【綁架】IE 首頁被綁架要解決者先看此文章


頁 : 1 2 [3]

peepee
2005-04-18, 02:17 AM
關於最近網頁都被自動連到下面
http://64.235.246.142/?a_id=794&adu...e=pczone.com.tw
我己試過上面的方法了,且用了webroot spy sweeper, ad aware etc 去scan了,都沒用..
看各位大大有沒有方法?

ckcy
2006-03-12, 06:33 PM
現在我被
www.9991.com
綁架,
用了很多方法,
只能解決短期.
會再來.
有時會變成www.6781.com
再變回上一個.

有人可以接受挑戰,試個好方法教學一下嗎.

FYI
2006-03-28, 10:01 PM
重點是選一個聰明的瀏覽器(Firefox/Maxthon...), 啟動時可選擇不開啟首頁, 綁就綁, 喜歡就送給它

琥珀
2006-03-28, 10:30 PM
使用者的操作習慣還是比較重要。不要每次都把問題怪罪到 IE 上。

持續用 IE 至少有八年,幾乎每天都花上大量時間瀏覽網頁,從來都沒有被綁架過。

(說了恐怕會破功,自己知道就好……)

bronc
2006-05-16, 01:17 AM
首頁被 http://www.369.com/ 給綁架了
用了很多方法都無法去除
隔段時間還會自動開新頁跳出不知名網站
請問有哪位先進可以幫忙解決

WinGates
2006-06-17, 07:06 AM
本人是seednet客戶
可以進它的"首頁", 卻無法進它的"客戶服務"---其他都正常
本身與工程師用盡各種方式都無解. 既使重灌系統(完整格式化)---依然無解
請教高手該如何解

milk750ml
2006-06-24, 03:56 PM
3個w.survey88.com/?p=allyestechchina

常常會自動開啟這個網頁
或者是開啟的網頁其網址都有"allyestech" ; "allyeschina"等字眼

我已經使用過ad-awear以及antispy等防木馬程式掃過了..都沒有效
我還封鎖了一堆host file
另外在電腦內搜尋關鍵字"allyes"結果看到一堆檔案
http://img216.imageshack.us/my.php?image=allyes8kg.jpg




提供HijackThis的Logfile給各位大大....

我最近唯一上過的大陸網站是百度mp3搜索= ="
這到底要怎麼移除呢...真煩人!!
我用ie上網時不會開啟這些廣告網頁 只有在firefox時才會發生..
先感謝各位大大的指教唷!!

Scan saved at 下午 02:48:11, on 2006/6/24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\Program Files\Pigfoot Firefox CE\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\桌面\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: hp 工具箱 - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [HotKeysCmds] ; C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [StorageGuard] ; "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [QuickTime Task] ; "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod 服務 (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe

rien
2006-08-29, 09:52 PM
我覺得問題出在這兩行:
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll

下面兩個網頁有移除說明,參考一下吧
http://www.ljack.com.cn/article.asp?id=171
http://www.45it.com/Article/pcedu/Safety/200607/9875.htm

FYI
2006-10-26, 06:33 AM
重點是選一個聰明的瀏覽器(Firefox/Maxthon...), 啟動時可選擇不開啟首頁, 綁就綁, 喜歡就送給它
小弟先自我招認, 上述話雖不錯, 但也不完全正確, 瀏覽器絕對很重要, 首頁的確可以拒絕綁架, 但網路上充斥許多廣告軟體和間諜軟體(木馬程序), 一旦無意間造訪了惡意網站, 便也防不勝防, 請看以下文章

道may道,very道Blog Archive » Jijy惡意代碼現身及清除 (http://www.liqintao.net/blog/?p=83)(簡體)
winlogon.exe 進程- 网絡·人生·博客(Ichan) (http://www.79sky.net/?id=332)(簡體)
F-Secure : VML Exploit - Internet Explorer (http://www.f-secure.com/weblog/archives/archive-092006.html#00000974) IE 核心真的是超級不安全!

