|
難纏的植入廣告
日前我在雅虎的網頁竟然出現這個畫面!
 起先以為是雅虎登這種廣告,後來才發現,這些廣告都指向ad.yieldmanager.com這個名稱,這時我才知道我被植入廣告了!有關這方面的文章不是很多,對於這方面我本來不是很了解,但是,這些日子的研究,讓我有一些心得,我想讓更多人也能加入研究,以免更多人也有相同遭遇!希望這篇文章能讓大家能一起抵制植入廣告! 剛開始我以為只要用軟體就可移除,於是,我先用Adware、spypot等軟體去移除。他是有抓出一些東西,但是,沒有用的。我就分兩路進行,一是在在網路上搜尋ad.yieldmanager.com,一是在軟體討論區求助,網路搜尋結果發現國外已經很多人和我一樣有此遭遇,他們的文章有提到這是在cookie植入的廣告!於是,我把有ad.yieldmanager.com的cookie刪除,有效一下子而已。 軟體討論區感謝plunderer大大的指點,我先用HijackThis掃描,plunderer大大觀看日至後給我的意見,他發現有個8個亂數英文字母形成的dll檔有嫌疑!他說按開始-執行-msconfig去看看開機時執行的程式是否有奇怪的dll檔  ,結果,有三個奇怪的8個亂數英文字母形成dll檔﹙我發現你如果把這些檔按右鍵看他屬性,都是不明連接檔,一般都會有公司名稱﹚,plunderer大大是說一個有嫌疑,我先破壞他試試看﹙先備分,然後在安全模式下用記事本打開,把裡面的亂碼刪除一些!﹚,我的想法是只要讓你這個檔損壞,廣告自然沒有,把他破壞的結果,廣告有少一些,這時才在安全模式下刪除一個,結果,還是有!我再刪除其他兩個!廣告是沒有了,可是,因為沒刪除登錄檔,所以,開機時會出現載入dll錯誤。我想我已經擺脫了!但事實不是… 次日,廣告區塊沒廣告,但是有說無法接收ad.yieldmanager.com:on_74:,我傻眼了,但是,msconfig都是啟動應該的檔案啊!而沒多久,又出現兩個奇怪的8個亂數英文字母形成dll檔,不久,廣告又出來了!這次,我重灌! 但是,只有三天!雅虎偶而會出現ad.yieldmanager.com!我又參考一些文章,有說到他們會從遠端變更登錄檔,於是,我從控制台-系統管理工具-服務-Remote Registry把他停用!另外,Cookie把他禁止yieldmanager.com和ad.yieldmanager.com,目前,狀況還在觀察! |
剛剛發現偶而還是會出現!看來還要再研究了!
|
我說過, 那隨機檔名的 DLL 是某個軟體執行後產生的, 即使現在刪除了, 當那軟體執行又會產生
根絕之道只有找出是哪個軟體生成的 上次看了你的 log, 程式太多了, 很難判斷是哪個軟體所產生的 |
引用:
到時再麻煩大大:on_28: |
對了
請問大大 下載的檔案會是問題來源嗎? 還是要安裝的東西才會產生問題? 如果安裝才會產生 是否移除就不會出現了? |
你的問題不是因為下載或安裝才產生
因為那隨機檔即使刪除了還會再出現, 表示某個軟體在開機自動執行時產生的, 或者是你每次都會用的軟體執行時產生的 |
引用:
我執行了msconfig 看了msconfig內容,開機並無啟動奇怪程式,可是現在偶而還是會出現廣告耶 |
引用:
重灌之後的系統是比較乾淨的 設定好網路之後,去測測一下雅虎網頁看看會不會出現 醬就可以知道是否是啟動軟體所產生的 另外請教一下,是開每個網頁都會如此,還是只有開特定網頁會如此? 因為偶接過一個使用者CASE,也是說會彈跳出廣告視窗 偶看過他的電腦都沒什麼,但是的確是連網頁會彈出廣告視窗 後來偶拿那個網址去其他台電腦測試,也都會出現 因此偶才認為是那個網站有出問題,或許是置入性廣告視窗 只有在某些特定的網站才會出現那些廣告視窗 |
主要是分 4 種
1.機碼型。機碼型的最好處裡,只要知道它改了哪幾個就能改回來。 2.程式型。看看控制台裡的新增程式,有沒有未知程式,通常反安裝後並重設首頁救回來了。 3.服務型。這一種的根木馬型的一樣超棘手的,可能需要用工具處裡。 4.木馬型。這種的不要說了,已經算是病毒了。 5.AUTORUN 型。利用 AUTORUN 的特性載入,重灌當然無效,跟病毒沒有兩樣。該要清一清的 還是要清,不然再爽一次。 可以先使用,Ad-Aware、Spybot 之類的程式先檢查看看。 有關有頁機碼的的部份 ... 