Firefox/Chrome 中无法解释的系统性转发到垃圾邮件(和搜索引擎)

Firefox/Chrome 中无法解释的系统性转发到垃圾邮件(和搜索引擎)

我对 Firefox 有一个很恼火的问题。每次我在 Google 上搜索,然后右键点击链接在单独的选项卡/窗口中打开它时,Firefox 都会停顿几秒钟,然后打开一些垃圾邮件/广告链接而不是正确的页面。

  • 我已经运行了 SpyBot、SuperAntiSpyware 和 CCleaner,我的电脑很干净。
  • 我尝试重新安装 Firefox,并要求删除所有历史记录和数据。但这并没有解决问题。
  • 我已经删除了我的 Firefox/extensions 文件夹的内容,但这没有帮助。
  • 我安装了 AGV 防病毒软件。它甚至说链接是安全的……

我搜索了其他论坛和网站寻找解决方案,但找不到任何解决方案。我现在在这里发布这个问题。有人遇到过这个问题吗?我该如何解决它?

编辑

通常,Firefox 会弹出一个窗口询问我是否要保存名为“s”的文件。

该问题并非特定于某个浏览器。Chrome 也会出现这种情况。

我运行了最新版本的 Ad-Ware、CCleaner、SpyBot、Emsisoft Anti-Malware、MalwareBytes 和 SUPERAntiSpyware,但并没有解决问题。

编辑2

我已遵循 JdeBP 的建议(通过 DHCP 自动获取 IP 地址)。我还在注册表中发现了一个奇怪的条目,我已将其删除。我重新启动了,但问题仍然存在。

当我执行 时ipconfig /displaydns,会得到一长串条目,这些条目似乎与我收到的垃圾邮件相对应。它们都已将 A(主机)记录设置为127.0.0.1

当我执行ipconfig /flushdns后跟时ipconfig /displaydns,条目仍然存在......

当我执行 时ipconfig /renew,我得到:No operation can be performed on Local Area Connection while it has its media disconnected。我不太清楚那是什么意思。我通过无线(不是以太网电缆)访问互联网。当我关闭 PC 上的无线时,我得到相同的无线连接消息。

我已经禁用本地连接并尝试过ipconfig /renew,但它停滞了......

编辑3

以下是 ipconfig /all 的输出。我目前通过无线方式连接到互联网:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : NoKidding
   Primary Dns Suffix  . . . . . . . : 
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Marvell Yukon 88E8055 PCI-E Gigabit Ethernet Controller
   Physical Address. . . . . . . . . : 00-1D-BA-AC-D9-26
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wireless Network Connection:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Intel(R) WiFi Link 5100 AGN
   Physical Address. . . . . . . . . : 00-21-5D-EB-34-A8
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::193:2bc9:cbb0:168b%10(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.1.148(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vendredi 10 juin 2011 2:10:57
   Lease Expires . . . . . . . . . . : samedi 11 juin 2011 2:31:02
   Default Gateway . . . . . . . . . : 192.168.1.1
   DHCP Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6 IAID . . . . . . . . . . . : 268443997
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : 167.206.245.130
                                       167.206.245.129
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter VMware Network Adapter VMnet1:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
   Physical Address. . . . . . . . . : 00-50-56-C0-00-01
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::ccd8:6bfa:a3a4:7dfb%18(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.20.1(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vendredi 10 juin 2011 2:18:29
   Lease Expires . . . . . . . . . . : vendredi 10 juin 2011 10:31:02
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : 192.168.20.254
   DHCPv6 IAID . . . . . . . . . . . : 436228182
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter VMware Network Adapter VMnet8:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
   Physical Address. . . . . . . . . : 00-50-56-C0-00-08
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::3419:22f2:c13b:e8fa%19(Preferred) 
   IPv4 Address. . . . . . . . . . . : 192.168.132.1(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : vendredi 10 juin 2011 2:19:04
   Lease Expires . . . . . . . . . . : vendredi 10 juin 2011 10:31:04
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : 192.168.132.254
   DHCPv6 IAID . . . . . . . . . . . : 453005398
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   Primary WINS Server . . . . . . . : 192.168.132.2
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter VirtualBox Host-Only Network:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
   Physical Address. . . . . . . . . : 08-00-27-00-D4-EA
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::413a:949e:27db:860c%22(Preferred) 
   Autoconfiguration IPv4 Address. . : 169.254.134.12(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.0.0
   Default Gateway . . . . . . . . . : 
   DHCPv6 IAID . . . . . . . . . . . : 503840807
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-11-91-8C-91-00-1D-BA-AC-D9-26
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.lan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{8C86257F-65F0-49A9-B3DF-A61CC7F73546}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{A98786DD-7682-4826-88F4-A03BA1D824A5}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{A53A0A7E-6A3D-4A72-A11F-30A6322B957C}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #4
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{FC119556-5E94-4BAB-8451-5D240BF581A5}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #5
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

