2006年02月21日


今天在用公司的电脑上网的时候发现了一个比较奇怪的现象,就是发现屏幕角上会不定期弹出广告,

很是奇怪。因为刚开始弹出的广告都写着YAHOO!金曲什么的,所以就以为是YAHOO助手或者是

工具条捣乱,想也没想就把他们给删了。因为在更新系统,所以重启了好多次,也没在意到底有没有

清除干净。后来可以让系统一直运行了,就发现还是出广告。奇怪了,看看任务管理器里没有什么可

疑的进程啊,因为是2K的系统,就没有给它换成VISTA的任务管理器,个人认为VISTA的还是很好用

的。在任务管理器里看不到什么东西,就用优化大师看了看启动时有没有什么奇怪的东西。优化大师

里也是没有的,见鬼了,肯定是有什么东西不对,不然不会凭空冒出来。我想用HIJACKTHIS扫描下

应该会有结果的。果然啊,用HIJACKTHIS扫描出一堆啊,在把我知道的没有用的去了之后,就剩下

几个比较可疑的。其中有一个HBAST.DLL非常奇怪,属于BHO,而且在注册表里也有写入HBAST.E

XE,奇怪了,优化大师怎么没有显示呢?打开这个文件所在的文件夹看了看,有2个DLL,还有个HU

NT.DLL不知道是干什么用的。2个LOG文件,分别是HBAST.LOG,HAP.LOG,打开一看,果然就是

它们在做怪!看看这2个LOG里都写着什么。HBAST.LOG里到简单:
2006-02-21 13:29:14  启动Hbast.exe程式

2006-02-21 13:29:14  启动广告

2006-02-21 13:29:14  开始启动 :"C:\PROGRA~1\HBClient\hbast.dll",StartHAP
HAP.LOG里就多了:


2006-02-21 13:25:13  取Domain(1):www.henbang.net

2006-02-21 13:25:16  执行 HAP InitInstance

2006-02-21 13:25:16  启动更新程式方法SetUpdateHAP

2006-02-21 13:25:16  检查要运行的文件是否存在 :C:\WINNT\hunt.dll

2006-02-21 13:25:16  运行更新文件 :C:\WINNT\hunt.dll

2006-02-21 13:25:16  运行更新参数 :RunUpdate

2006-02-21 13:28:10  —————————————————————————

2006-02-21 13:28:10  获得History URL并开始分析些URL是否有广告 :www.deepdo.com/yahoomp3.htm

2006-02-21 13:28:10  找到匹配URL关键字 :www.deepdo.com

2006-02-21 13:28:10  广告发送信息 :

/hap/adserver.aspx?version=1.1.1&userid=&zoneid=&advertid=&unadvertid=&mac=00-E0-4C-9B-2E-C3&

distributorid=100214&requesttype=1&requestflag=3&charset=UTF-8&word=www.deepdo.com

2006-02-21 13:28:11  广告返回信息 : null

2006-02-21 13:28:11  关键字返为回空 :www.deepdo.com

2006-02-21 13:28:13  —————————————————————————

2006-02-21 13:28:13  获得History URL并开始分析些URL是否有广告 :www.deepdo.com/yahoomp3.htm

2006-02-21 13:28:13  此关键字不再有广告显示 :www.deepdo.com

2006-02-21 13:28:13  此关键字不再有广告显示 :www.deepdo.com

2006-02-21 13:28:19  —————————————————————————

2006-02-21 13:28:19  获得History URL并开始分析些URL是否有广告 :www.chinaren.com

2006-02-21 13:28:19  找到匹配URL关键字 :www.chinaren.com

2006-02-21 13:28:19  广告发送信息 :

/hap/adserver.aspx?version=1.1.1&userid=&zoneid=&advertid=&unadvertid=&mac=00-E0-4C-9B-2E-C3&

distributorid=100214&requesttype=1&requestflag=3&charset=UTF-8&word=www.chinaren.com

2006-02-21 13:28:20  广告返回信息 :

<adcount>2</adcount><keyword>www.chinaren.com</keyword><showstyle>3</showstyle><cpc></cp

c><br><site>http://www.kuco.cn?hb=popunder_ad</site><advertid>1003097</advertid><adWidth>50

