浏览器右下角出现弹窗，怎么排查呢？

这是那个弹窗的地址
http://kwcdn.ggmm777.com/swfs/ab/15970dntksp/300X300.swf
点击后跳转到
http://p.quwanma99.com/s/1/1514/13485.html?uid=lt005

看看dns，

@angelface 能说的具体点吗？ 你的意思是运营商的问题？

换浏览器试试

dns换成114试试

用隐身模式启动看一下

基本就这两个可能。

@flied
目前已经确定不是浏览器的问题
dns换成8.8.8.8也没解决问题

<!doctype html>
<html lang="en">
<head>
<meta charset="utf-8">
<title></title>
<meta http-equiv="Content-Language" cOntent="zh-CN" />
<meta name="Keywords" cOntent="" />
<meta name="Description" cOntent="" />
<style type="text/css">
* {margin:0;padding:0;}
.fsy {position:fixed;bottom:0;right:0;_position:absolute;width:300px;height:300px;}
</style>
</head>
<body>
<div class="fsy">
<embed width="300" height="300" src="http://kwcdn.ggmm777.com/swfs/ab/15970dntksp/300X300.swf" quality="high" wmode="transparent" pluginspage="http://www.macromedia.com/go/getflashplayer" title="" />
</div>
<div style="display:none;">
<script type="text/Javascript" src="http://js.tongji.linezing.com/3327316/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/3327316/tongji.gif"/></a></noscript>
</div>
</body>
</html>

这是劫持的页面源码，到底怎么找出来是哪里出的问题呢。。。

有可能是路由器DNS Changer病毒，路由器关闭“手动修改dns”或者改成“8.8.8.8”之类的

查查毒啊，之前遇到过一个鬼影病毒，把正常js文件给替换成其他代码，截包里js都是正常的。

@z452490334 你鬼影用什么软件扫出来的？

@linuz 家用电脑，已经把dns服务器改成8.8.8.8 能想到的办法都想了 -____-"。。。。好无奈

我遇到过类似情况，电信劫持的，刷新一下就恢复了，具体频率多少不知道。

@helone 能说一下怎么确定是运营商搞的吗，为啥改了dns服务器还是没用呢

如果是运营商挟持的，改DNS是没用的- -

你试下开VPN之后还有弹窗不，如果没有，那应该就是运营商搞的

@Hawk 因为偶尔会给我推送一些通知（宽带到期）或者优惠信息

@jylee 我试试 感谢

出现这个原因有可能是几个方面的，我觉得你可以分情况来进行排查
1：chrome浏览器的插件是有可能干这种事情的，先前我就碰到过，通过不同浏览器来查看HTML发现的问题
2：运营商在你对固定URL进行请求的时候直接替换或者插入广告代码

因为你已经发现了有问题的HTML代码我可以提供一种方法，你用Py直接请求URL，把下回来的HTML代码进行比对，看HTML是否发生了变化，间隔10分钟进行一次请求，如果连PY请求回来的HTML都有问题，那么就和浏览器没关系，可以朝系统和网络配置方面去找原因，系统和配置的话可以换下DNS，然后再换换请求的网络路由路径(走goagent就可以)
通过对比就能发现问题到底出在哪里~

电信运营商没跑

我以前也遇到过，只在Chrome里才有问题。

电信的劫持广告，到电信网站投诉，会有人主动联系你并关闭。我就是这么干的。
如果电信网站投诉无效，可以到工信部网站投诉。
http://www.chinatcc.gov.cn:8080/cms/shensus/

安装这个软件，你也可以这样。。。http://www.biansu7.cn/variableSpeed.html，一样的情况，急求解决方法。

联通4M，IE10

<!doctype html>
<html lang="en">
<head>
<meta charset="utf-8">
<title></title>
<meta http-equiv="Content-Language" cOntent="zh-CN" />
<meta name="Keywords" cOntent="" />
<meta name="Description" cOntent="" />


<!-- Ad Muncher content start --><script type="text/Javascript" src="http://interceptedby.admuncher.com/9AAD31F211FC9437/helper.js#0.192204.0" id="yXzy_MainScript"></script><link rel="stylesheet" href="http://interceptedby.admuncher.com/9AAD31F211FC9437/helper.css" type="text/css" media="all" /><!-- Ad Muncher content end -->

