昨日无事在同事电脑上乱晃,突然发现我开的百度搜索网页自动转到一个网页:http://v.naqigs.com/API/POPClicks.aspx?IPs=1078484,CPM_20090319&UserID=2188&MovementID=4&WebID=11739&enCrypt=5f8a9266357c,等该网页完全打开,是网页游戏《热血三国》的推广广告。趋同事没过来的时候检查了下他的电脑,但我不太确定是以下所发现的可疑对象造成,也许在它们中,也许不在。
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MPKrnl><rundll32 "C:\WINNT\MPKrnl.dll",KrnlMsgProc> [File is missing]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>< cenbezn.dll zongxim.dll zesttns.dll rexljeh.dll wonlins.dll xsisco.dll tobaoup.dll delnice.dll kandawf.dll> (系统默认 AppInit_DLLs值为空值)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<Webcam><C:\Program Files\Messenger\msgswcam.dll> [File is missing]服务
[Server / lanmanserver][Running/Auto Start]
<C:\WINNT\system32\services.exe-->%SystemRoot%\System32\BServer.dll><N/A>(此服务在2000下的正常值是C:\WINNT\system32\services.exe,XP则为C:\WINDOWS\System32\svchost.exe -k netsvcs)
[Smart Card Helper / SCardDrv][Stopped/Auto Start]
<C:\WINNT\system32\scardsvr32.exe -v><(File is missing)>(此服务在2000下的正常值是C:\WINNT\system32\scardsvr.exe,XP下无此项服务)驱动程序
[Enchant / Enchant][Stopped/Manual Start]
<\SystemRoot\system32\drivers\Enchant.sys><N/A>
以上标注“File is missing”的表示文件已经不存在,所以应该不起作用,但为了完整表达仍然列出。即便是被修改的AppInit_DLLs,也不能肯定是否那些文件都在。我实在找不出还有什么可疑的地方,一度犹豫是否把本文发表。到网上搜索一下,有关热血三国广告恶意推广的网页不少,不过似乎具体方法各不相同,因此要解决此问题还是得具体问题具体分析,同时也希望游戏厂商能遏止这种不正常的现象。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/291.html