0</adWidth><adHeight>400</adHeight>

2006-02-21 13:28:20  CPV 广告URL :http://www.kuco.cn?hb=popunder_ad

2006-02-21 13:28:20  CPV 广告显示完成

2006-02-21 13:28:52  —————————————————————————

2006-02-21 13:28:52  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=yahoo%2B%BD%F0%C7%FA%C1%E5%C9%F9&hl=zh-CN&lr=lang_zh-CN&

ie=gb2312

2006-02-21 13:28:52  HBCF.ini白名单中找到搜索域名 :www.google.com

2006-02-21 13:28:52  开始查搜索关键字

:www.google.com/search?q=yahoo%2B%BD%F0%C7%FA%C1%E5%C9%F9&hl=zh-CN&lr=lang_zh-CN&

ie=gb2312

2006-02-21 13:28:52  收集关键字 :yahoo%2B%BD%F0%C7%FA%C1%E5%C9%F9

2006-02-21 13:28:52  找到关键字 :yahoo%2B%E9%87%91%E6%9B%B2%E9%93%83%E5%A3%B0

2006-02-21 13:28:52  广告发送信息 :

/hap/adserver.aspx?version=1.1.1&userid=&zoneid=&advertid=&unadvertid=&mac=00-E0-4C-9B-2E-C3&

distributorid=100214&requesttype=1&requestflag=0&charset=UTF-8&word=yahoo%252B%25E9%2587%2

591%25E6%259B%25B2%25E9%2593%2583%25E5%25A3%25B0

2006-02-21 13:28:52  广告返回信息 : null

2006-02-21 13:28:52  关键字返为回空 :yahoo%2B%E9%87%91%E6%9B%B2%E9%93%83%E5%A3%B0

2006-02-21 13:29:03  成功退出 HAP

2006-02-21 13:29:03  执行 HAP ExitInstance

2006-02-21 13:29:12  取Domain(1):www.henbang.net

2006-02-21 13:29:15  执行 HAP InitInstance

2006-02-21 13:29:15  启动更新程式方法SetUpdateHAP

2006-02-21 13:29:15  检查要运行的文件是否存在 :C:\WINNT\hunt.dll

2006-02-21 13:29:15  运行更新文件 :C:\WINNT\hunt.dll

2006-02-21 13:29:15  运行更新参数 :RunUpdate

2006-02-21 13:29:51  —————————————————————————

2006-02-21 13:29:51  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=NWPROVAU%A1%A3DLL&hl=zh-CN&lr=lang_zh-CN&ie=gb2312

2006-02-21 13:29:51  HBCF.ini白名单中找到搜索域名 :www.google.com

2006-02-21 13:29:51  开始查搜索关键字

:www.google.com/search?q=NWPROVAU%A1%A3DLL&hl=zh-CN&lr=lang_zh-CN&ie=gb2312

2006-02-21 13:29:51  收集关键字 :NWPROVAU%A1%A3DLL

2006-02-21 13:29:51  找到关键字 :NWPROVAU%E3%80%82DLL

2006-02-21 13:29:51  广告发送信息 :

/hap/adserver.aspx?version=1.1.1&userid=&zoneid=&advertid=&unadvertid=&mac=00-E0-4C-9B-2E-C3&

distributorid=100214&requesttype=1&requestflag=0&charset=UTF-8&word=NWPROVAU%25E3%2580%

2582DLL

2006-02-21 13:29:52  广告返回信息 : null

2006-02-21 13:29:52  关键字返为回空 :NWPROVAU%E3%80%82DLL

2006-02-21 13:30:01  —————————————————————————

2006-02-21 13:30:01  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=NWPROVAU.DLL&hl=zh-CN&lr=lang_zh-CN&ie=gb2312

2006-02-21 13:30:01  HBCF.ini白名单中找到搜索域名 :www.google.com

2006-02-21 13:30:01  开始查搜索关键字

:www.google.com/search?q=NWPROVAU.DLL&hl=zh-CN&lr=lang_zh-CN&ie=gb2312

2006-02-21 13:30:01  收集关键字 :NWPROVAU.DLL

2006-02-21 13:30:01  找到关键字 :NWPROVAU.DLL

2006-02-21 13:30:02  广告发送信息 :