您的瀏覽器更新了嗎? 除了Maxthon 以外, 您使用過祖國所開發的軟體嗎? 您曾經造訪過祖國的網頁嗎? 您曾經從祖國下載過軟體嗎? 話說小弟這兩天的確曾經造訪過祖國, 不巧也下載了軟體, 雖然中鏢(間諜軟體)原因不明, 但是小弟高度懷疑這是祖國的賞賜, 藉由本站所介紹的免費掃毒網站, 經過一夜的搶修, 終於劫後餘生, 特來為自己的愚昧向大家懺悔

其實小弟對於中毒已經有經驗, 只要DAP (Download Accelerator Plus) 無法啟動, 就是中毒的徵兆, 接著由Packetyzer (http://sourceforge.net/projects/packetyzer) 發現每隔一分半鐘就會有封包送往webshell.go.3322.org, ZoneAlarm Free 是可以攔截, 但是也無法找出兇手, 由Kaspersky Online Scanner 掃到多個被系統程序svchost.exe 和IEXPLORER.EXE (Maxthon 執行中) 鎖住的檔案, 由於Trend Micro HouseCall 和Panda ActiveScan 均束手無策, 小弟只好一個個手動以Unlocker (http://ccollomb.free.fr/unlocker) 解鎖並刪除, 幸運的是刪除後造成記憶體中的廣告程式執行錯誤, 並未重複感染其他檔案, 重新啟動之後危機暫時解除, 至少由Packetyzer 看來如此, 前天由於為了幫網友解答, 於是造訪了幾個網站, 又下載了檔案, 其實小弟並不確定如何被入侵, 只能提醒大家, 偉大的祖國也是危險的叢林, 小白兔可別在裡頭迷失了方向

如何防範? 無解, 少用IE 核心的瀏覽器, 改用Mozilla Firefox

補充: (2006-11-14)
既然不能(不為也, 非不能也)擺脫IE 核心, 現在小弟的解決之道是Maxthon 預設下載控制不允許Scripts, Java, ActiveX, 當然如此會造成許多不便, 例如回覆文章就無法使用格式控制按鈕, 必須另外手動允許Scripts, 此外也只能完全信任PCZONE, 如果遇上類似手機王被植入木馬的情形, 也只能事後再補救, 如果您純粹只使用IE, 請自訂 "網際網路" 的安全性, 先重設 "中安全性", 再調整 "指令碼處理->Active scripting->提示", 以確保您的安全

"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome
IE 不開啟首頁的懶人自救法, 對於多數新式綁架手法無效, 聊勝於無, 另一個方法是由開始執行, 直接開啟固定網頁, 同樣也不一定有效

ActiveX 漏洞!?
<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
<xml id="oExec">
<security>
<exploit>
<![CDATA[
<object id="oFile"
classid="clsid:88888888-8888-8888-8888-888888888888"
codebase="c:/winnt/system32/calc.exe"></object>
]]>
</exploit>
</security>
</xml>
欲知詳情, 請看IE瀏覽器防黑技巧十則 (http://www.yesky.com/143/1929143.shtml), 出處:天極軟件 (簡體)

補充: (2006-11-16)
IE首頁非空白故障 (http://soft.yesky.com/securityw/aqff/466/2160966_4.shtml), 出處:天極網 (簡體)
  你也許會遇到這樣的故障:IE的首頁已經設置成空白的,但是每次啟動IE後,它都會自動進入某個網站。這是因為你的註冊表HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about項下CLASS 鍵中有這個網址,該網址的優先級,比你手工設置的IE首頁要高,所以無論你把IE首頁設置成何種網址,IE都會首先進入該項下面的 CLASS 鍵中對應的網站。

  修復方法:單擊「開始/運行」,鍵入「regedit」打開註冊表,定位到HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about,檢查其下的CLASS 鍵有無可疑的網址,如果有,則從無此故障的電腦上複製默認的設置{3050F406-98B5-11CF-BB82-00AA00BDCE0B},即可排除故障。
資安論壇 :: 觀看文章 - 何謂IE首頁被綁架?如何解決? (http://forum.icst.org.tw/phpBB2/viewtopic.php?t=43)

m85093
2007-01-29, 09:53 PM
聽說"超級兔子"也可以簡易的自動修復首頁綁架。




        


本網站是以即時上傳留言的方式運作,一切留言內容只代表發言者個人意見,非本網站之立場,本網站對所有留言的真實性、完整性及立場等,不負任何法律責任。若您發現有某篇留言可能有問題,請 E-Mail 至:www@pczone.com.tw 聯絡我們處理。