最近发现有很多网友举报6.cn/(六间房)网站广告弹窗口。

早上无聊，去看看这破广告到底有什么能耐。

找了好久，终于有点收获，据说跳广告窗口是这个网页：

hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17

一进入就弹广告，几秒循环一次，靠！！

第一次来不及反映，浏览器直接卡死。

怨，关浏览器，开SSM与嗅探器，重新进入，仍然弹广告

这次反映快了点，它边弹我边关，哈哈``终于赢了。

关闭后，开嗅探器，从几百记录中跟踪如下：

访问的IP：

202.100.81.80
IP ： 202.100.81.80
地址： 甘肃省兰州市 电信  
hXXp://6.cn/watchtc/heywz/ay300.html

这个就是弹广告的地址。

61.139.37.26
IP ： 61.139.37.26
地址： 四川省成都市 电信
hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17

这个是跳网页的主地址，一开始就是从这里进的。


IP ： 61.139.126.72
地址： 四川省绵阳市 电信机房
hXXp://www.mmtw.cn  

这个才是罪魁祸首，大垃圾

222.191.251.102   
IP ： 222.191.251.102
地址： 江苏省 江阴机房
http://count.51yes.com/basicdata.aspx?id=90806476

是个连接的网站统计。


122.224.146.43
IP ： 122.224.146.43
地址： 浙江省 电信
http://www.51.la/?1200858

51的网站流量统计


还发现了个奇怪的现象：






这个明明是六间房的地址，为什么IP会是hXXp://www.mmtw.cn 的？

后来看了数据包，原来hXXp://www.mmtw.cn是在借刀杀人。

通过在hXXp://www.mmtw.cn自己网站上，建立六间房电影的连接地址。

由于连接的是六间房的网页。所以大家都误以为六间房在弹广告。

看看hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17的代码：





利用框架方式挂了六间房的连接。下面另一个是流量统计。

当打开hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17的时候，它会不停的刷新。

在刷新过程中会不停执行上面的代码，并连接六间房电影的连接地址。

而且是随机的，例如：

hXXp://6.cn/watchtc/pplive/ay383.html
hXXp://6.cn/watchtc/heywz/ay300.html
hXXp://6.cn/watchtc/heywz/ay80.html

所以会不停的弹广告。

结果是：






好了，看看它刷新的结果吧：





一个月的PV流量接近6000万！！！

那些不停弹网页的人肯定愁死了``   -_-!



解决方法！！！！：


方法一：

1、暂时断开网络，关闭浏览器。

2、打开Hosts，它的位置在：

C:\Widows\System32\Drvers\Etc

是个未知格式的文件，没有扩展名的，双击打开，选择为记事本方式运行：





3、然后添加如下内容：






注意，127.0.0.1和那个网址之间要有个空格啊，然后关闭，点保存就可以了。

4、重启电脑。


解决方法二（推荐）：


先断开网络。

1、打开控制面板-Internet选项-安全-点击那个“受限制的站点”-再点下面的那个“站点”。





2、添加下面内容：





3、重启电脑。


上面2个方法都是我亲测的，确实有效！！


还有其他方法，比如IP限制和防火墙过滤等等，不过不推荐了，上面2个够用。



另外，那个hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17究竟是如何来的还未知

我比较过求助网友十多份的日志，不过并无收获。

很多人都说是ISP搞的鬼，看来并非以讹传讹。。。


最后大家鄙视下这个网站：http://www.mmtw.cn

它的域名是61.139.126.72

真是无耻到了极点，损人利己。让六间房为自己背黑锅。

好帖子，好分析！谢谢楼主，按照第二种方法设置了，看等会儿还弹不弹

特地注册个ID来感谢一下LZ，我也是先用了第二个方法试下，这个是不是只是临时的解决办法啊？没根本解决问题是吗？？

目前发现两种情况

一、用户电脑中了恶意广告程序，只有开IE的时候自动弹出N个广告窗口，其中包括6.cn
      清除掉那些程序就可以解决

二、用户电脑没发现明显的可疑程序，电脑在开机时自动弹出6.cn网页，关闭后每半小时再弹出一 次，目前没找到原因，如果使用屏蔽的方法，仍然会自动弹出IE窗口，但不显示网页，关闭窗口进程可能仍驻留

把这个帖子顶起来!