/hap/adserver.aspx?version=1.1.1&userid=&zoneid=&advertid=&unadvertid=&mac=00-E0-4C-9B-2E-C3&

distributorid=100214&requesttype=1&requestflag=0&charset=UTF-8&word=NWPROVAU.DLL

2006-02-21 13:30:02  广告返回信息 : null

2006-02-21 13:30:02  关键字返为回空 :NWPROVAU.DLL

2006-02-21 13:30:26  —————————————————————————

2006-02-21 13:30:26  获得History URL并开始分析些URL是否有广告

:bbs.pcpro.com.cn/archiver/?tid-23904.html

2006-02-21 13:30:27  —————————————————————————

2006-02-21 13:30:27  获得History URL并开始分析些URL是否有广告

:bbs.pcpro.com.cn/archiver/?tid-23904.html

2006-02-21 13:30:34  —————————————————————————

2006-02-21 13:30:34  获得History URL并开始分析些URL是否有广告

:www.cau.edu.cn/netcenter/news_show.jsp?id=357

2006-02-21 13:30:41  —————————————————————————

2006-02-21 13:30:41  获得History URL并开始分析些URL是否有广告

:bbs.pcpro.com.cn/archiver/?tid-19968.html

2006-02-21 13:30:43  —————————————————————————

2006-02-21 13:30:43  获得History URL并开始分析些URL是否有广告

:bbs.pcpro.com.cn/archiver/?tid-19968.html

2006-02-21 13:32:25  —————————————————————————

2006-02-21 13:32:25  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=NWPROVAU.DLL&hl=zh-CN&lr=lang_zh-CN&inlang=zh-CN&newwindow=1

&start=10&sa=N

2006-02-21 13:32:25  不是搜索结果的第一页,不发送广告请求!

2006-02-21 13:32:26  —————————————————————————

2006-02-21 13:32:26  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=NWPROVAU.DLL&hl=zh-CN&lr=lang_zh-CN&inlang=zh-CN&newwindow=1

&start=10&sa=N

2006-02-21 13:32:26  不是搜索结果的第一页,不发送广告请求!

2006-02-21 13:32:35  —————————————————————————

2006-02-21 13:32:35  获得History URL并开始分析些URL是否有广告

:www.yingkesong.com/index/idc/jzjs/soft/200507/15428.html

2006-02-21 13:32:40  —————————————————————————

2006-02-21 13:32:40  获得History URL并开始分析些URL是否有广告

:itbbs.pconline.com.cn/topic.jsp?tid=2305744

2006-02-21 13:32:45  —————————————————————————

2006-02-21 13:32:45  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=NWPROVAU.DLL&hl=zh-CN&lr=lang_zh-CN&inlang=zh-CN&newwindow=1

&start=20&sa=N

2006-02-21 13:32:45  不是搜索结果的第一页,不发送广告请求!

2006-02-21 13:32:46  —————————————————————————

2006-02-21 13:32:46  获得History URL并开始分析些URL是否有广告

:www.google.com/search?q=NWPROVAU.DLL&hl=zh-CN&lr=lang_zh-CN&inlang=zh-CN&newwindow=1

&start=20&sa=N

2006-02-21 13:32:46  不是搜索结果的第一页,不发送广告请求!

2006-02-21 13:32:51  —————————————————————————

2006-02-21 13:32:51  获得History URL并开始分析些URL是否有广告

:itbbs.pconline.com.cn/topic.jsp?tid=2305744

2006-02-21 13:32:56  —————————————————————————

2006-02-21 13:32:56  获得History URL并开始分析些URL是否有广告

:www.yingkesong.com/index/idc/jzjs/soft/200507/15428.html

2006-02-21 13:35:57  执行 HAP InitInstance

2006-02-21 13:36:08  执行 HAP ExitInstance

2006-02-21 13:36:39  —————————————————————————

2006-02-21 13:36:39  获得History URL并开始分析些URL是否有广告 :www.donews.net/ibenny

2006-02-21 13:36:39  找到匹配URL关键字 :www.donews.net

2006-02-21 13:36:39  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:36:45  —————————————————————————

