求助 - IE 會出現奇怪字串

Opisai · 2007-09-13, 03:19 PM

各位好：
小弟公司最近有好幾台電腦(尤其是老板的電腦在其中

)開啟IE上網時，
網頁顯示都會跑出莫名字串，出現的位置不固定，也有的網頁都不能看
只剩下那個字串。用了好幾套防毒、掃木馬、間諜軟體都無異常。
試過C槽 format再重裝，清cookie啦..還是會出現。(這些電腦的硬體不太相同..有hp.. ibm .acer的，os 有xp ..vista)，不知道是否有人遇過或知道如何處理，請撥宂指點小弟一下..不勝感激!! 謝謝!!

附上畫面：

http://img362.imageshack.us/img362/6633/95358194kd2.jpg

http://img362.imageshack.us/img362/9774/30877268jo1.jpg

http://img362.imageshack.us/img362/8247/21619499uw2.jpg

Logfile of Trend Micro HijackThis v2.0.2 (這是小弟本身使用電腦之LOG，OS為VISTA 32，也有上述情形)
Scan saved at ?????? 04:38:18, on 2007/9/13
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIMplugin.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
E:\Conductor\S_dsbin\scktsrvr.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
N:\HiJackThis.exe

O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Dr.eye WebPage Translation - {92B255FE-94E2-4BCA-958D-3926CE38913F} - C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIEBar.dll
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [IMDreyePlugin] "C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIMplugin.exe" /h
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: ScktSrvr.lnk = E:\Conductor\S_dsbin\scktsrvr.exe
O8 - Extra context menu item: Foxy 下載 - res://C:\Program Files\Foxy\Foxy.exe/download.htm
O8 - Extra context menu item: Foxy 搜尋 - res://C:\Program Files\Foxy\Foxy.exe/search.htm
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 轉換為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 轉換連結目標到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 轉換連結目標為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 轉換選定的連結到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: 轉換選定的連結為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: 轉換選擇內容到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 轉換選擇內容為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 附加至現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted IP range: http://192.168.1.7
O15 - Trusted IP range: http://192.168.1.6
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://192.168.1.7/crystalreportview...ows-i586-p.exe
O16 - DPF: {F3ED645F-2426-4001-8756-596B4F1EBF1A} (ShakeGTW Control) - http://www.crazy.com.tw/Include/ObjFile/ShakeGTW.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.com.tw ← xxx 部份是小弟公司網址，就不好意思給大家看啦
O17 - HKLM\Software\..\Telephony: DomainName = xxx.com.tw ← xxx 部份是小弟公司網址，就不好意思給大家看啦
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.com.tw ← xxx 部份是小弟公司網址，就不好意思給大家看啦
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 6887 bytes

a471 · 2007-09-13, 03:29 PM

http://forum.slime.com.tw/thread208952.html

Opisai · 2007-09-13, 04:48 PM

引用:

作者: a471

http://forum.slime.com.tw/thread208952.html

SORRY ..因為小弟己先用各類軟體掃過無異狀所以
以為是微軟靈異類問題，所以未附LOG ...己補上.. TKS !!

plunderer · 2007-09-13, 06:46 PM

問網管
或參考這一篇
http://forum.slime.com.tw/thread208208.html

ppp0600 · 2007-09-13, 07:42 PM

http://vp.kyu.edu.tw/vp/news_info.php?no=152

◎ 若您對網路相關的指令熟悉，您可以使用以下方式來進行：
　並由 "開始" => "附屬應用程式" => "命令提示字元" 並輸入如下指令：
　C:\>ARP -s [Gateway IP Address] [Gateway MAC Address]
　這樣就可以正常上網了。
　 ◎ 工作原理如下：
　首先，確認目標電腦，再搜尋同網段當中，防護力較弱的電腦，把惡意程式植入較弱的電腦，這樣就可以從遠端控制該電腦的網路存取功能。取得該電腦的控制權後，發送假的ARP封包到目標電腦，該目標電腦使會替換掉原有的閘道器設定。接下來從目標電腦發送的封包，都會經由原先被植入惡意程式的電腦，再發送出去，所以所有的網頁資料，全部都會被"加料"。

有時讀取某些單位的網站時，頁面會出現不明的亂碼。
例如：1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C
經了解後，此亂碼並非字型編碼的問題。而是被惡意程式欺騙，送了"加料"的網頁。

http://geteway.game.tw/phpbb/trackback.php?e=34
如果發現電腦在瀏覽器的地方，都會出現

"1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C"

或

"1^LIBraBBGvB8i~Y*q~UU?"