以下虛線的內容機碼 (*.reg) 就是相關的網頁機碼 全部以 tw.yahoo 為主的 ------------------------------------ Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Search_URL"="http://tw.yahoo.com/search/kimo?p=" "Default_Page_URL"="http://tw.yahoo.com" "Search Page"="http://tw.yahoo.com" "Start Page"="http://tw.yahoo.com" --------------------------------------- Default_Search_URL = 預設的搜尋網頁 Default_Page_URL = 預設首頁 Search Page = 搜尋網頁 Start Page = 入口首頁 |
如果重灌還是會出現廣告 那你得看看你的視窗是不是原版CD還是"加工"過的版本
|
引用:
只要廣告版面大小符合 任何網頁都會出現 他會先出現原網頁 一下子又跳成植入廣告 或者直接覆蓋 |
引用:
沒有未知程式安裝 連防毒也掃過 他首頁不綁 而是覆蓋其他網頁廣告  |
引用:
不過以前沒這問題耶 |
Try this small utility called Combofix
http://www.bleepingcomputer.com/comb...o-use-combofix I used this to fix some entries that HJT couldn't fix. Hope this tool helps. |
猜謎大,
你在重灌時,有沒有先把那顆硬碟給再次"格式化"? 若沒先格式化而直接重灌的話,通常來說以前的問題都會依舊,即使你ghost了也一樣. |
引用:
即使有廣告不是都蓋過去:on_47: 我是沒有格式化 |
引用:
簡單地講 覆蓋歸覆蓋,格式化是格式化 在電腦的世界透過目錄(directory)做為索引去找到資料 我們常見到的快速格式化就是將目錄拿掉,這樣子電腦就找不到索引,沒有路徑去找到資料 但是檔案還是在硬碟,只是電腦找不到而已 等你下次使用硬碟的時候,會建立起新的索引去使用那塊資料區,然後將原有的資料覆蓋掉 |
引用:
現在要慢慢去抓 唉:on_74: |
引用:
目前還沒見過有病毒逃得過格式化這個大絕招 但有病毒可以逃過還原片和GHOST 有陣子某個病毒很盛行的時候 偶貪圖方便,因為那時候有一卡車的電腦等著偶修理 所以我是直接拿還原片GHOST回去,結果病毒症狀照樣存在 因此只好乖乖格式化,再GHOST回去 |
引用:
 我推測可能是 YAHOO 的問題,不是您的電腦的問題... 每按一次重新整裡廣告都不同,是 FLASH 的廣告或連結廣告的說 |
引用:
一但磁區覆蓋磁區,基本上跟 DISKCOPY A: B: 類似,原來的 B: 的資料 會被摧毀並失去原有路徑的,因此 GHOST 的覆蓋也如此。蓋掉就是蓋掉了 一般被覆蓋的區域是很難被復原的尤其是覆蓋率達 100% 情況,更是就不回 來的。使用 GHOST 覆蓋後可以就會部分資料是因為覆蓋率未達 100% 的關係 因此就像是考古一樣的可以救回來。 以前曾看過 GHOST 的一份進階文件說,可以針對未使用區域或以使用區域進行 "清除",這可以資料更徹底的消失,無法施救。 格式化有分「一般」與「破壞式」兩種。 「一般」的會先進行反格式化處裡,在做格式化,如此不慎格式化才得以 救回資料(自 DOS 5.0 之後的版本有的功能) 而用檔案總管,或 CMD 命令的 FORMAT、FORMAT /Q (/Q 快速格式化) 皆屬於「一般」。 「破壞式」格式化採用一軌一軌的填入 "0" 或 "1" 將原有的資料清除,使其 真正淨空,只有 CMD 命令的 FORMAT /U 者。 會何用了 GHOST 還是有中毒或惡意程式呢? 1.在做 GHOST 備份前就已經感染了。 2.假定是乾淨的 GHOST 備份,是因為有其他的磁碟區域導致重複 感染,如 USB 病毒、AUTORUN 病毒,雖然將 C: 還原但是 D: 中標了 因此還會再中一次。(Windows 本身會對有 \AUTORUN.inf 的磁碟區做 定義讀取,經果我反覆試驗並參考網路上說可以關自 AUTORUN 的文件 發現,並未能禁止 Windows 讀取磁碟區的 \AUTORUN.inf) 3.使用者習慣,如有使用特定的程式或上特定網站,如遊戲外掛, 偏偏又是放在 D: 中,即使,C: 還原了,還是再中一次。 最後有關 MBR 區域的部份,這是依個極小的區塊,主要是用來記錄硬碟 的分割區狀態,但在 DOS 有人利用這一快寫入病毒資訊,當然 ... 重灌 N 次也沒用的一個原因。 |
