Board logo

标题: 弹出恶意网页,微点不报,请帮忙解决 [打印本页]
作者: cnlinya     时间: 2007-12-22 09:41    标题: 弹出恶意网页,微点不报,请帮忙解决

之前我用号称可以查杀NNNN中恶意软件的安全XX360,结果运行魔兽世界的时候就会弹出一个IE页面,怎么检查也查不出问题,而我给安全XX360上报也没有任何反馈,放弃,投奔微点。

可是今天早上的时候又发现了此问题,而且微点也没有任何动作,整个过程中先运行了foobar2000,然后就开了魔兽世界,如下:


而且CPU进程马上被IE所占用,如下:


在关闭那个弹出的页面后IE的占用资源恢复正常,如下:
作者: Legend     时间: 2007-12-22 09:57
请楼主将微点系统自启动信息导出贴到论坛上,我们协助您进行分析处理。
作者: 风中的舞者     时间: 2007-12-22 10:01
我看你还是检查一下魔兽进程的模块  微点就可以查  查完以后点一下隐藏已知的模块  剩下的你搜一下  一般剩下的模块多半都是没用的或者可疑的

这里我推荐你用  arswp  也就是WINDOWS清理助手再扫一下
作者: cnlinya     时间: 2007-12-22 11:20
已经隐藏了已知的启动信息

程序名称        启动方式        程序说明        全路径        启动信息       

autoexec.bat        批处理文件        其他软件        C:\AUTOEXEC.BAT               
realsched.exe  -osboot        注册表启动组        其他软件        C:\Program Files\Common Files\Real\Update_OB\realsched.exe        HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\TKBELLEXE       
PCIDump.sys        驱动        其他软件        文件不存在(C:\WINDOWS\System32\DRIVERS\PCIDump.sys)        HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\PCIDUMP       
Ati2evxx.dll        系统直接调用        其他软件        C:\WINDOWS\system32\ati2evxx.dll        HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\ATIEXTEVENT       
lbrtfdc.sys        驱动        其他软件        文件不存在(C:\WINDOWS\System32\DRIVERS\lbrtfdc.sys)        HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LBRTFDC       
Changer.sys        驱动        其他软件        文件不存在(C:\WINDOWS\System32\DRIVERS\Changer.sys)        HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\CHANGER       
WgaLogon.dll        系统直接调用        其他软件        C:\WINDOWS\system32\WgaLogon.dll        HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\WGALOGON       
i2omgmt.sys        驱动        其他软件        文件不存在(C:\WINDOWS\System32\DRIVERS\i2omgmt.sys)        HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\I2OMGMT       
AmdK8.sys        驱动        其他软件        C:\WINDOWS\system32\drivers\AmdK8.sys        HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\AMDK8
作者: cnlinya     时间: 2007-12-22 11:28
autoexec.bat        批处理文件        其他软件        C:\AUTOEXEC.BAT
是不是这个引起的呢?

可是AUTOEXEC.BAT文件我打开看了,0字节的,什么内容都没有啊
作者: Legend     时间: 2007-12-22 11:44
和AUTOEXEC.BAT无关,XP环境下该文件默认为空。

请楼主查看进程启动日志,该IE浏览器由哪个进程启动?
作者: wantcm     时间: 2007-12-22 11:44
WgaLogon.dll        系统直接调用        其他软件        C:\WINDOWS\system32\WgaLogon.dll   
这个文件比较可疑。
作者: cnlinya     时间: 2007-12-22 20:17
这个窗口不是每次都会弹出来的,白天有事出去了,晚上回来后又不弹了
以前装安全XX360的时候也是类似的情况
比较郁闷啊

等再弹的时候我再仔细分析一下,先谢过各位专家了
作者: wantcm     时间: 2007-12-22 21:22
autoexec.bat        批处理文件        其他软件      
系统自带,无问题。         
PCIDump.sys        驱动        其他软件        文件不存在
“文件不存在”了,无问题。      
Ati2evxx.dll        系统直接调用        其他软件        
显卡驱动的某个文件,无问题。   
lbrtfdc.sys        驱动        其他软件        文件不存在
     “文件不存在”了,无问题。
Changer.sys        驱动        其他软件        文件不存在
“文件不存在”了,也无问题。     
WgaLogon.dll        系统直接调用        其他软件           
有问题。
i2omgmt.sys        驱动        其他软件        文件不存在
“文件不存在”了,无问题。     
AmdK8.sys        驱动        其他软件        
AMD CPU驱动,无问题