显然,与无线关联的 DNS 是 167.206.245.130,其解析为“vdns2.srv.prnynj.cv.net”。

编辑4

我注意到我没有文件hosts。我不知道我怎么会遇到这种情况。Windows 7 从未抱怨过这一点。

目录中有一些备份hosts,包括 SpyBot 制作的备份。我从中创建了一个新的 hosts 文件并重新启动,但仍然面临同样的问题。

我再次尝试ipconfig /displaydns,它仍然显示有问题的条目。这些条目不在我的hosts文件中:

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1   www.007guard.com
127.0.0.1   007guard.com
127.0.0.1   008i.com
127.0.0.1   www.008k.com
127.0.0.1   008k.com
127.0.0.1   www.00hq.com
127.0.0.1   00hq.com
127.0.0.1   010402.com
127.0.0.1   www.032439.com
...

127.0.0.1   www.zxsex2.info
127.0.0.1   zxsex2.info
127.0.0.1   zyban-zocor-levitra.com
# This list is Copyright 2000-2008 Safer Networking Limited
127.0.0.1   suportevendas.com
127.0.0.1   www.suportevendas.com
# End of entries inserted by Spybot - Search & Destroy

编辑5

抱歉,我收回。 返回的有问题的条目ipconfig /displaydns确实出现在我的 中hosts file。因此,我重新开始:

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost

这就是它真实的疯了。重启电脑后,显示 DNS 返回:

Windows IP Configuration

    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    1.0.0.127.in-addr.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.127.in-addr.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 1
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 127.0.0.1


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 28
    Time To Live  . . . . : 86400
    Data Length . . . . . : 16
    Section . . . . . . . : Answer
    AAAA Record . . . . . : ::1

在谷歌上搜索一些虚拟术语后,我右键单击任何链接以在新选项卡中打开页面,结果出现了垃圾邮件。当我再次执行显示 DNS 时,我得到了:

Windows IP Configuration

    1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    1.0.0.127.in-addr.arpa
    ----------------------------------------
    Record Name . . . . . : 1.0.0.127.in-addr.arpa.
    Record Type . . . . . : 12
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    PTR Record  . . . . . : localhost


    clickalmost.org
    ----------------------------------------
    Record Name . . . . . : clickalmost.org
    Record Type . . . . . : 1
    Time To Live  . . . . : 30
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 69.65.49.114


    t3.gstatic.com
    ----------------------------------------
    Record Name . . . . . : t3.gstatic.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 28
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : tbn.l.google.com


    www.gregorypacks.com
    ----------------------------------------
    Record Name . . . . . : www.gregorypacks.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 1785
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : gregorypacks.com


    www.gap-system.org
    ----------------------------------------
    Record Name . . . . . : www.gap-system.org
    Record Type . . . . . : 5
    Time To Live  . . . . : 7185
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : turnbull.mcs.st-and.ac.uk


    www.cityofgregory.com
    ----------------------------------------
    Record Name . . . . . : www.cityofgregory.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 3585
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : cityofgregory.com


    www.gregorysshoes.com
    ----------------------------------------
    Record Name . . . . . : www.gregorysshoes.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 3585
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : gregorysshoes.com


    twitter.com
    ----------------------------------------
    Record Name . . . . . : twitter.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 7
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 199.59.148.10


    Record Name . . . . . : twitter.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 7
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 199.59.148.82