引用:
 |
引用:
我有找到一個有說關於 ad.yieldmanager.com 的部落格 http://waterbee.blogspot.com/2006/12/cbox.html 內容有指出就是用了某個免費軟體後,就會有附廣靠。 |
今天已經重灌2次了
.............. 一個一個慢慢測試 |
引用:
以重灌來分析吧,一定會再某一個軟體的地方出現 我用的 WinRAR 3.70/3.71 不會說然後阿 Windows 裝完後馬上先做 Ghost(連驅動都不上),留一個最純的環境 在一步一步裝,每裝一個究測試一次並以紙筆紀錄 ... 遲早會抓到的 雖然這是個笨方法,可是我都用好幾次了,很累。 |
引用:
真的累:on_22: |
放棄了
只裝防火牆和防毒照樣出現! 算了:on_74: |
引用:
在Google 收尋 ad.yieldmanager.com http://www.google.com.tw/search?hl=z...eldmanager.com 出現這個 http://ca.com/tw/securityadvisor/pes...x?id=453097711 DAT 版本 產品 DAT 版本 Original CA Antispyware v9 eTrust PestPatrol v5 eTrust PestPatrol v8 eTrust PestPatrol v4 eTrust PestPatrol v4 eTrust PestPatrol v4 Latest CA Antispyware v9 eTrust PestPatrol v5 eTrust PestPatrol v8 eTrust PestPatrol v4 eTrust PestPatrol v4 eTrust PestPatrol v4 可能被整到某個安全產品裡 |
好奇怪怎會把廣告整進來
下次再試試看 重灌真是累啊! getter大你都沒出現嗎? |
引用:
當然不會有阿,用的安全產品就不一樣了 防毒用的是 AVAST! v4.7 HOME --> 免費註冊的,還是免費。 防火牆用的是 Kerio Personal Firewall 2.1.4 --> 很古老的防火牆可,功能或安全能力上或許不如新版或其他品牌的,可是簡單好用。 免費軟體的特徵,不是藏有病毒、功能受限、有試用期、不然就是綁廣告, 當然可以付錢變成 OO 版,就不會有這類的困擾。 猜大用的 Windows 是哪一種,是整合版還是乾淨版的?整合版的會有 某種程度的風險存在。 對我來說整合版的還是SuperXP 的最好用。 如果不是安全軟體的話? 就要去懷疑 Windows 了,如果用的是整合版的 Windows 就有可能被埋東西進去了。 這個網頁阿 http://ca.com/tw/securityadvisor/pes...x?id=453097711 ,我在仔細看了一下,是我弄錯了,是他把 Ad.YieldManager.com Cookie 列為某種威脅,而這個網頁也支援線上掃瞄(病毒、間諜程式等) 要不要先掃掃看。 |
Windows是乾淨的
我一直以來都喜歡單純的 難道是防火牆? 我是用COMODO |
引用:
如果防毒與防火牆是分開的 那就在 Windows 灌完後先只裝防毒上網測試看會不會 ... 不會再裝防火牆試試 流程如下 0.Windows 安裝,完成後 Ghost 一份檔名代號用 0 1.安裝驅動程式完成,完成後 Ghost 一份檔名代號用 1 2.安裝 Windows 離線更新檔(我有自製離線更新的包),完成 Ghost 一份檔名代號用 2 2.1 上 tw.yahoo 測試,看看有沒有,有表示驅動或來源 Windows 有問題,機會很小。 3.安裝防毒,完成上 tw.yahoo 測試,看看有沒有,有表示防毒有問題。 4.安裝防火牆,完成上 tw.yahoo 測試,看看有沒有,有表示防火牆有問題。 依此類推...,只要完成一動,測試沒有就往下,有就要找原因與對策或替代方案。 |
引用:
感謝提供寶貴意見 |
我有問朋友有關你的問題
他的回答如下 1.可能進到偽裝的 YAHOO 網頁。 2.YAHOO 網頁被植入,這個的機會很小。 3.使用者習慣問題,如使用特定軟體。 |
重灌沒什麼意義,那是yahoo本身網頁中的廣告,如果真的不喜歡,不要安裝java或flash相關外掛,
|
| 所有時間均為台北時間。現在的時間是 08:12 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *