V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Hawk
V2EX  ›  问与答

浏览器右下角出现弹窗,怎么排查呢?

  •  
  •   Hawk · 2013-10-12 15:03:04 +08:00 · 7685 次点击
    这是一个创建于 4066 天前的主题,其中的信息可能已经有所发展或是发生改变。
    很多无关的页面都会出现这个弹窗
    笔记本前几天被人用了一下,然后就成了这样了,怎么排查问题所在呢
    41 条回复    1970-01-01 08:00:00 +08:00
    Hawk
        1
    Hawk  
    OP
       2013-10-12 15:06:17 +08:00
    angelface
        2
    angelface  
       2013-10-12 15:06:38 +08:00
    看看dns,
    Hawk
        3
    Hawk  
    OP
       2013-10-12 15:10:50 +08:00
    @angelface 能说的具体点吗? 你的意思是运营商的问题?
    lch21
        4
    lch21  
       2013-10-12 15:17:00 +08:00
    换浏览器试试
    flied
        5
    flied  
       2013-10-12 15:18:09 +08:00   ❤️ 1
    dns换成114试试

    用隐身模式启动看一下

    基本就这两个可能。
    Hawk
        6
    Hawk  
    OP
       2013-10-12 16:37:06 +08:00
    @flied
    目前已经确定不是浏览器的问题
    dns换成8.8.8.8也没解决问题
    Hawk
        7
    Hawk  
    OP
       2013-10-12 16:39:28 +08:00
    <!doctype html>
    <html lang="en">
    <head>
    <meta charset="utf-8">
    <title></title>
    <meta http-equiv="Content-Language" content="zh-CN" />
    <meta name="Keywords" content="" />
    <meta name="Description" content="" />
    <style type="text/css">
    * {margin:0;padding:0;}
    .fsy {position:fixed;bottom:0;right:0;_position:absolute;width:300px;height:300px;}
    </style>
    </head>
    <body>
    <div class="fsy">
    <embed width="300" height="300" src="http://kwcdn.ggmm777.com/swfs/ab/15970dntksp/300X300.swf" quality="high" wmode="transparent" pluginspage="http://www.macromedia.com/go/getflashplayer" title="" />
    </div>
    <div style="display:none;">
    <script type="text/javascript" src="http://js.tongji.linezing.com/3327316/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/3327316/tongji.gif"/></a></noscript>
    </div>
    </body>
    </html>

    这是劫持的页面源码,到底怎么找出来是哪里出的问题呢。。。
    linuz
        8
    linuz  
       2013-10-12 17:04:53 +08:00
    有可能是路由器DNS Changer病毒,路由器关闭“手动修改dns”或者改成“8.8.8.8”之类的
    z452490334
        9
    z452490334  
       2013-10-12 18:01:31 +08:00   ❤️ 1
    查查毒啊,之前遇到过一个鬼影病毒,把正常js文件给替换成其他代码,截包里js都是正常的。
    Hawk
        10
    Hawk  
    OP
       2013-10-12 20:07:47 +08:00
    @z452490334 你鬼影用什么软件扫出来的?
    Hawk
        11
    Hawk  
    OP
       2013-10-12 20:08:49 +08:00
    @linuz 家用电脑,已经把dns服务器改成8.8.8.8 能想到的办法都想了 -____-"。。。。好无奈
    helone
        12
    helone  
       2013-10-12 20:10:03 +08:00
    我遇到过类似情况,电信劫持的,刷新一下就恢复了,具体频率多少不知道。
    Hawk
        13
    Hawk  
    OP
       2013-10-12 20:13:13 +08:00
    @helone 能说一下怎么确定是运营商搞的吗,为啥改了dns服务器还是没用呢
    jylee
        14
    jylee  
       2013-10-12 20:26:41 +08:00   ❤️ 1
    如果是运营商挟持的,改DNS是没用的- -

    你试下开VPN之后还有弹窗不,如果没有,那应该就是运营商搞的
    helone
        15
    helone  
       2013-10-12 20:36:51 +08:00
    @Hawk 因为偶尔会给我推送一些通知(宽带到期)或者优惠信息
    Hawk
        16
    Hawk  
    OP
       2013-10-12 20:39:47 +08:00
    @jylee 我试试 感谢
    MichaelYin
        17
    MichaelYin  
       2013-10-13 09:09:34 +08:00   ❤️ 1
    出现这个原因有可能是几个方面的,我觉得你可以分情况来进行排查
    1:chrome浏览器的插件是有可能干这种事情的,先前我就碰到过,通过不同浏览器来查看HTML发现的问题
    2:运营商在你对固定URL进行请求的时候直接替换或者插入广告代码

