这玩意是流氓还是病毒

china031314

ELOHIM 发表于 2015-7-25 16:46
那你看一下公司，和VT结果。

用坛子里的汉化版点提交没反应，英文版页面打不开

ELOHIM

china031314 发表于 2015-7-25 16:52
用坛子里的汉化版点提交没反应，英文版页面打不开

好吧，无语了。。你等大神来啊还是……
帮顶一次。

china031314

ELOHIM 发表于 2015-7-25 16:55
好吧，无语了。。你等大神来啊还是……
帮顶一次。

同一个DLL 英文版和汉化版标注不同，这是啥

ELOHIM

china031314 发表于 2015-7-25 17:00
同一个DLL 英文版和汉化版标注不同，这是啥

你说的标注是指哪里？
你看看一下syswow64下ntdll.dll的签名和版本是什么。
为什么汉化版无法验证呢？

伊川书院

china031314 发表于 2015-7-25 16:17
嗯 我上面也说了 路由之类的劫持不应该全家只有我中了 重装浏览器的话 在重装系统的时候已经属于这一步 ...

再次看了你一楼的

感觉不太像是外部进程的恶意修改的原因，因此HIPS：http://bbs.kafan.cn/forum-39-1.html
无法排查你的现象

HIPS只能排查：由外部进程远程激活网页。

你的问题是：在网页的过程中，有机率发生网页内容被更改。
这种现象我碰到的有两种类型：
1.ISP的问题。但从你提供的方页来看又不太像。不过你可以试试看：更换DNS地址。另外，你也可以增加帐户密码、启用系统自带的防火墙的方式，看看有没有远程投毒的可能。

2.浏览器的问题：我比较认为这个问题。

你可以试试用Mozilla Firefox看看，有没有这样的问题。

当然，这一切都是在系统当前处理正常，没有恶意文件的情况下，才能够确认

china031314

ELOHIM 发表于 2015-7-25 17:05
你说的标注是指哪里？
你看看一下syswow64下ntdll.dll的签名和版本是什么。
为什么汉化版无法验证呢 ...

额我没问清楚 汉化版里那个病毒总数对应的是英文版virustotal吗，上面运行有两个同名DLL 在文件夹里我只找到了一个

ELOHIM

china031314 发表于 2015-7-25 17:17
额我没问清楚 汉化版里那个病毒总数对应的是英文版virustotal吗，上面运行有两个同名DLL 在文件夹 ...

病毒总数对应的是virustotal。这是谁翻译的，这么好玩！~

貌似ntdll.dll没有问题。
你用autoruns.exe看一下开机启动项。
IE加载项有什么可疑的吗？
使用MSE扫描一下系统看。
因为你不会用process explorer这个工具，所以，我感觉解决起来不是快啊。。

一定要在症状发生的时候观察才有效。

如果可以，建议重置浏览器。

如果依然有问题，备份当前用户数据，新建一个用户应该不会发生这样的问题。
记得使用标准（普通）用户进行网络浏览。

china031314

伊川书院 发表于 2015-7-25 17:11
再次看了你一楼的

感觉不太像是外部进程的恶意修改的原因，因此HIPS：http://bbs.kafan.cn/forum-39 ...

第一步的话路由已经改过账户密码 路由和WIN7自带防火墙也开了 UAC目前是默认状态，你说的账户是WIN7么 我嫌麻烦所以没设密码，要设置？DNS我是光猫，无能为力，暴力改了电信就该找上门了

重装前我也倾向于浏览器端，不过这重装后还在....文件的话我确实有点虚，下的都是你懂的片子漫画，站点本身是没问题，那种访问量要出事也不只我一人，但保不齐图片视频里塞木马这种让我遇上了

china031314

ELOHIM 发表于 2015-7-25 17:22
病毒总数对应的是virustotal。这是谁翻译的，这么好玩！~

貌似ntdll.dll没有问题。

这是没问题的吧 启动项数据也和IE的一样，杀毒的话通常环境和安全模式已经用大蜘蛛卡巴之类的搞过几次了，而且不止IE啊，谷歌也有同样症状，只不过没严重到像IE那样会自启动，倒不如说IE是躺枪的....

ELOHIM

china031314 发表于 2015-7-25 17:54
这是没问题的吧 启动项数据也和IE的一样，杀毒的话通常环境和安全模式已经用大蜘蛛卡巴之类的搞过几次 ...

原来是黄色网站惹的祸。
新建一个用户吧。