2006-02-21 13:36:45  获得History URL并开始分析些URL是否有广告 :www.donews.net/ibenny

2006-02-21 13:36:45  找到匹配URL关键字 :www.donews.net

2006-02-21 13:36:45  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:36:51  —————————————————————————

2006-02-21 13:36:51  获得History URL并开始分析些URL是否有广告

:blog.donews.com/ibenny/Login.aspx?ReturnUrl=/ibenny/admin/default.aspx

2006-02-21 13:36:51  找到匹配URL关键字 :blog.donews.com

2006-02-21 13:36:51  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:38:10  —————————————————————————

2006-02-21 13:38:10  获得History URL并开始分析些URL是否有广告

:www.deepdo.com/union/edodo/edodo1.htm

2006-02-21 13:38:10  此关键字不再有广告显示 :www.deepdo.com

2006-02-21 13:38:10  此关键字不再有广告显示 :www.deepdo.com

2006-02-21 13:38:11  —————————————————————————

2006-02-21 13:38:11  获得History URL并开始分析些URL是否有广告

:www.deepdo.com/union/edodo/edodo1.htm

2006-02-21 13:38:11  此关键字不再有广告显示 :www.deepdo.com

2006-02-21 13:38:11  此关键字不再有广告显示 :www.deepdo.com

2006-02-21 13:39:53  —————————————————————————

2006-02-21 13:39:53  获得History URL并开始分析些URL是否有广告

:blog.donews.com/ibenny/Login.aspx?ReturnUrl=/ibenny/admin/default.aspx

2006-02-21 13:39:53  找到匹配URL关键字 :blog.donews.com

2006-02-21 13:39:53  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:39:55  —————————————————————————

2006-02-21 13:39:55  获得History URL并开始分析些URL是否有广告

:blog.donews.com/ibenny/admin/EditPosts.aspx

2006-02-21 13:39:55  找到匹配URL关键字 :blog.donews.com

2006-02-21 13:39:55  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:39:58  —————————————————————————

2006-02-21 13:39:58  获得History URL并开始分析些URL是否有广告

:blog.donews.com/ibenny/admin/EditPosts.aspx

2006-02-21 13:39:58  找到匹配URL关键字 :blog.donews.com

2006-02-21 13:39:58  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:48:10  —————————————————————————

2006-02-21 13:48:10  获得History URL并开始分析些URL是否有广告 :www.58.com/d.html

2006-02-21 13:48:10  找到匹配URL关键字 :www.58.com

2006-02-21 13:48:10  当前时段的URL广告已经打完,不再发送广告请求!

2006-02-21 13:48:11  —————————————————————————

2006-02-21 13:48:11  获得History URL并开始分析些URL是否有广告 :www.58.com/d.html

2006-02-21 13:48:11  找到匹配URL关键字 :www.58.com

2006-02-21 13:48:11  当前时段的URL广告已经打完,不再发送广告请求!
难怪IE会经常的假死呢,原来每打开一个网页都要分析下当前是否有广告,靠,可恶啊,什么破公司

出品的这么个垃圾软件,真是无畏的流氓啊。顺便说下,这2个DLL都是没有办法反注册的,没有提

供这个接口,垃圾!Shanghai Henbang Technology Co., Ltd就是这个公司,遭天谴啊!!找到了就好办

了,用HIJACKTHIS清除后,再把它物理删除,应该是不会在出广告了。垃圾啊。看下HIJACKTHIS找出来的

记录:R3 – URLSearchHook: MyURLSearchHook Class – {982CB676-38F0-4D9A-BB72-D9371ABE876E} – C:\Program Files\P4P\ToolBar.dll (file missing)

O2 – BHO: SohuDAIEHelper – {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} – C:\Program Files\P4P\sodaie.dll  (file missing)

O2 – BHO: BrowserHAP Class – {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} – C:\Program Files\HBClient\hapast.dll
O4 – HKLM\..\Run: [hbpassport] C:\PROGRA~1\HBCLIENT\hbast.exe

哎,为个垃圾软件费这么多时间。