這樣的字串，且同家網咖的電腦、或是區網的電腦也都在瀏覽器出現這樣子的字串，那八成是...中毒了

病毒說明：

病毒將某一台電腦感染後，利用該台電腦當跳板

再利用ARP攻擊的原理，將同一網段的使用者的閘道(Gateway)導到本機

然後竊取流到中毒機台的網頁(HTTP)的封包，並將封包內容插入該惡意字串(如上所示)

所以，只要在同一網段內的網頁(HTTP)封包的表頭就會被修改！

解決方式：
找出被當跳板的電腦，把他重開機，如果還原沒失效的話，應該會把病毒還原掉。

但是如果還原系統也被破壞的話，那...還是趕快把中毒機台的系統重作吧。

請多利用網路查詢

Opisai · 2007-09-14, 09:44 AM

引用:

作者: ppp0600

http://vp.kyu.edu.tw/vp/news_info.php?no=152

http://geteway.game.tw/phpbb/trackback.php?e=34
如果發現電腦在瀏覽器的地方，都會出現

"1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C"

或

"1^LIBraBBGvB8i~Y*q~UU?"

這樣的字串，且同家網咖的電腦、或是區網的電腦也都在瀏覽器出現這樣子的字串，那八成是...中毒了

請多利用網路查詢

謝謝1P兄跟3P兄，肛溫!!!有個方向可以去處理了(現在的病毒真是千奇百怪...

)

2007-09-13, 03:19 PM	#1
Opisai 註冊會員榮譽勳章勳章總數3 UID - 76461 在線等級: 註冊日期: 2003-06-11 VIP期限: 2010-06 住址: 台南文章: 90 精華: 0 現金: 608 金幣資產: 10618 金幣	求助 - IE 會出現奇怪字串各位好：小弟公司最近有好幾台電腦(尤其是老板的電腦在其中)開啟IE上網時，網頁顯示都會跑出莫名字串，出現的位置不固定，也有的網頁都不能看只剩下那個字串。用了好幾套防毒、掃木馬、間諜軟體都無異常。試過C槽 format再重裝，清cookie啦..還是會出現。(這些電腦的硬體不太相同..有hp.. ibm .acer的，os 有xp ..vista)，不知道是否有人遇過或知道如何處理，請撥宂指點小弟一下..不勝感激!! 謝謝!! 附上畫面： Logfile of Trend Micro HijackThis v2.0.2 (這是小弟本身使用電腦之LOG，OS為VISTA 32，也有上述情形) Scan saved at ?????? 04:38:18, on 2007/9/13 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\conime.exe C:\Program Files\ESET\nod32kui.exe C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIMplugin.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Windows\ehome\ehtray.exe E:\Conductor\S_dsbin\scktsrvr.exe C:\Windows\system32\igfxsrvc.exe C:\Windows\ehome\ehmsas.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe N:\HiJackThis.exe O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Dr.eye WebPage Translation - {92B255FE-94E2-4BCA-958D-3926CE38913F} - C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIEBar.dll O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [IMDreyePlugin] "C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIMplugin.exe" /h O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE') O4 - Global Startup: ScktSrvr.lnk = E:\Conductor\S_dsbin\scktsrvr.exe O8 - Extra context menu item: Foxy 下載 - res://C:\Program Files\Foxy\Foxy.exe/download.htm O8 - Extra context menu item: Foxy 搜尋 - res://C:\Program Files\Foxy\Foxy.exe/search.htm O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 轉換為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: 轉換連結目標到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 轉換連結目標為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: 轉換選定的連結到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: 轉換選定的連結為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: 轉換選擇內容到現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 轉換選擇內容為 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: 附加至現有 PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O15 - Trusted IP range: http://192.168.1.7 O15 - Trusted IP range: http://192.168.1.6 O15 - ESC Trusted Zone: http://.update.microsoft.com O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://192.168.1.7/crystalreportview...ows-i586-p.exe O16 - DPF: {F3ED645F-2426-4001-8756-596B4F1EBF1A} (ShakeGTW Control) - http://www.crazy.com.tw/Include/ObjFile/ShakeGTW.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.com.tw ← xxx 部份是小弟公司網址，就不好意思給大家看啦 O17 - HKLM\Software\..\Telephony: DomainName = xxx.com.tw ← xxx 部份是小弟公司網址，就不好意思給大家看啦 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.com.tw ← xxx 部份是小弟公司網址，就不好意思給大家看啦 O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe -- End of file - 6887 bytes 此帖於 2007-09-13 04:51 PM 被 Opisai 編輯. 原因: 附加 HijackThis log*

