在这篇文章中,我们将使用下面的流程图来确定广告软件我们正在处理。我们的目标是让您了解Windows系统周围有多少类型的广告软件。虽然大多数人被归类为幼崽,你也会看到偶尔特洛伊木马或rootkit.,特别是对于更难以检测和移除的类型。
Reroute和拦截
我们将讨论regoute,拦截和更改互联网流量的一些方法。他们是:
代理
如果设置了Windows计算机上的系统范围的代理,则您将在Microsoft浏览器中几乎总是找到它。在Internet Explorer中,您可以在Connections选项卡上找到它的菜单(齿轮图标)> Internet选项>在“连接”选项卡下单击“LAN设置”按钮:
删除代理服务器下的勾号以修复问题。
在边缘,在菜单中(三点)选择设置>查看高级设置>打开代理设置>转动使用代理服务器关闭以禁用代理。
浏览器特定的代理很少见,但我还是想列出在您最喜欢的浏览器中更改代理的选项。
对于铬:
- 单击菜单图标
- 选择设置(粘贴chrome://settings/进入您的地址栏)
- 点击显示高级设置...
- 在“网络”部分,单击更改代理设置。这将打开Internet属性窗口,您可以在其中访问LAN设置,如上所示。
对于Firefox:
- 单击菜单图标
- 选择选项
- 选择高级选项卡(或者粘贴)关于:首选项#高级进入您的地址栏)
- 选择网络选项卡
- 在“连接”下,单击“设置”,您将看到代理配置选项
歌剧:
- 打开菜单
- 选择设置
- 打开浏览器选项卡
- 在网络下单击“更改代理设置...”按钮
- 这将打开Internet属性窗口,您可以在其中访问LAN设置,如前所示。
如果您注意到代理通过localhost上的端口运行(127.0.0.1),则有一种方法可以找到哪个进程负责。使用命令netstat–ab在命令提示符(作为管理员提升)中,将显示在端口上侦听哪个进程(我们的示例中的8003)。
exterdads广告软件控制端口8003
LSP劫机者
一种分层服务提供商(LSP)是使用WinSock API将自身插入TCP / IP堆栈的文件(通常为DLL)。它可以拦截,过滤和修改Internet和系统应用程序之间的所有流量。LSP是Windows Sockets API(Winsock 2)的堆叠部分。所有提供商的分层顺序保存在Winsock目录中。因此,必须卸载LSP。只是剥离了作为LSP的文件可能导致互联网连接破坏。如果M必威平台APPalwarebytes从系统中删除LSP劫机者,则需要重新启动以防止这种断开发生。
DNS劫持
域名服务(DNS.)劫持可以在以下位置执行:许多级别,但在本系列的范围内,我们将只处理作用于系统本身的。
(a) DNS缓存中毒
通过向DNS解析过程提供虚假数据(在这种情况下,某个域的IP错误),系统将在某个时候不再查询DNS服务器的IP,而是使用其缓存中的错误数据。
补救措施:要清除Windows DNS缓存,请使用以下命令ipconfig/flushdns在提升的命令提示符中。
(b) 主机文件劫持
主机文件是位于的特殊文件%Windir%\ system32 \ drivers \等可用于存储要与某些域关联的IP地址。这可用于阻止广告和恶意网站,或绘制本地intranet。广告软件有时使用自己制作的主机文件将受害者系统中的一个替换为劫持交通。
补救措施:您可以在记事本(提升版)中编辑主机文件。即使它没有扩展名,它也是一个文本文件。
(c)DNS服务器设置
DNS服务器设置通常存储在注册表项下HKEY\U LOCAL\U MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters在应该持有的名称值值中两个逗号分隔的IP地址表示目前正在使用的Internet连接的DNS服务器。
补救措施:通过查看“网络和共享中心”中的连接属性,更改活动internet连接的DNS服务器。
对于大多数ISP,这是建议的设置。如果您的不同,您可以在提供商的网站上找到必要的信息。
指数
第一部分:
- 识别过程
- 清除浏览器缓存
- 删除浏览器扩展
第二部分
- 代理
- Winsock劫持者
- DNS劫持者
下一篇,第三部分
- 软件类型
- 卸载
- 删除文件
- 替换文件
Pieter Arntz.
评论