[求助]浏览器被劫持原因-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]浏览器被劫持原因

发表于: 2014-8-6 01:18 17600

[求助]浏览器被劫持原因

雾隐雪尘

2014-8-6 01:18

17600

无论打开什么网页，过一段时间后，网页右下角总会出现如图的弹窗或其他弹窗，然后点击后跳转到域名88.oosmcvj.com，确定不是dns劫持，运营商也不是。求问还有什么可能性，求各位分析指导一二

。只要是浏览器无一幸免，fire fox chrome都出现此情况，与浏览器无关。ISP好像也无关，因为恢复到上一次依然出现。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

免费・0

支持

最新回复 (25) 1 2 ▶
老伙计雪币： 817 活跃值： (2073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 2 楼在hosts文件里面把这个令人讨厌的网址屏蔽掉试试呢 2014-8-6 01:47 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 3 楼 host屏蔽到知道，就是想知道是什么原因导致的，以前都没有，最近就突然出现了。不知道哪里出了问题。 2014-8-6 11:07 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 4 楼也许是中毒了，病毒会拦截HTTP通讯，然后在GET数据后面APPEND 2014-8-6 11:43 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 5 楼关键是不知道到底哪里出问题，怎么确定这个弹窗到底是怎么产生的，如果是这个病毒的话，怎么确定是这种情况，有什么特征。出现频率很低，就是不确定是哪一个东东引起的。网上搜了半天，也没见到确切的解释，不过好像这个问题很常见。 2014-8-6 12:20 0
一unknown一雪币： 8 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	一unknown一 6 楼先试试，调试器附加浏览器，内存搜索---88.oosmcvj.com，定位模块。 2014-8-6 12:23 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 7 楼看下有没有这个目录：c:\Program Files\trolatunt 有的话把这个进程干掉:updatetrolatunt.exe 再把目录删了。 2014-8-6 13:01 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 8 楼我最近遇到的”爱情后门“病毒就会拦截浏览器GET的数据，在HTML其后加一段VB代码，旨在生成一个svchost.exe并运行。你那个估计也差不多。建议比对一下程序，比如现在最新的chrome.exe应该是860,488 字节。如果变大，那就是感染了 2014-8-6 13:03 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 9 楼仔细找了一下，没有这两个东西，不过感谢啦！ 2014-8-6 13:08 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 10 楼这种病毒是不是无论你装什么浏览器都起作用？我把浏览器卸了重装，装了多个浏览器（官网下的），每个浏览器无一幸免还是弹出。“最新的chrome.exe应该是860,488 字节”这个是安装包大小？感谢指导！ 2014-8-6 13:21 0
coffeesoft 雪币： 3092 活跃值： (1594) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 24 关注私信	coffeesoft 2 11 楼可能是tcp劫持 2014-8-7 01:29 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 12 楼应用层仔细检查lsp,驱动层检查是否有tdi，wfp，ndis等过滤驱动，检查是否有网络相关的钩子。看看ntdeviceioctorfile有没有被挂钩 2014-8-7 06:10 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 13 楼检查浏览器是否被注入，有没有可疑模块，有没有被hook 2014-8-7 06:11 0
kxzb 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 84 粉丝 0 关注私信	kxzb 14 楼总进程监视工具分析 2014-8-7 07:41 0
powerx 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	powerx 15 楼请问这个怎检查呢？我昨天遇到了，用的IE11. WIN7 64位。查看源码时部份网站头部有可疑代码。只影响IE。上传的附件： js-head-ms.jpg （93.87kb，565次下载） 2014-8-7 08:26 0
AbandonQ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	AbandonQ 16 楼学习中 2014-8-7 19:04 0
马特达蒙雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	马特达蒙 17 楼进程被注入了？？ 2014-8-7 22:15 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 18 楼驱动搞的鬼吧，见过类似的病毒 2014-8-9 23:21 0
音悦台雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	音悦台 19 楼我的IE11也出现了问题，打开IE后先到主页，不到2秒钟，就跳到www.2345.com了。在任务栏中，将原始IE图标删除，替换成另外一个IE图标，其文件位置为D:\program中，且这个目录是系统隐藏的。我按左shift键后打开文件位置能看到，但到D盘寻找，始终找不到。显示隐藏的文件、文件夹和驱动器后仍然不见踪影，又去除勾选了隐藏受保护的操作系统文件（推荐），才将其找到。用金山毒霸查毒，没有发现，在注册表将搜索并删除www.2345.com后，不起任何作用。在后来，我将D:\program\ieplorer.exe用记事本打开后删除了几行，并将D:\program设为只读后，才没有跳转了，但我明白，这只是一个治标不治本的权宜之计，没有解决根本问题。所以请高手帮忙分析一下。 2014-8-10 08:56 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 20 楼 opera撸过 2014-8-10 09:07 0
wwwyingyan 雪币： 8 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 1 关注私信	wwwyingyan 21 楼缓存投毒+DNS劫持，其实这很简单的 2014-10-8 20:09 0
byebing 雪币： 266 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 170 粉丝 0 关注私信	byebing 22 楼目测，这是你的网络被劫持了，可以尝试追查上一级运营商。 2014-10-8 20:53 0
IamHuskar 雪币： 1392 活跃值： (4872) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 23 楼样本传一下啊。试试 2014-10-9 08:31 0
vvke 雪币： 70 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	vvke 24 楼有没有想过是网络供应商的问题呢？一些宽带都是这样的 2014-10-10 14:21 0
xiaomij 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	xiaomij 25 楼学习一下! 2014-11-30 15:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

