“运行一个可执行程序”阻止是对正常程序，而恶意程序没这么老实了。所以，
1、禁止向IE发送消息；
2、阻止com组件InternetExplorer.Application.*和{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
3、通过活动进程列表看看父进程是否是explorer.exe、svchost，可能通过这两个调用。如若是，则阻止其调用。
4、COM接口阻止{871C5380-42A0-1069-A2EA-08002B30309D}
以上一个个试试吧，应该可以解决。
要是还不行，就不晓得了。。。。。

zilch

等待高手回答。

kills

风爱朴2 发表于 2012-4-19 18:24
这个调用IE也分不同方式的，“运行一个可执行程序”阻止是对正常程序，而恶意程序没这么老实了。所以，
1、 ...

哦，我试试！

kills

风爱朴2 发表于 2012-4-19 18:24
这个调用IE也分不同方式的，“运行一个可执行程序”阻止是对正常程序，而恶意程序没这么老实了。所以，
1、 ...

看是不是这样！不行！





活动进程列表

风爱朴2

kills 发表于 2012-4-19 21:50
看是不是这样！不行！

那就试试第三个吧，是不是通过别的调用的，或上传程序吧。

kills

风爱朴2 发表于 2012-4-19 21:54
那就试试第三个吧，是不是通过别的调用的，或上传程序吧。

程序是2M，这是下载地址：http://115.com/file/ang810o4#20120414.rar  谢谢！

风爱朴2

kills 发表于 2012-4-19 22:01
程序是2M，这是下载地址：http://115.com/file/ang810o4#20120414.rar  谢谢！

这个弹得够多的。。。
父进程如图：

本想通过禁止svchost调用IE。可是发现怎么都禁止不了。。。。。
无能为力。。。。

raider520

2012/4/19 星期四 23:38:31    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
命令行: "C:\Program Files\龙图腾\龙图腾QQ网吧代{过}{滤}理.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]『询问』病毒测试 -> [应用程序]c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe

2012/4/19 星期四 23:38:36    加载动态链接库    允许
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: c:\program files\龙图腾\krnln.fnr
规则: [应用程序]* -> [动态链接库]*\*.fnr

2012/4/19 星期四 23:38:39    删除注册表值    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/19 星期四 23:38:42    修改注册表值    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/19 星期四 23:38:48    修改文件    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2012/4/19 星期四 23:38:51    修改注册表值    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\WindowsSearch\Version
值: WS not running
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/19 星期四 23:38:54    访问网络    允许
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: TCP [本机 : 49972] ->  [119.57.82.197 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012/4/19 星期四 23:39:01    创建文件    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\TT7BBZLI.txt
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2012/4/19 星期四 23:39:04    修改文件    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: C:\Users\Administrator\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2012/4/19 星期四 23:39:07    删除注册表项    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Health\{E9287B64-80D9-4BE2-987F-A2927BFAEB4A}
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012/4/19 星期四 23:39:11    创建新进程    阻止
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\iexplore.exe" -startmediumtab -Embedding
规则: [应用程序]*

2012/4/19 星期四 23:39:16    创建新进程    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: c:\users\administrator\appdata\local\google\chrome\application\chrome.exe
命令行: "C:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exe" -- "http://www.859652.com/jmp/?p=UOUbr54W071W3e7wg*lyF46h6d0W3oM8/DvmHnKfcbpBhc4CxOZl/1*MDrKgo*sXBvhrBkvPAEl2E1m7isTHVg==&r=0.49865856189698176&c=0"
规则: [应用程序组]『询问』病毒测试

2012/4/19 星期四 23:39:19    修改注册表值    阻止
进程: c:\program files\龙图腾\龙图腾qq网吧代{过}{滤}理.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name
值: 龙图腾QQ网吧代{过}{滤}理.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

MD可以阻止，这个是日志！

kills

风爱朴2 发表于 2012-4-19 22:53
这个弹得够多的。。。
父进程如图：

你楼下解决了，不过我看不太懂！