啊！！ 终于出了个对策了！！！

http://www.mmtw.cn未发现有什么异常啊！怎么回事？

刚才我又注意到6。CN的一个细节，就是开机后如果不连宽带，就看着进程的变化，那那个IE进程就不会出来，等到刚连接宽带后一秒，那个进程就出现了，占用内存很大，过一会就弹出来了。  我用了LZ的第二个方法后不弹出来了，但进程还在，说明问题还没有得到根本解决！！！望LZ早点找出根治的方法！

同意你的看法，我的也是这种情况，我用LZ的第二个方法，不弹网页，但有两个IE进程。感谢LZ找到一个临时解决的方法。希望各位高手早日找到彻底的解决方法。谢

恩,LZ看来是个有点技术的人,还真正关注网民的反映,仔细研究了,虽然只是找到了临时解决办法,但已经不错了,那些版主啊啥的还一味地以为是个很简单的恶意程序!!!

能否  提供 sreng 的报告- -。没一个人给我的，，希望 越多的人 提供越好。容易找共同点  最好mail我   scrter@qq.com

还有，  我想问下，  有没有想过 是 电信在后台搞鬼？？？？

在在有- -。   是否所有 弹出6cn 的  都是一个地方的电信？？？？

别旁边说风凉话 我们内部讨论的时候 你看到过么？？没有

我们要信息的时候 你提供了么，没有~~~

so ，说风凉话 就旁边呆着去，，

汗,你当初是菜鸟的时候中招了,还能记得中招前的多少信息??

没有办法呢,我也观察了很久

开了SSM等,没有发现增加什么内容,比如说插件或病毒

没有发现的


至于那个hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17一开始怎么来的

我也不知道,但我想应该不是病毒木马之类的..


要跟踪问题要从hXXp://union.mmtw.cn/liu.asp?id=chenlin_a17

这个下手

目前比较有可能的是ISP(互联网服务提供商)做的手脚

无奈....


所以没办法根治.日志里毫无异常啊,无从治起

我报告个
不是电信也一样中招   

单单按你的说法

几乎可以肯定是ISP做的手脚

按我以往经验发现,能监视网络连接并作出相对回应的病毒不是很多

应该是数据包传输过程中被修改了

ISP嫌疑最大``

-_-!!

8晓得了```

那请问下,你发现跳弹广告是什么时候呢?

之前有没有下载过什么东西或者浏览陌生的网页?


不然你发个日志吧,我需要HijackThis的日志,下载地址:


http://www.skycn.com/soft/15753.html

这个办法不彻底，我已经彻底解决了，看我的办法：
http://bbs.360safe.com/viewthrea ... &extra=page%3D2

Tiegeom.dll

这个文件还有么,能不能发上来看看?

还有,弹这个网页的人,日志里并无此项

老大说是中了arp攻击，我BAIDU了一下，大概意思就是局域网内的其他电脑有木马

我们只是受害者。

问问大家都是局域网吗？

我家里是用路由器上网的

分了两台电脑，一个本，一个台式

另一台（台式）不开机，我的本本也会弹出6.cn的页面

难道是我本中了木马，但是用360安全卫士，金山清理专家，瑞星卡卡上网安全助手，Windows清理助手，正版瑞星2007

全部查了都没有发现木马。

到底是什么问题呢？

有没有专杀软件？

这个问题等了3天了，不管是360的论坛上还是其他安全软件的论坛上大家都在反映这个问题

有没有好的解决方法

我们应该如何做？


还有就是排除是电信的推送广告

因为我另台电脑不会弹出。