    Record Name . . . . . : twitter.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 7
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 199.59.149.198


    online.wsj.com
    ----------------------------------------
    Record Name . . . . . : online.wsj.com
    Record Type . . . . . : 5
    Time To Live  . . . . : 34
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : online.wsj.akadns.net


    www.gregory1.com
    ----------------------------------------
    Record Name . . . . . : www.gregory1.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 14385
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 98.190.238.71


    www.utrecsports.org
    ----------------------------------------
    Record Name . . . . . : www.utrecsports.org
    Record Type . . . . . : 5
    Time To Live  . . . . : 3585
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    CNAME Record  . . . . : utrecsports.org


    adwords.google.com
    ----------------------------------------
    Record Name . . . . . : adwords.google.com
    Record Type . . . . . : 1
    Time To Live  . . . . : 251
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 72.14.204.112


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 1
    Time To Live  . . . . : 86400
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 127.0.0.1


    localhost
    ----------------------------------------
    Record Name . . . . . : localhost
    Record Type . . . . . : 28
    Time To Live  . . . . : 86400
    Data Length . . . . . : 16
    Section . . . . . . . : Answer
    AAAA Record . . . . . : ::1


    www.newadvent.org
    ----------------------------------------
    Record Name . . . . . : www.newadvent.org
    Record Type . . . . . : 1
    Time To Live  . . . . : 3321
    Data Length . . . . . : 4
    Section . . . . . . . : Answer
    A (Host) Record . . . : 208.87.26.197

某些东西只是通过浏览就污染了我的 DNS 信息。为了确保它不在 Firefox 的历史记录中,我在此之前执行了 CCleaner。

我开始相信它来自网络并利用了 Windows 7 和浏览器的弱点。

编辑6

我尝试过在带网络的安全模式下重启,然后启动 Firefox。问题仍然存在。我以安全模式重启了 Firefox(即禁用所有附加组件等...)。问题仍然存在。

我的主页是http://www.google.com。我输入 KB66。URL 更改为:

http://www.google.com/#sclient=psy&hl=en&site=&source=hp&q=KB66&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=5014d35bb6efb157&biw=1280&bih=671

我右键单击名为“www.faucetdirect.com › ... › Kingston Brass Tub and Shower”的链接(例如),以在单独的选项卡(或窗口)中打开它。新选项卡中的链接变为:

http://7search.com/scripts/validation/v1/validate.aspx?x=dy9ygBqjMxLd%2fx4LgOz5nQ%3d%3d_nO1ntDEYzcueda6yqGuUEeCV6c3Bxc6tmw%2fI%2fM6cQTK3SaB9RpCN6iq7Oi6xnF6w0rps%2b%2bhP2MyCTu9vIpIX4yX3Rbb3DEqizuSnIrOMbXnjc%2bPLs5ynvpAR7ks6T%2b9EdGLnPWbO2Cu7Mv3V1w1MUhZAz6VAxhb3x4jYKaGcSRGjiUq%2bq0gHn2Ztqy2ZO0SJvCokHOYmlvuWGAEsf6xaAZ6sdsUfpzQXggpBWlZYwVIMNbCU9Y%2fhVzEWcKJ6XO4HZrlIhZwXAJ9%2brzRxqtwdegQ8fzHsM1DnhYe0kpgzZi4XCYIHjW%2fg5sf%2brshMYtgq

有时,我会收到指向其他垃圾邮件或搜索网站的不同链接。

当我右键单击链接到在单独的选项卡中打开内容的“缓存”时,我得到:

http://webcache.googleusercontent.com/search?q=cache:Y5x8Fw4B-OgJ:www.faucetdirect.com/kingston-brass-kb66-px-double-handle-tub-and-shower-with-rough-in-single-function-showerhead-tub-spout-and-porcelain-cross/p1507409+KB66&cd=2&hl=en&ct=clnk&gl=us&source=www.google.com

我按照 harrymc 关于自动运行的建议操作,在启动项中没有发现任何可疑的东西。

我在欧洲和美国都使用过这台电脑,这个问题在两个地方都出现了。

附言:昨天,我还再次运行了所有反间谍软件、机器人和防病毒软件,没有发现任何问题。

为了记录

重新格式化我的 PC 解决了这个问题。我从来没想过我必须走这么远。噗......