	送花文章: 799, 收花文章: 25 篇, 收花: 68 次

2007-09-13, 03:29 PM	#2 (permalink)
a471 管理員榮譽勳章勳章總數18 UID - 236673 在線等級: 註冊日期: 2002-12-06 住址: 打狗文章: 53348 精華: 0 現金: 283 金幣資產: 41767725 金幣	http://forum.slime.com.tw/thread208952.html
	__________________ 我是史版A大，錢的數量決定電腦的力量我是給女孩修電腦長大的，經驗豐富技術過硬，就沒有我修不好的電腦
	送花文章: 79375, 收花文章: 22261 篇, 收花: 80311 次

2007-09-13, 06:46 PM	#4 (permalink)
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	問網管或參考這一篇 http://forum.slime.com.tw/thread208208.html
	__________________ 刑天舞干戚
	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

2007-09-13, 07:42 PM	#5 (permalink)
ppp0600 長老會員榮譽勳章勳章總數17 UID - 19602 在線等級: 註冊日期: 2002-12-30 住址: 混亂地獄文章: 10270 精華: 0 現金: 302 金幣資產: 214383208 金幣	http://vp.kyu.edu.tw/vp/news_info.php?no=152 ◎ 若您對網路相關的指令熟悉，您可以使用以下方式來進行：　並由 "開始" => "附屬應用程式" => "命令提示字元" 並輸入如下指令：　C:\>ARP -s [Gateway IP Address] [Gateway MAC Address] 　這樣就可以正常上網了。　 ◎ 工作原理如下：　首先，確認目標電腦，再搜尋同網段當中，防護力較弱的電腦，把惡意程式植入較弱的電腦，這樣就可以從遠端控制該電腦的網路存取功能。取得該電腦的控制權後，發送假的ARP封包到目標電腦，該目標電腦使會替換掉原有的閘道器設定。接下來從目標電腦發送的封包，都會經由原先被植入惡意程式的電腦，再發送出去，所以所有的網頁資料，全部都會被"加料"。有時讀取某些單位的網站時，頁面會出現不明的亂碼。例如：1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C 經了解後，此亂碼並非字型編碼的問題。而是被惡意程式欺騙，送了"加料"的網頁。 http://geteway.game.tw/phpbb/trackback.php?e=34 如果發現電腦在瀏覽器的地方，都會出現 "1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C" 或 "1^LIBraBBGvB8i~Y*q~UU?" 這樣的字串，且同家網咖的電腦、或是區網的電腦也都在瀏覽器出現這樣子的字串，那八成是...中毒了病毒說明：病毒將某一台電腦感染後，利用該台電腦當跳板再利用ARP攻擊的原理，將同一網段的使用者的閘道(Gateway)導到本機然後竊取流到中毒機台的網頁(HTTP)的封包，並將封包內容插入該惡意字串(如上所示) 所以，只要在同一網段內的網頁(HTTP)封包的表頭就會被修改！解決方式：找出被當跳板的電腦，把他重開機，如果還原沒失效的話，應該會把病毒還原掉。但是如果還原系統也被破壞的話，那...還是趕快把中毒機台的系統重作吧。請多利用網路查詢

	送花文章: 26719, 收花文章: 7689 篇, 收花: 38389 次

相似的主題
主題	主題作者	討論區	回覆	最後發表
轉貼 - 我喜歡妳...推推^^	superxboy	轉帖文章區	15	2007-08-21 04:52 AM
教學 - 常用EXCEL技巧匯總	psac	繪圖軟體應用技術文件	50	2006-09-21 08:41 AM
資訊 - 主機板編號詳解	psac	系統 & 硬體安裝及故障判斷技術文件	7	2006-08-12 09:57 PM
Windows server 2003設置使用必備技巧	sgpsdavid	作業系統操作技術文件	5	2004-09-02 05:41 PM
讓我們把圖看得更好:ACDSee5.0應用問答	psac	繪圖軟體應用技術文件	9	2003-05-22 04:26 PM

Google 提供的廣告