雾隐雪尘

发帖

回帖

RANK

关注

私信

他的文章

[求助]浏览器被劫持原因 17601

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
老伙计雪币： 817 活跃值： (2073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 2 楼在hosts文件里面把这个令人讨厌的网址屏蔽掉试试呢 2014-8-6 01:47 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 3 楼 host屏蔽到知道，就是想知道是什么原因导致的，以前都没有，最近就突然出现了。不知道哪里出了问题。 2014-8-6 11:07 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 4 楼也许是中毒了，病毒会拦截HTTP通讯，然后在GET数据后面APPEND 2014-8-6 11:43 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 5 楼关键是不知道到底哪里出问题，怎么确定这个弹窗到底是怎么产生的，如果是这个病毒的话，怎么确定是这种情况，有什么特征。出现频率很低，就是不确定是哪一个东东引起的。网上搜了半天，也没见到确切的解释，不过好像这个问题很常见。 2014-8-6 12:20 0
一unknown一雪币： 8 活跃值： (40) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	一unknown一 6 楼先试试，调试器附加浏览器，内存搜索---88.oosmcvj.com，定位模块。 2014-8-6 12:23 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 7 楼看下有没有这个目录：c:\Program Files\trolatunt 有的话把这个进程干掉:updatetrolatunt.exe 再把目录删了。 2014-8-6 13:01 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 8 楼我最近遇到的”爱情后门“病毒就会拦截浏览器GET的数据，在HTML其后加一段VB代码，旨在生成一个svchost.exe并运行。你那个估计也差不多。建议比对一下程序，比如现在最新的chrome.exe应该是860,488 字节。如果变大，那就是感染了 2014-8-6 13:03 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 9 楼仔细找了一下，没有这两个东西，不过感谢啦！ 2014-8-6 13:08 0
雾隐雪尘雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	雾隐雪尘 10 楼这种病毒是不是无论你装什么浏览器都起作用？我把浏览器卸了重装，装了多个浏览器（官网下的），每个浏览器无一幸免还是弹出。“最新的chrome.exe应该是860,488 字节”这个是安装包大小？感谢指导！ 2014-8-6 13:21 0
coffeesoft 雪币： 3092 活跃值： (1594) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 67 粉丝 24 关注私信	coffeesoft 2 11 楼可能是tcp劫持 2014-8-7 01:29 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 12 楼应用层仔细检查lsp,驱动层检查是否有tdi，wfp，ndis等过滤驱动，检查是否有网络相关的钩子。看看ntdeviceioctorfile有没有被挂钩 2014-8-7 06:10 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 13 楼检查浏览器是否被注入，有没有可疑模块，有没有被hook 2014-8-7 06:11 0
kxzb 雪币： 202 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 84 粉丝 0 关注私信	kxzb 14 楼总进程监视工具分析 2014-8-7 07:41 0
powerx 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 39 粉丝 0 关注私信	powerx 15 楼请问这个怎检查呢？我昨天遇到了，用的IE11. WIN7 64位。查看源码时部份网站头部有可疑代码。只影响IE。上传的附件： js-head-ms.jpg （93.87kb，565次下载） 2014-8-7 08:26 0
AbandonQ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	AbandonQ 16 楼学习中 2014-8-7 19:04 0
马特达蒙雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	马特达蒙 17 楼进程被注入了？？ 2014-8-7 22:15 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 18 楼驱动搞的鬼吧，见过类似的病毒 2014-8-9 23:21 0
音悦台雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	音悦台 19 楼我的IE11也出现了问题，打开IE后先到主页，不到2秒钟，就跳到www.2345.com了。在任务栏中，将原始IE图标删除，替换成另外一个IE图标，其文件位置为D:\program中，且这个目录是系统隐藏的。我按左shift键后打开文件位置能看到，但到D盘寻找，始终找不到。显示隐藏的文件、文件夹和驱动器后仍然不见踪影，又去除勾选了隐藏受保护的操作系统文件（推荐），才将其找到。用金山毒霸查毒，没有发现，在注册表将搜索并删除www.2345.com后，不起任何作用。在后来，我将D:\program\ieplorer.exe用记事本打开后删除了几行，并将D:\program设为只读后，才没有跳转了，但我明白，这只是一个治标不治本的权宜之计，没有解决根本问题。所以请高手帮忙分析一下。 2014-8-10 08:56 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 20 楼 opera撸过 2014-8-10 09:07 0
wwwyingyan 雪币： 8 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 64 粉丝 1 关注私信	wwwyingyan 21 楼缓存投毒+DNS劫持，其实这很简单的 2014-10-8 20:09 0
byebing 雪币： 266 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 170 粉丝 0 关注私信	byebing 22 楼目测，这是你的网络被劫持了，可以尝试追查上一级运营商。 2014-10-8 20:53 0
IamHuskar 雪币： 1392 活跃值： (4872) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 23 楼样本传一下啊。试试 2014-10-9 08:31 0
vvke 雪币： 70 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	vvke 24 楼有没有想过是网络供应商的问题呢？一些宽带都是这样的 2014-10-10 14:21 0
xiaomij 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	xiaomij 25 楼学习一下! 2014-11-30 15:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复