【求助】请帮忙看看这个到底是什么病毒或者木马？

Joe

各位兄弟，我的本本最近发现不正常连接，每次开网页，都先弹出一个广告flassh，ie都被劫持到一个网站，端口是5001的，我现在把uPNP的服务全部关掉，还有类似的现象，但是少很多。我用了Norton防火墙、NOD32、还有Ad-Ware、ewido，现在都查不出来什么东西，而且每次重装系统都会再出现上述现象，但是Ad-Ware总是检查出注册表里面有可疑的选项。
我在PIX上面看到5001上面的包有增加。
请哪位有经验的兄弟帮忙，谢谢！

Joe

截图如下：

seraphiw

如果重装系统都出现这样的情况，
怀疑你的安装盘是不是干净 了
换个试试

Joe

系统安装盘是绝对干净的，因为用了几年了！是一个新同事从校园网里面穿过来的，现在我的本本和主机都在电信骨干网里面，连接着很多主机，所以很着急！一台机器好了，另外一台没有搞干净，马上又会被感染。
看来要加强安全生产教育！郁闷！

nuzhangyi

最好是安装的时候把线断了试试。

xandycn

这个不是病毒或木马，应该属于间谍软件，可以44微软的Microsoft AntiSpyware在安全模式下查杀一下整个硬盘。

Joe

QUOTE:

原帖由 xandycn 于 2006-4-25 11:02 发表
这个不是病毒或木马，应该属于间谍软件，可以44微软的Microsoft AntiSpyware在安全模式下查杀一下整个硬盘。

这个Microsoft AntiSpyware在哪里可以下载到？

Joe

Microsoft AntiSpyware是不是就是defender？

Joe

还有兄弟能帮忙吗？叩谢了！

Joe

晕倒，Microsoft AntiSpyware查不出来！
现在发现每次都以一个Cookis，AD-Ware和NOD32说这个文件有问题！

Joe

QUOTE:

原帖由 gucici 于 2006-4-25 12:29 发表
是哪个网站？

是一个员工宿舍的，他从那边登录过系统，结果就出了问题。

Joe

现在机器上面没有查出来，但是经常有这么一个弹出来，要我连接远程的FTP：

x30er

QUOTE:

原帖由 Joe 于 2006-4-25 12:52 发表
现在机器上面没有查出来，但是经常有这么一个弹出来，要我连接远程的FTP：

这个没有问题，是系统进程

childyee

安装系统的时候断网44

Joe

QUOTE:

原帖由 x30er 于 2006-4-25 12:56 发表


这个没有问题，是系统进程

但是连接的远程地址居然在圣保罗，怀疑非正常连接。不知道是不是！

Joe

QUOTE:

原帖由 barryjie 于 2006-4-25 15:04 发表
我的机子前几天开网页的时候,有时会自动弹出个雪花的广告(开专门网的时候也有),应该也是木马什么的,不过我的咔吧和绿鹰都没查出来,不过后来清理了一下注册表好象就好了

的确是这个雪花啤酒广告，昨天晚上便成了中国死海，我用了若干软件查不出来，能请问用什么软件清理注册表的吗？
地址被劫持到西南师范大学的学生宿舍去了，我今天已经把那个同事好好批评了，但是我现在需要解决问题！唉~！郁闷！

bb

哈哈哈哈哈哈
不要杀什么毒了，看到这个5001端口的别急，
这个不是病毒，是电信的绿色上网出错搞的，经常劫持网页，
如果你不屏蔽掉这个地址就弹个广告出来，如果屏蔽掉这个网页就打不开
找电信投诉就是，让他们把你的账号放进白名单就彻底清净鸟
不过这东西出错只是发神经，有时候莫名其妙天天弹，然后就销声匿迹了

[ 本帖最后由 bb 于 2006-4-25 19:23 编辑 ]

pinguo

电信的会无耻到这种地步吗？看来真是防不胜防呀！网民太难做了！

Joe

QUOTE:

原帖由 bb 于 2006-4-25 19:10 发表
哈哈哈哈哈哈
不要杀什么毒了，看到这个5001端口的别急，
这个不是病毒，是电信的绿色上网出错搞的，经常劫持网页，
如果你不屏蔽掉这个地址就弹个广告出来，如果屏蔽掉这个网页就打不开
而且是有问题的，找电 ...

我现在就是在给电信作事情啊，但是在之前没有问题，问题是现在绿色上网是正常弹出网页，现在全市黄色网页，我明天去问一下傲天，这套系统是他们做的！
再找电信运维问一下怎么回事情。
刚才用绿鹰查出点问题，现在再仔细查一下！
谢谢兄弟的重要信息。

Joe

但是我现在没有用什么接入帐号啊，现在就在电信的城域网上面，不用拨号，静态固定地址啊。

grgoahead

到木马克星的官方网站：http://www.luosoft.com/index3.htm
下载最新版的木马克星（未注册的 话能查不能杀）试试吧。

Joe

QUOTE:

原帖由 grgoahead 于 2006-4-25 19:59 发表
到木马克星的官方网站：http://www.luosoft.com/index3.htm
下载最新版的木马克星（未注册的 话能查不能杀）试试吧。

谢谢兄弟，死马当作活马医了！

Joe

总算找到问题了！呵呵！傲天的绿色上网，劫持了网页，弹出了广告，同时感染了其他病毒，被劫持到黄色网页！现在再杀一次，如果检查不出来就不管了！呵呵！谢谢BB

charlestan

QUOTE:

原帖由 Joe 于 2006-4-25 19:10 发表


的确是这个雪花啤酒广告，昨天晚上便成了中国死海，我用了若干软件查不出来，能请问用什么软件清理注册表的吗？
地址被劫持到西南师范大学的学生宿舍去了，我今天已经把那个同事好好批评了，但是我现在需要解 ...

你错怪你同事了
不是他的错，是电信的错

水无涯

我的也是.我在成都.前段时间都没有.只有这段时间.老是雪花啤酒和中国死海.不知道什么东西.而且登录不了网站.cookie不起作用.连接的站点是:http://220.167.29.102:5001.这个ip的位置在四川师范大学10幢。

我登陆这个网站。界面如下：应该是一个广告系统

水无涯

大家可以看一下被劫持的浏览器如下。

我觉得这样好像是通过:http://220.167.29.102:5001进行代理上网的。反正自从有了这个我上网速度非常慢！！

Joe

QUOTE:

原帖由 charlestan 于 2006-4-25 21:24 发表

你错怪你同事了
不是他的错，是电信的错

呵呵！是啊！
主要是太凑巧了，他就是川师的，然后现在连接显示的IP也是川师的，我们分配给他的电脑，由于是公网IP，又在城域网上，我发现他以前就在上面安装于工作不相关的服务软件，想在上面做网页，我警告过4、5次了，结果还是不听。还没有毕业，现在没有好的工作习惯啊~！
不过这次是错怪了，还是给他说一声对不起，呵呵！