最后我认为,WgaLogon.dll        系统直接调用        其他软件 可能是问题的根源所在,建议删除。
作者: qq2008444     时间: 2007-12-22 21:33
是不是被魔兽调用了啊
用360保险箱安全启动试试
作者: cnlinya     时间: 2007-12-24 09:21


  Quote:
Originally posted by wantcm at 2007-12-22 21:22:
autoexec.bat        批处理文件        其他软件      
系统自带,无问题。         
PCIDump.sys        驱动        其他软件        文件不存在
“文件不存在”了,无问题。      
Ati2evxx.dll         ...

需要我把这个文件发送给你们分析一下吗?
PS:今天晚上回家试验一下,这几天比较忙,都没时间开电脑,呵呵
作者: cnlinya     时间: 2007-12-24 09:23


  Quote:
Originally posted by qq2008444 at 2007-12-22 21:33:
是不是被魔兽调用了啊
用360保险箱安全启动试试

其实不只是魔兽世界,有时候启动新浪的UTalk也会弹出此页面的
因为我常玩魔兽,其他的软件安装的也比较少,所以用魔兽来做个例子而已
非常感谢你的帮助

而且我用360的时候怎么查都查不出问题,上报了也没有任何回馈信息

[ Last edited by cnlinya on 2007-12-24 at 09:24 ]
作者: cnlinya     时间: 2007-12-24 11:52
刚才回家吃饭的时候又测试了一下,这次打开的是如下页面:
作者: cnlinya     时间: 2007-12-24 11:57
WgaLogon.dll 文件的信息如下(删不掉):







作者: wantcm     时间: 2007-12-24 12:06
修复一下注册表吧!
作者: Legend     时间: 2007-12-24 12:13
请楼主在弹出网页时,生成技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)再发送到我们support@micropoint.com.cn 邮箱,我们会详细分析的,随信请附带此贴链接,我们好及时跟踪处理

您发送完后,请通过论坛短消息将您的邮箱地址发给我,也请附带此贴链接
作者: 微微一点     时间: 2007-12-24 15:16
修复微点里面的注册表啊,在锁定IE栏试一下!
作者: Legend     时间: 2007-12-26 17:02
楼主您的邮件我们没有收到,请您重新发送,谢谢
作者: cnlinya     时间: 2007-12-26 22:57


  Quote:
Originally posted by Legend at 2007-12-26 17:02:
楼主您的邮件我们没有收到,请您重新发送,谢谢

见谅,这几天比较忙,几乎没有上网的时间,过几天不忙的时候一定劳烦你们帮忙解决的
作者: bingyan     时间: 2007-12-27 03:07
楼主是不是有局域网啊,我最近老是碰到局域网的ARP攻击,不受攻击时一切正常,可等一会再上网就不行了,全跑到别的网页去了
作者: cnlinya     时间: 2008-1-2 10:44


  Quote:
Originally posted by bingyan at 2007-12-27 03:07:
楼主是不是有局域网啊,我最近老是碰到局域网的ARP攻击,不受攻击时一切正常,可等一会再上网就不行了,全跑到别的网页去了

我在家使用路由器,家里一共两台电脑,发生本贴中的问题的时候只有1台电脑的网线连在路由器上,应该不是ARP攻击一类的

PS:最近电脑也不知道为什么总不能重现这个问题了,我现在用的是预升级版的,难道微点已经把这个网站的恶意代码破解了?希望如此
作者: 采薇蒹葭     时间: 2008-1-2 10:52
杀流氓,,Windows清理助手,,
作者: Legend     时间: 2008-1-3 09:24
请楼主加入微点官方技术交流QQ群,联系在线管理员协助解决。在加群和联系管理员时请附上本帖链接。
微点技术交流群: I. 16998902   Ⅱ. 1471553   Ⅲ. 630086
请您逐个尝试加入

楼主也可以使用QQ将微点在线管理员加为好友(QQ:383154254或466248167),让他协助您在线分析处理一下。
作者: Legend     时间: 2008-1-16 17:36
请问楼主的问题是否已经解决?
作者: Legend     时间: 2008-1-17 11:33
由于没有收到楼主进一步的反馈信息,本主题暂作关闭处理,如有问题,请另开新帖讨论。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn