【綁架】IE 首頁被綁架要解決者先看此文章 - 第3頁 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 防 駭 / 防 毒 版


PCZONE 討論區





通知

-- 防 駭 / 防 毒 版 不論你是使用固定 IP 或是 DHCP 一定都有機會被無聊的駭客入侵 , 來這裡跟大家作防駭以及防毒的心得與資訊分享。


會員

關於最近網頁都被自動連到下面
http://64.235.246.142/?a_id=794&adu...e=pczone.com.tw
我己試過上面的方法了,且用了webroot spy sweeper, ad aware etc 去scan了,都沒用..
看各位大大有沒有方法?



回覆
會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
現在我被
www.9991.com
綁架,
用了很多方法,
只能解決短期.
會再來.
有時會變成www.6781.com
再變回上一個.

有人可以接受挑戰,試個好方法教學一下嗎.
回覆
FYI
會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
重點是選一個聰明的瀏覽器(Firefox/Maxthon...), 啟動時可選擇不開啟首頁, 綁就綁, 喜歡就送給它
回覆
あなたの家に行く

使用者的操作習慣還是比較重要。不要每次都把問題怪罪到 IE 上。

持續用 IE 至少有八年,幾乎每天都花上大量時間瀏覽網頁,從來都沒有被綁架過。

[hide](說了恐怕會破功,自己知道就好……)[/hide]
回覆
會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
首頁被 http://www.369.com/ 給綁架了
用了很多方法都無法去除
隔段時間還會自動開新頁跳出不知名網站
請問有哪位先進可以幫忙解決
回覆
初級會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
本人是seednet客戶
可以進它的"首頁", 卻無法進它的"客戶服務"---其他都正常
本身與工程師用盡各種方式都無解. 既使重灌系統(完整格式化)---依然無解
請教高手該如何解
回覆
會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
3個w.survey88.com/?p=allyestechchina

常常會自動開啟這個網頁
或者是開啟的網頁其網址都有"allyestech" ; "allyeschina"等字眼

我已經使用過ad-awear以及antispy等防木馬程式掃過了..都沒有效
我還封鎖了一堆host file
另外在電腦內搜尋關鍵字"allyes"結果看到一堆檔案
http://img216.imageshack.us/my.php?image=allyes8kg.jpg




提供HijackThis的Logfile給各位大大....

我最近唯一上過的大陸網站是百度mp3搜索= ="
這到底要怎麼移除呢...真煩人!!
我用ie上網時不會開啟這些廣告網頁 只有在firefox時才會發生..
先感謝各位大大的指教唷!!

Scan saved at 下午 02:48:11, on 2006/6/24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\Program Files\Pigfoot Firefox CE\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\桌面\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: hp 工具箱 - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [HotKeysCmds] ; C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [StorageGuard] ; "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [QuickTime Task] ; "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod 服務 (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
回覆
楊流浪艦隊司令官
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
我覺得問題出在這兩行:
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\msplus.dll

下面兩個網頁有移除說明,參考一下吧
http://www.ljack.com.cn/article.asp?id=171
http://www.45it.com/Article/pcedu/Sa...00607/9875.htm
回覆
FYI
會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
引用:
作者: FYI
重點是選一個聰明的瀏覽器(Firefox/Maxthon...), 啟動時可選擇不開啟首頁, 綁就綁, 喜歡就送給它
小弟先自我招認, 上述話雖不錯, 但也不完全正確, 瀏覽器絕對很重要, 首頁的確可以拒絕綁架, 但網路上充斥許多廣告軟體和間諜軟體(木馬程序), 一旦無意間造訪了惡意網站, 便也防不勝防, 請看以下文章

道may道,very道Blog Archive » Jijy惡意代碼現身及清除(簡體)
winlogon.exe 進程- 网絡·人生·博客(Ichan)(簡體)
F-Secure : VML Exploit - Internet Explorer IE 核心真的是超級不安全!

