风语者
火狐狸
火狐狸
  • UID28581
  • 注册日期2009-04-14
  • 最后登录2022-02-09
  • 发帖数204
  • 经验185枚
  • 威望0点
  • 贡献值220点
  • 好评度5点
阅读:2510回复:5

[已解决]中了广告病毒了,请教一下怎么排查

楼主#
更多 发布于:2016-06-05 00:09
随机某个网页,会出现弹出窗口,实际上已经被拦截.

但是页面上有个透明的链接,鼠标也变成链接式样,一点击页面任意界面,就会弹出广告页.

http://*******.tuv888.com  

星号是随机的,每次弹出页面都不一样.
我用大蜘蛛查杀,没发现病毒.要不就是恶意广告代码.

0607 刚才重新建立了一个配置文件,也弹出来一个广告网页.

0609 应该是被劫持了... (图二) , id="__czUnion_a__93 这个ID经常变, 后面的网页网址也经常变.

id="__czUnion_a__93" href="http://cip3.e1977.com/promote-switch.php?

http://d3.freep.cn/3tb_160609021642mqqd565087.jpg (图二)
http://d2.freep.cn/3tb_16060500082348om565087.jpg
文科
千年狐狸
千年狐狸
  • UID39959
  • 注册日期2013-10-17
  • 最后登录2019-07-27
  • 发帖数2069
  • 经验1328枚
  • 威望4点
  • 贡献值340点
  • 好评度256点
  • 最爱沙发
  • 社区居民
  • 忠实会员
1楼#
发布于:2016-06-05 17:41
看看火狐有没有被装上可疑的扩展
控制面板里面卸载可疑的软件看看
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
2楼#
发布于:2016-06-05 23:44
如果确定是任意网站都有弹
除去扩展外
还有可能是页面被人插了恶意代码
猴子脚本啊,代理啊,Winsock LSP 啊,ISP 啊,之类的
风语者
火狐狸
火狐狸
  • UID28581
  • 注册日期2009-04-14
  • 最后登录2022-02-09
  • 发帖数204
  • 经验185枚
  • 威望0点
  • 贡献值220点
  • 好评度5点
3楼#
发布于:2016-06-07 10:07
文科:看看火狐有没有被装上可疑的扩展
控制面板里面卸载可疑的软件看看
回到原帖
没有,这些扩展都是一直用了好几年的,就算是升级也是有签名的。
风语者
火狐狸
火狐狸
  • UID28581
  • 注册日期2009-04-14
  • 最后登录2022-02-09
  • 发帖数204
  • 经验185枚
  • 威望0点
  • 贡献值220点
  • 好评度5点
4楼#
发布于:2016-06-07 10:08
aaaa007cn:如果确定是任意网站都有弹
除去扩展外
还有可能是页面被人插了恶意代码
猴子脚本啊,代理啊,Winsock LSP 啊,ISP 啊,之类的
回到原帖
怀疑是广告网站的恶意广告代码什么的,肯定是,弹出什么成人交友,网页游戏的
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
5楼#
发布于:2016-06-07 20:46
新建的配置
检查扩展、插件有无异常

是不是任意网站都弹?
除了那一个截图中的无名小站外,163、sina、sohu、qq 等大站呢?
https 页面呢?还是只有 http 页面?

弹窗代码是直接注入网页源代码还是插入了外联 js?或者页面源代码直接被改写成框架形式?

firefox 是直连还是走了未知代理?
通过已知的安全代理是否同样有弹窗?

Winsock LSP 栈是否正常

其他浏览器是否同样有弹窗?
或者你会用 curl 也行

路由器有没有问题?

或者说用替换法
替换浏览器、电脑、路由器、宽带做测试
游客

返回顶部