答案1

您会在两个不同的 WWW 浏览器中看到此信息,因此这不是 WWW 浏览器的问题。调整 WWW 浏览器无法解决此问题。

这是恶意软件问题。但这不是恶意软件实际运行导致的问题现在在您的计算机上运行。恶意软件在过去的某个时候,并重新配置了你的机器,使其只使用恶意软件作者/分发者提供的互联网服务。特别是,它调整了你的机器对向谁询问 DNS 查询的想法——从哪里获取代理 DNS 服务

恶意软件重定向代理 DNS 服务器

您的计算机现在正在联系恶意代理 DNS 服务器,以进行所有 DNS 名称→IP 地址查找。该服务器反过来告诉您整个互联网(或者至少是像 Google 这样的热门网站)只存在于一个特定的网络中。(常见于以下几份报告中,例如这是 2011 年 2 月的那是 93.188.163.0/23 和 93.188.160.0/24,但无论如何,这些人并不是唯一使用这种技巧的人。)

因此,您的计算机会联系该网络上的所有内容 HTTP 服务器的 IP 地址,以便与其进行通信。该网络上还有(除其他外)类似的恶意 HTTP 服务器,它们提供实际万维网的微妙扭曲视图。它们复制每个人的 WWW 页面,以消除您的怀疑,并狡猾地修改 Google 搜索结果页面中的 URL 等内容,这样它们就不会将您带到 Google 列出的 WWW 的实际部分,而是将您带到广告 WWW 页面,就像您看到的那样。

恶意软件覆盖 DNS 查找

我在上面描述的原始答案中的行为是 Zlob 木马程序的“DNSChanger”变体(除其他外)的行为。这不是唯一一款修改 DNS 设置的恶意软件,就像上面给出其 IP 地址的 Promnet Ltd. 并不是唯一运行恶意服务器的目标网络一样。另一种恶意软件是QHosts-1(McAfee 的名称)特洛伊木马程序。

这也会修改代理 DNS 服务器设置。但它除此之外,它还会产生我在回答后添加的问题附录中观察到的效果。正如 McAfee 指出的那样,它还会修改文件hosts。再说一遍,这绝不是唯一一个这样做的恶意程序。

在 Microsoft Windows 上,该hosts文件有两种使用方式。如果没有运行 DNS 客户端 ( dnscache) 服务,则应用程序可以直接查阅该文件,以便将名称映射到 IP 地址。在查询 DNS 之前。 如果一个运行 DNS 客户端服务,然后该服务hosts根据文件内容初始化其查找缓存当它启动时,无论hosts文件的修改时间戳何时发生更改,以及每当命令指示服务重新初始化自身时ipconfig /flushdns。 的输出ipconfig /displaydns是 DNS 客户端缓存中的内容,而其初始内容是一大堆恶意条目这一事实表明这些条目位于文件中hosts

7搜索

因为我的第二在本回答的版本中,我们被告知了域名7search.com.。正如我已经提到的,Zlob DNSChanger 并不是唯一一款可以更改配置的软件。其他此类程序包括7FaSStBrowserAccelerator(目前尚不清楚它们是同一事物的两代还是两个不同事物。),它们都是插入 WWW 浏览器的工具栏,具有通过 7Search 汇集所有 Google 搜索的效果。

值得注意的是,这些浏览器工具栏插件的分类有些模糊。7Search 于 2008 年起诉 McAfee,要求其停止将其工具栏称为“间谍软件”,并且有几份报告明确将其归类为“不是病毒”。(当然,间谍软件不必如此病毒是间谍软件。)SpyBot 添加hosts文件条目以排除计算机对 7Search 的访问,理由是它与间谍软件工具栏相关联,而 7Search 则进行报复谴责 SpyBot 的行为是“坏的”,并提供帮助用户hosts在不使用 SpyBot 预防措施的情况下恢复“干净”文件的说明

本地修复

代理 DNS 服务器重定向

由于您现在没有运行恶意软件,因此对此的本地修复是使用您以前使用的代理 DNS 服务器将您的机器的配置恢复到原来的状态。 您曾经使用过 ISP 的代理 DNS 服务器,或者您自己网络上的本地代理 DNS 服务器(例如,企业 Microsoft Windows 域控制器)。您可以通过以下两种方式之一完成此操作

  • 您的 ISP/域管理员告诉您一个或多个需要硬连线的 IP 地址。 在这种情况下,您只需要恢复这些 IP 地址,来代替恶意 DNS 服务器的 IP 地址。
  • 您通过 DHCP 自动获取了 IP 地址。恶意软件会关闭此功能,并将您切换到手动指定的 DNS 服务器 IP 地址。您只需重新打开此功能并续订 DHCP 租约即可。