您的瀏覽器更新了嗎? 除了Maxthon 以外, 您使用過祖國所開發的軟體嗎? 您曾經造訪過祖國的網頁嗎? 您曾經從祖國下載過軟體嗎? 話說小弟這兩天的確曾經造訪過祖國, 不巧也下載了軟體, 雖然中鏢(間諜軟體)原因不明, 但是小弟高度懷疑這是祖國的賞賜, 藉由本站所介紹的免費掃毒網站, 經過一夜的搶修, 終於劫後餘生, 特來為自己的愚昧向大家懺悔

其實小弟對於中毒已經有經驗, 只要DAP (Download Accelerator Plus) 無法啟動, 就是中毒的徵兆, 接著由Packetyzer 發現每隔一分半鐘就會有封包送往webshell.go.3322.org, ZoneAlarm Free 是可以攔截, 但是也無法找出兇手, 由Kaspersky Online Scanner 掃到多個被系統程序svchost.exe 和IEXPLORER.EXE (Maxthon 執行中) 鎖住的檔案, 由於Trend Micro HouseCall 和Panda ActiveScan 均束手無策, 小弟只好一個個手動以Unlocker 解鎖並刪除, 幸運的是刪除後造成記憶體中的廣告程式執行錯誤, 並未重複感染其他檔案, 重新啟動之後危機暫時解除, 至少由Packetyzer 看來如此, 前天由於為了幫網友解答, 於是造訪了幾個網站, 又下載了檔案, 其實小弟並不確定如何被入侵, 只能提醒大家, 偉大的祖國也是危險的叢林, 小白兔可別在裡頭迷失了方向

如何防範? 無解, 少用IE 核心的瀏覽器, 改用Mozilla Firefox

補充: (2006-11-14)
既然不能(不為也, 非不能也)擺脫IE 核心, 現在小弟的解決之道是Maxthon 預設下載控制不允許Scripts, Java, ActiveX, 當然如此會造成許多不便, 例如回覆文章就無法使用格式控制按鈕, 必須另外手動允許Scripts, 此外也只能完全信任PCZONE, 如果遇上類似手機王被植入木馬的情形, 也只能事後再補救, 如果您純粹只使用IE, 請自訂 "網際網路" 的安全性, 先重設 "中安全性", 再調整 "指令碼處理->Active scripting->提示", 以確保您的安全

"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome
IE 不開啟首頁的懶人自救法, 對於多數新式綁架手法無效, 聊勝於無, 另一個方法是由開始執行, 直接開啟固定網頁, 同樣也不一定有效

ActiveX 漏洞!?
[php]<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
<xml id="oExec">
<security>
<exploit>
<![CDATA[
<object id="oFile"
classid="clsid:88888888-8888-8888-8888-888888888888"
codebase="c:/winnt/system32/calc.exe"></object>
]]>
</exploit>
</security>
</xml>[/php]
欲知詳情, 請看IE瀏覽器防黑技巧十則, 出處:天極軟件 (簡體)

補充: (2006-11-16)
IE首頁非空白故障, 出處:天極網 (簡體)
  你也許會遇到這樣的故障:IE的首頁已經設置成空白的,但是每次啟動IE後,它都會自動進入某個網站。這是因為你的註冊表HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about項下CLASS 鍵中有這個網址,該網址的優先級,比你手工設置的IE首頁要高,所以無論你把IE首頁設置成何種網址,IE都會首先進入該項下面的 CLASS 鍵中對應的網站。

  修復方法:單擊「開始/運行」,鍵入「regedit」打開註冊表,定位到HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about,檢查其下的CLASS 鍵有無可疑的網址,如果有,則從無此故障的電腦上複製默認的設置{3050F406-98B5-11CF-BB82-00AA00BDCE0B},即可排除故障。
資安論壇 :: 觀看文章 - 何謂IE首頁被綁架?如何解決?

此篇文章於 2007-02-07 10:39 PM 被 FYI 編輯。.
回覆
會員
回覆: 【綁架】IE 首頁被綁架要解決者先看此文章
聽說"超級兔子"也可以簡易的自動修復首頁綁架。



回覆







 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : www@pczone.com.tw

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :www@pczone.com.tw 處理。