    因为你已经发现了有问题的HTML代码我可以提供一种方法,你用Py直接请求URL,把下回来的HTML代码进行比对,看HTML是否发生了变化,间隔10分钟进行一次请求,如果连PY请求回来的HTML都有问题,那么就和浏览器没关系,可以朝系统和网络配置方面去找原因,系统和配置的话可以换下DNS,然后再换换请求的网络路由路径(走goagent就可以)
    通过对比就能发现问题到底出在哪里~
    spoony
        18
    spoony  
       2013-10-13 10:07:24 +08:00
    电信运营商没跑
    morpheus
        19
    morpheus  
       2013-10-13 10:42:23 +08:00
    我以前也遇到过,只在Chrome里才有问题。
    asca
        20
    asca  
       2013-10-13 14:24:10 +08:00
    电信的劫持广告,到电信网站投诉,会有人主动联系你并关闭。我就是这么干的。
    如果电信网站投诉无效,可以到工信部网站投诉。
    http://www.chinatcc.gov.cn:8080/cms/shensus/
    kavscn
        21
    kavscn  
       2013-10-13 18:13:51 +08:00
    kavscn
        22
    kavscn  
       2013-10-13 18:15:33 +08:00
    联通4M,IE10
    kavscn
        23
    kavscn  
       2013-10-13 18:24:16 +08:00
    <!doctype html>
    <html lang="en">
    <head>
    <meta charset="utf-8">
    <title></title>
    <meta http-equiv="Content-Language" content="zh-CN" />
    <meta name="Keywords" content="" />
    <meta name="Description" content="" />


    <!-- Ad Muncher content start --><script type="text/javascript" src="http://interceptedby.admuncher.com/9AAD31F211FC9437/helper.js#0.192204.0" id="yXzy_MainScript"></script><link rel="stylesheet" href="http://interceptedby.admuncher.com/9AAD31F211FC9437/helper.css" type="text/css" media="all" /><!-- Ad Muncher content end -->

    <style type="text/css">
    * {margin:0;padding:0;}
    .fsy {position:fixed;bottom:0;right:0;_position:absolute;width:300px;height:300px;}
    </style>
    </head>
    <body>
    <div class="fsy">
    <embed width="300" height="300" src="http://kwcdn.ggmm777.com/swfs/ab/15970dntksp/300X300.swf" quality="high" wmode="transparent" pluginspage="http://www.macromedia.com/go/getflashplayer" title="" />
    </div>
    <div style="display:none;">
    <script type="text/javascript" src="http://js.tongji.linezing.com/3327316/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/3327316/tongji.gif"/></a></noscript>
    </div>
    </body>
    </html>
    kavscn
        24
    kavscn  
       2013-10-13 19:31:06 +08:00
    3 2013-10-13 18:9:54 在LAN2口收到疑似192.168.1.6发送的ARP攻击,请查实
    4 2013-10-13 17:26:21 在LAN2口收到疑似192.168.1.6发送的ARP攻击,请查实
    5 2013-10-13 17:23:43 128.9.168.98 00-18-82-5B-36-F8 ping WAN口地址被阻断
    6 2013-10-13 16:39:28 在LAN2口收到疑似192.168.1.6发送的ARP攻击,请查实
    7 2013-10-13 15:15:38 123.125.64.56 00-18-82-5B-36-F8 ping WAN口地址被阻断
    8 2013-10-13 14:12:46 218.66.111.37 00-18-82-5B-36-F8 ping WAN口地址被阻断
    9 2013-10-13 14:4:52 220.181.5.60 00-18-82-5B-36-F8 ping WAN口地址被阻断
    10 2013-10-13 14:3:22 61.158.237.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    11 2013-10-13 14:3:6 122.228.234.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    12 2013-10-13 14:3:6 58.215.123.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    13 2013-10-13 14:2:59 119.75.215.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    14 2013-10-13 14:2:58 125.76.251.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    15 2013-10-13 14:2:58 113.105.244.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    16 2013-10-13 14:2:51 119.188.9.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    17 2013-10-13 14:2:49 140.207.195.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    18 2013-10-13 14:2:47 211.144.71.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    19 2013-10-13 14:2:45 124.95.170.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
    20 2013-10-13 14:2:42 123.125.67.6 00-18-82-5B-36-F8 ping WAN口地址被阻断
    Hawk
        25
    Hawk  
    OP
       2013-10-13 19:59:27 +08:00
    @kavscn 什么意思?你是安装那个软件以后才出现的问题?
    fanzeyi
        26
    fanzeyi  
       2013-10-13 20:06:29 +08:00
    我也有这个,一样的问题。