对于 Microsoft Windows,有Technet 上的分步指南。不要忘记从全部网络适​​配器设置。

请注意,我这里不包含如何让你的机器重新使用第三方的公共代理 DNS 服务器(例如 Google 或 OpenDNS)的说明。你正在亲眼目睹为什么非常危险使用第三方公共代理 DNS 服务器 — 由任何人您没有合同关系或其他理由信任的代理 DNS 服务器。当代理 DNS 服务器由恶意人员运行时,他们可以随心所欲地对您的计算机执行此类操作,无需在机器上运行任何东西. 确实如此,如上所述其中一些人别有用心,事实上,就像那些劫持了你的代理 DNS 服务的人一样,已经采取了同样的伎俩,将互联网的大片区域映射回自己的服务器。

DNS 查找覆盖

再次,由于您现在没有运行恶意软件,因此本地修复非常简单,只需将所有这些条目从文件中编辑掉即可hosts

微软再次提供知识库中提供了一步一步的指南和修复“向导”

7搜索

多个间谍软件清除实用程序声称能够卸载7FaSStBrowserAccelerator间谍软件终结者例如。也许更有用的是 Spyware Terminator 的 WWW 页面列出7FaSSt了所有使用的文件和注册表项7FaSSt。同样,此 ThreatExpert 报告似乎列出了所使用的所有文件和注册表项BrowserAccelerator

答案2

关于“媒体断开连接”的消息可能与本地连接确实断开连接有关。

由于该命令ipconfig /renew仅适用于配置为动态(DHCP)寻址的适配器,因此将禁用的本地连接配置为不使用 DHCP 也许可以解决部分问题。

在更一般的情况下,您应该将计算机配置为自动接受来自路由器的 DHCP 和 DNS。这样,路由器的设置将应用于您的所有计算机。

路由器的 DNS 服务器应设置为您的 ISP 建议的距离最近的网络服务器。或者选择Google 公共 DNS或者开放DNS或者DNS 优势. 检查每个的相对速度,例如在我的情况下 DNS Advantage 比我的 ISP 更快。

编辑

hosts 中的附加条目是由 Spybot Search and Destroy 免疫添加的,因此没什么大不了的。另一方面,clickalmost.org 看起来非常可疑。

我建议您在带网络连接的安全模式下启动,看看是否发生了这种情况。如果不再发生这种情况,则说明是安装的产品导致的。然后您应该使用自动运行,检查所有启动项中是否存在可疑或不需要的程序。

编辑2

我认为您的安装被某些点击欺诈恶意软件破坏了,而防病毒软件无法检测到该恶意软件。未被检测到的原因可能是:

  1. 感染发生在您的 DNS 中,防病毒软件不会检查 DNS。
    请按照我的建议在路由器和计算机中正确重置它们。
  2. 感染您的病毒属于目前未知的类型。

在第二种情况下,请联系您正在使用的防病毒产品的支持并寻求帮助:Emsisoft、MalwareBytes 或 SUPERAntiSpyware,而不是 Google Security。我还建议尝试 Avast 和 Avg:安装它们并进行深度扫描,如果没有发现任何问题,则报告问题(两者都提供合理的支持)。

您还可以使用防病毒在线扫描,例如ESET 在线扫描仪趋势科技上门服务卡巴斯基实验室免费病毒扫描。请注意,他们可能要求您以管理员身份使用 Internet Explorer 作为浏览器,并且每次扫描可能需要几个小时。

如果一切都失败了,那么重新格式化硬盘并重新安装 Windows 是唯一的解决方案(有些人在怀疑存在深度且难以清除的感染时会建议这样做)。

答案3

您很可能感染了广告软件。

下载并运行 Combofix。

下载这里

按照给出的说明运行这里

现在在此处发布 Combofix 日志(位于 c:\Combofix.txt)

答案4

我在使用 Firefox 浏览器时遇到了与您在此处列出的相同问题。我在此讨论中寻求解决方案,但似乎也没有一个对我有用。

我进入 Firefox 菜单并选择工具 > 选项进入“选项”窗口后,我转到“高级”选项卡,然后转到连接设置。在代理选项下,我看到我的浏览器有自动代理配置 URL已选择。我将其切换为自动检测此网络的代理设置

到目前为止,过去一周我还没有遇到过这个问题。我不确定这个配置变化有什么作用,但到目前为止它似乎对我有用。

相关内容