是谁推送天气网弹窗？后台鬼影难缠(已解决)

鲁速

@ImN1 提议为把这个帖子转到病毒样本区，这个主意不错。原帖发在解疑答难区

ADSL急速拨号器推送天气网弹窗，找了几天才找出前台“元凶”。
差不错就是它吧——只是仍有svchost进程受（命令？残余？）牵连，导致该进程cpu占用居高不下，关闭这个进程才能降低占用。

几天前出现弹窗样式如下：

小A报警感染VBS-runner=JD[Trj]，应该是弹窗网页内容有问题，图如下：


在IE临时文件夹中生成四个隐藏文件夹，十兆多点的样子，内中就有可疑文件。但是这四个文件夹本来是不存在的，开机联网就会出现。

弹窗来源是http://www.77zn.com/mini0/，点击是在浏览器内打开与桌面弹窗一样的网页。
带联盟广告账号的地址是：http://www.77zn.com/mini0/?2015?php
http://www.77zn.com，是天气网。
bing搜索“77zn.com弹窗”，只有一条有关内容，但只在搜索页有，打开所在网页反而没有这个内容了。
搜索页文字提示如下，这页网址是：http://wm123.baidu.com/s/77zn.com

昨晚找到了弹窗的根源，竟然是真的拨号软件。软件名：ADSL急速拨号器 V2.3（见下图）

软件下载：
我用这个软件设置了开机自动拨号。好长时间了，拨号后一直有一个类似出现错误的界面一闪而过，上面似乎有一个网址，网址中似有61字段。一直以为可能是这个软件或者IE出了点小问题，就没在意。
偶尔发现IE首页被篡改，估计也是这个原因，但可改回。
昨晚用2013年制作的系统镜像，稍后不久又出现了报警和弹窗，因没打开其他任何软件，遂确认问题是拨号软件。
有个小问题，为什么用了好几年这个拨号软件，并没有弹窗，现在却有了呢？或许是弹窗网页内容有了更新，病毒出现，占用资源、调用进程都出现了。猜测。
删除拨号软件，设置为在IE选项中直接拨号默认连接，可以实现自动拨号。

仍有一个问题，删除拨号软件后，开机时仍有小段时间svchost.exe占用较高，电脑短时假死，关闭这个占用高的svchost进程就好了，其它同名进程不关。同时，弹窗下载文件夹（IE临时文件夹下的四个隐藏文件夹）又出现了下载内容，原来是删除了的。据此判断，这个软件可能仍在调用svchost进程下载网页内容，调用命令仍然在系统里，但已不能形成弹窗。
弹窗下载文件夹已上传到这里：http://pan.baidu.com/s/1gdhHmYB
求解决这个调用。



已经解决问题，是感染了鬼影（暗云）木马，似与急速拨号器无关，特予声明。
经卡饭VM001大侠协助，已经将木马驱动清除，在此致谢！

skyboybone

金山下载杀

鲁速

skyboybone 发表于 2015-6-25 11:17
金山下载杀

果然就是它，小A不杀，倒，该换小A了。

浅暮、浅离

小红伞！！！

鲁速

阿童木来了 发表于 2015-6-25 11:23
小红伞！！！

哦，谢过。
也许我该换用小红伞才对。

imcw

ADSL自动拨号可以在系统内设置好拨号帐号记住密码然后，右键单击你的宽带连接属性，如图操作



图为win7，XP也可用的，路径应该是不一样的。但是也是在开始菜单的。

scep无反应

vm001

貌似不是这个软件的问题，楼主应该看下你占用高这个svchost.exe进程的用户名是什么，如果是你当前用户名的话，那么可以明确的说你中招了

鲁速

vm001 发表于 2015-6-25 11:40
貌似不是这个软件的问题，楼主应该看下你占用高这个svchost.exe进程的用户名是什么，如果是你当前用户名的 ...

今早关闭了一次这个进程，记得这个进程是当前用户名下。
怎么判断是中招了？svchost不应该在当前用户下面？

鲁速

imcw 发表于 2015-6-25 11:26
ADSL自动拨号可以在系统内设置好拨号帐号记住密码然后，右键单击你的宽带连接属性，如图操作

我没大看明白。

vm001

svchost正常情况下不可能是当前用户名，如果是那就是一个傀儡进程，定位这个文件位置，看看是不是system32下的系统文件，，然后再用pchunter查看启动项又没这个文件名的启动项...