    我是 Mac 。

    iPad 也有问题。初步怀疑是联通的问题。

    你在郑州么?
    Hawk
        27
    Hawk  
    OP
       2013-10-13 20:07:21 +08:00
    @MichaelYin 感谢
    目前已经尝试过,换不同的浏览器,更改本机dns服务器,均无效
    下面准备尝试一下走代理的方法
    fanzeyi
        28
    fanzeyi  
       2013-10-13 20:07:41 +08:00
    半个小时前刚刚给联通的人打电话投诉这个问题,不过他们的客服什么都不明白,告诉我说他们找人来排查这个问题。

    楼主方便留个联系方式一起排查么?
    Hawk
        29
    Hawk  
    OP
       2013-10-13 20:09:14 +08:00
    @fanzeyi
    是,我也是联通,这么说应该很可能是运营商的问题了
    可是我遇到了一个新情况
    http://www.v2ex.com/t/85462
    真够头疼的
    Hawk
        30
    Hawk  
    OP
       2013-10-13 20:17:05 +08:00
    @fanzeyi
    thetracker#163.com
    最好还是把问题留在帖子里,方便其他有类似问题的人能看见
    kavscn
        31
    kavscn  
       2013-10-13 20:17:39 +08:00
    是郑州联通,我的情况也许是巧合,不过我说的那个软件的确是恶意软件,会不听提示安装电脑管家什么的,是用户提示的形式,那就是下载好了的,可恶,也不知道下载到哪里了。
    fanzeyi
        32
    fanzeyi  
       2013-10-13 20:19:32 +08:00
    @Hawk 嗯其实是想交换下安装过的 Chrome 插件的 ID 以及用的 DNS 服务器等信息,贴出来会有些烦。

    不过既然 @kavscn 同学确认了,那就没必要了,我等着联通的反馈电话,7点10分打的,现在8点20分。
    Hawk
        33
    Hawk  
    OP
       2013-10-13 20:21:23 +08:00
    @fanzeyi 没必要,不是chrome插件的问题,你试试隐身模式多刷几下一样会出现
    youdu
        34
    youdu  
       2013-10-13 20:26:50 +08:00
    http劫持的话,用奶牛吧,不过也是只能windows下用。Ad Muncher
    kavscn
        35
    kavscn  
       2013-10-13 20:34:19 +08:00
    看我上面的贴的代码,我用的就是奶牛,无效,起初我还怀疑是奶牛。另我这一条联通线连了3台电脑上网,初步了解这我这台有问题,说有广告,也时有时无,无意间开标签页就有可能中招,20次左右中一次。再另外,我把C:\Windows\System32\drivers下的nfs.sys(CACE Technologies, Inc.)删着玩玩
    kavscn
        36
    kavscn  
       2013-10-13 20:39:32 +08:00
    别外,这两天发现,登录QQ时的絮状动画不动了,是什么个情况=_=
    fanzeyi
        37
    fanzeyi  
       2013-10-13 21:33:23 +08:00
    联通那边客服打电话过来说只能等技术那边来解决问题,今晚应该是解决不能了,明天顺便打电话问问我这片区的宽带负责人,以及楼下有个联通机房也去调查下..

    BTW: @kavscn 和 @Hawk 都住在哪个方位啊?
    kavscn
        38
    kavscn  
       2013-10-13 21:48:12 +08:00
    郑州与开封的中间
    kavscn
        39
    kavscn  
       2013-10-13 21:51:34 +08:00
    卖萌可耻啊,我是郑州东边中牟县的
    fanzeyi
        40
    fanzeyi  
       2013-10-13 22:13:17 +08:00
    @kavscn 原来如此。

    // 郑州的 V2EXer 貌似多起来了,看起来可以搞一次聚会玩。
    momo5269
        41
    momo5269  
       2013-10-13 23:11:41 +08:00
    AD广告管家...不过对于某些少见的情况,他也无效。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2742 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:35 · PVG 13:35 · LAX 21:35 · JFK 00:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.