这玩意是流氓还是病毒

显示全部楼层 · 发表于 2015-7-25 01:32:18

楼主语言组织能力很差，术语也不知道多少，有不理解的请直接说....

中这玩意快三个月了，症状是会在任意正常网页概率性生成一个像网盘全页面广告的那种，点击任意一处均会弹出新选卡到http://lishi.quzhao.com/js/tui/tui.html，http://lieqi.quzhao.com/food/513.html还有
http://lishi.quzhao.com/lishi/lishimiwen/2014/1019/3243.html，反正就是这个两个域名下的各种子页面，一开始频率不高以为是电信劫持之类的所以并不在意，后来频率逐渐变高还发展到
劫持IE，在未开启其他网络软件下也会经常自启动到这俩域名现在右下角又多了个小窗口广告

已经用大蜘蛛卡巴360等走了一遍无结果，然后听朋友建议进行了重装检验看这货是不是寄宿在浏览器端，重装用的是原版镜像U盘装并没问题，然后依旧没卵用...现在朋友的建议是不进行备份无差别全盘格掉，积累几年的东西全扔光楼主表示无法接受，想问问还有什么手段能翻出来...

这货发作的时候没有任何隐藏进程，检查了DLL也没有奇怪的地方，中这货之前离上次重装才一个月不到，所有软件都是走的360管家，我记得很清楚没有啥来路不明的玩意，上网浏览都是固定好几年的大网站，要被挂马早炸锅了，我IE除了网银需要外都不会启用，日常都是谷歌，也检查了插件没名堂..扩展都是本地保存的用了好几年不会有问题，所以我想破脑袋也想不出感染途径，到现在都毫无头绪找不到他本体

我系统是64位WIN7，这有张小窗口广告的代码图，我不是码农不知道这样截有没有你们需要的线索

显示全部楼层 · 发表于 2015-7-25 08:58:07

会不会是路由器被设置了可疑dns导致劫持？

显示全部楼层 · 发表于 2015-7-25 11:27:00

forgotten 发表于 2015-7-25 08:58
会不会是路由器被设置了可疑dns导致劫持？

说不通，全家3台电脑共用一个网线就我中了，我家用的是有线光猫和路由，也怀疑过被黑所以改了路由密码账户，DNS无论在路由还是在PC上改最终都要通过光猫的DNS出去的，光猫DNS被劫持的话那无能为力，修改权在电信那边，而且这怎么看也不像普通劫持吧，光一个能自启动IE就能排除了它了

显示全部楼层 · 发表于 2015-7-25 15:43:37

本帖最后由伊川书院于 2015-7-25 15:45 编辑

有两种方法可以处理：
1.被动处理：把122.224.19.90加入到广告拦截的黑名单中，当打开的时候自动关闭他。

2.主动排查：采用HIPS的方式，查看是否由外部进程弹窗造成的。

3.浏览器被恶意修改，一般的安全软件都会查查IE的问题，如果是采用其它浏览器的话，可以偿试卸载他，并手动删除残留文件夹，然后重装该浏览器，对于第三方浏览器被恶意修改，除了重装并没有很好的统一方法，因为每款浏览器修改的方式都不尽相同。

另外：查了下SRC的地址，看起来不太像ISP的原因

显示全部楼层 · 发表于 2015-7-25 16:17:41

本帖最后由 china031314 于 2015-7-25 16:26 编辑

伊川书院发表于 2015-7-25 15:43
有两种方法可以处理：
1.被动处理：把122.224.19.90加入到广告拦截的黑名单中，当打开的时候自动关闭他。
...

嗯我上面也说了路由之类的劫持不应该全家只有我中了重装浏览器的话在重装系统的时候已经属于这一步骤了吧我谷歌IE都是C盘格式化后才装的....HIPS是啥，在坛子里找到个PowerTool x64 V1.2属于这类软件么
右下角那个浮窗是可以用adblock屏蔽的，上面截图我关掉adb后才看得见内容，平时只有最上面那个红X能点，弹窗那两个域名也可以通过HOSTS或者路由屏蔽页面内容，但屏蔽不了弹窗本身。所以我一头雾水，这货做得这么叼就只是单纯强推网页和广告刷刷流量，中这么久没见盗号啥的，或者是要我当长期肉鸡？

显示全部楼层 · 发表于 2015-7-25 16:22:16

参照4楼大神方法。
另外，楼主可以尝试最简单的方法，重置浏览器。并且打开弹出窗口阻止程序。
下面三个网址拉黑：
122.224.19.90
le4le.com
cnzz.com
使用process explorer进行VT监视，看看有没有可疑dll或其它模块加载。这样就可以迅速定位处理。
使用tcpview进行网络端口监视，可疑IP，端口，手动封锁。

显示全部楼层 · 发表于 2015-7-25 16:29:37

ELOHIM 发表于 2015-7-25 16:22
参照4楼大神方法。
另外，楼主可以尝试最简单的方法，重置浏览器。并且打开弹出窗口阻止程序。
下面三个 ...

process explorer用过了没有查出DLL模块啥的被改，tcpview的话...我小白，端口IP啥的很难分辨啊

显示全部楼层 · 发表于 2015-7-25 16:32:56

china031314 发表于 2015-7-25 16:29
process explorer用过了没有查出DLL模块啥的被改，tcpview的话...我小白，端口IP啥的很难分辨啊

不是被改，是调用，打开process explorer，选中浏览器进程，然后 ctrl + d 。在下面的窗口观察有没有可疑模块或者动态库加载，配合使用 tcpview 。
并且，在菜单里面选择在线 virustotal.com 验证。
远程IP（remote address）端口（remote port）。

这俩工具都支持右键结束进程树的。

显示全部楼层 · 发表于 2015-7-25 16:43:01

ELOHIM 发表于 2015-7-25 16:32
不是被改，是调用，打开process explorer，选中浏览器进程，然后 ctrl + d 。在下面的窗口观察有没有可 ...

这个...真看不出来哪个是不对劲的

显示全部楼层 · 发表于 2015-7-25 16:46:01

china031314 发表于 2015-7-25 16:43
这个...真看不出来哪个是不对劲的

那你看一下公司，和VT结果。

[系统] 这玩意是流氓还是病毒

本帖子中包含更多资源