|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
2007-09-13, 03:19 PM
|
#1 |
|
註冊會員
|
求助 - IE 會出現奇怪字串
各位好:
小弟公司最近有好幾台電腦(尤其是老板的電腦在其中  )開啟IE上網時,網頁顯示都會跑出莫名字串,出現的位置不固定,也有的網頁都不能看 只剩下那個字串。用了好幾套防毒、掃木馬、間諜軟體都無異常。 試過C槽 format再重裝,清cookie啦..還是會出現。(這些電腦的硬體不太相同..有hp.. ibm .acer的,os 有xp ..vista),不知道是否有人遇過或知道如何處理,請撥宂指點小弟一下..不勝感激!! 謝謝!!  附上畫面:    Logfile of Trend Micro HijackThis v2.0.2 (這是小弟本身使用電腦之LOG,OS為VISTA 32,也有上述情形) Scan saved at ?????? 04:38:18, on 2007/9/13 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\conime.exe C:\Program Files\ESET\nod32kui.exe C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIMplugin.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Windows\ehome\ehtray.exe E:\Conductor\S_dsbin\scktsrvr.exe C:\Windows\system32\igfxsrvc.exe C:\Windows\ehome\ehmsas.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe N:\HiJackThis.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Dr.eye WebPage Translation - {92B255FE-94E2-4BCA-958D-3926CE38913F} - C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIEBar.dll O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [IMDreyePlugin] "C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIMplugin.exe" /h O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE') O4 - Global Startup: ScktSrvr.lnk = E:\Conductor\S_dsbin\scktsrvr.exe O8 - Extra context menu item: Foxy 下載 - res://C:\Program Files\Foxy\Foxy.exe/download.htm O8 - Extra context menu item: Foxy 搜尋 - res://C:\Program Files\Foxy\Foxy.exe/search.htm O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 轉換為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: 轉換連結目標到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 轉換連結目標為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: 轉換選定的連結到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: 轉換選定的連結為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: 轉換選擇內容到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 轉換選擇內容為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: 附加至現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O15 - Trusted IP range: http://192.168.1.7 O15 - Trusted IP range: http://192.168.1.6 O15 - ESC Trusted Zone: http://*.update.microsoft.com O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://192.168.1.7/crystalreportview...ows-i586-p.exe O16 - DPF: {F3ED645F-2426-4001-8756-596B4F1EBF1A} (ShakeGTW Control) - http://www.crazy.com.tw/Include/ObjFile/ShakeGTW.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.com.tw ← xxx 部份是小弟公司網址,就不好意思給大家看啦 O17 - HKLM\Software\..\Telephony: DomainName = xxx.com.tw ← xxx 部份是小弟公司網址,就不好意思給大家看啦 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.com.tw ← xxx 部份是小弟公司網址,就不好意思給大家看啦 O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe -- End of file - 6887 bytes 此帖於 2007-09-13 04:51 PM 被 Opisai 編輯. 原因: 附加 HijackThis log |
|
送花文章: 799,
|
|
2007-09-13, 07:42 PM
|
#5 (permalink) |
|
長老會員
 
|
http://vp.kyu.edu.tw/vp/news_info.php?no=152
◎ 若您對網路相關的指令熟悉,您可以使用以下方式來進行: 並由 "開始" => "附屬應用程式" => "命令提示字元" 並輸入如下指令: C:\>ARP -s [Gateway IP Address] [Gateway MAC Address] 這樣就可以正常上網了。 ◎ 工作原理如下: 首先,確認目標電腦,再搜尋同網段當中,防護力較弱的電腦,把惡意程式植入較弱的電腦,這樣就可以從遠端控制該電腦的網路存取功能。取得該電腦的控制權後,發送假的ARP封包到目標電腦,該目標電腦使會替換掉原有的閘道器設定。接下來從目標電腦發送的封包,都會經由原先被植入惡意程式的電腦,再發送出去,所以所有的網頁資料,全部都會被"加料"。 有時讀取某些單位的網站時,頁面會出現不明的亂碼。 例如:1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C 經了解後,此亂碼並非字型編碼的問題。而是被惡意程式欺騙,送了"加料"的網頁。 http://geteway.game.tw/phpbb/trackback.php?e=34 如果發現電腦在瀏覽器的地方,都會出現 "1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C" 或 "1^LIBraBBGvB8i~Y*q~UU?" 這樣的字串,且同家網咖的電腦、或是區網的電腦也都在瀏覽器出現這樣子的字串,那八成是...中毒了 病毒說明: 病毒將某一台電腦感染後,利用該台電腦當跳板 再利用ARP攻擊的原理,將同一網段的使用者的閘道(Gateway)導到本機 然後竊取流到中毒機台的網頁(HTTP)的封包,並將封包內容插入該惡意字串(如上所示) 所以,只要在同一網段內的網頁(HTTP)封包的表頭就會被修改! 解決方式: 找出被當跳板的電腦,把他重開機,如果還原沒失效的話,應該會把病毒還原掉。 但是如果還原系統也被破壞的話,那...還是趕快把中毒機台的系統重作吧。 請多利用網路查詢  |
|
|
送花文章: 26728,
|
|
2007-09-14, 09:44 AM
|
#6 (permalink) | |
|
註冊會員
|
引用:
 ) |
|
|
|
送花文章: 799,
|
|
|
|
|
相似的主題
|
||||
| 主題 | 主題作者 | 討論區 | 回覆 | 最後發表 |
| 轉貼 - 我喜歡妳...推推^^ | superxboy | 轉帖文章區 | 15 | 2007-08-21 04:52 AM |
平板模式