<style type="text/css">
* {margin:0;padding:0;}
.fsy {position:fixed;bottom:0;right:0;_position:absolute;width:300px;height:300px;}
</style>
</head>
<body>
<div class="fsy">
<embed width="300" height="300" src="http://kwcdn.ggmm777.com/swfs/ab/15970dntksp/300X300.swf" quality="high" wmode="transparent" pluginspage="http://www.macromedia.com/go/getflashplayer" title="" />
</div>
<div style="display:none;">
<script type="text/Javascript" src="http://js.tongji.linezing.com/3327316/tongji.js"></script><noscript><a href="http://www.linezing.com"><img src="http://img.tongji.linezing.com/3327316/tongji.gif"/></a></noscript>
</div>
</body>
</html>

3 2013-10-13 18:9:54 在LAN2口收到疑似192.168.1.6发送的ARP攻击,请查实
4 2013-10-13 17:26:21 在LAN2口收到疑似192.168.1.6发送的ARP攻击,请查实
5 2013-10-13 17:23:43 128.9.168.98 00-18-82-5B-36-F8 ping WAN口地址被阻断
6 2013-10-13 16:39:28 在LAN2口收到疑似192.168.1.6发送的ARP攻击,请查实
7 2013-10-13 15:15:38 123.125.64.56 00-18-82-5B-36-F8 ping WAN口地址被阻断
8 2013-10-13 14:12:46 218.66.111.37 00-18-82-5B-36-F8 ping WAN口地址被阻断
9 2013-10-13 14:4:52 220.181.5.60 00-18-82-5B-36-F8 ping WAN口地址被阻断
10 2013-10-13 14:3:22 61.158.237.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
11 2013-10-13 14:3:6 122.228.234.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
12 2013-10-13 14:3:6 58.215.123.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
13 2013-10-13 14:2:59 119.75.215.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
14 2013-10-13 14:2:58 125.76.251.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
15 2013-10-13 14:2:58 113.105.244.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
16 2013-10-13 14:2:51 119.188.9.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
17 2013-10-13 14:2:49 140.207.195.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
18 2013-10-13 14:2:47 211.144.71.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
19 2013-10-13 14:2:45 124.95.170.4 00-18-82-5B-36-F8 ping WAN口地址被阻断
20 2013-10-13 14:2:42 123.125.67.6 00-18-82-5B-36-F8 ping WAN口地址被阻断

@kavscn 什么意思？你是安装那个软件以后才出现的问题？

我也有这个，一样的问题。

我是 Mac 。

iPad 也有问题。初步怀疑是联通的问题。

你在郑州么？

@MichaelYin 感谢
目前已经尝试过，换不同的浏览器，更改本机dns服务器，均无效
下面准备尝试一下走代理的方法

半个小时前刚刚给联通的人打电话投诉这个问题，不过他们的客服什么都不明白，告诉我说他们找人来排查这个问题。

楼主方便留个联系方式一起排查么？

@fanzeyi
是，我也是联通，这么说应该很可能是运营商的问题了
可是我遇到了一个新情况
http://www.v2ex.com/t/85462
真够头疼的

@fanzeyi
thetracker#163.com
最好还是把问题留在帖子里，方便其他有类似问题的人能看见

是郑州联通，我的情况也许是巧合，不过我说的那个软件的确是恶意软件，会不听提示安装电脑管家什么的，是用户提示的形式，那就是下载好了的，可恶，也不知道下载到哪里了。

@Hawk 嗯其实是想交换下安装过的 Chrome 插件的 ID 以及用的 DNS 服务器等信息，贴出来会有些烦。

不过既然 @kavscn 同学确认了，那就没必要了，我等着联通的反馈电话，7点10分打的，现在8点20分。

@fanzeyi 没必要，不是chrome插件的问题，你试试隐身模式多刷几下一样会出现

http劫持的话，用奶牛吧，不过也是只能windows下用。Ad Muncher

看我上面的贴的代码，我用的就是奶牛，无效，起初我还怀疑是奶牛。另我这一条联通线连了3台电脑上网，初步了解这我这台有问题，说有广告，也时有时无，无意间开标签页就有可能中招，20次左右中一次。再另外，我把C:\Windows\System32\drivers下的nfs.sys（CACE Technologies, Inc.）删着玩玩

别外，这两天发现，登录QQ时的絮状动画不动了，是什么个情况＝_＝

联通那边客服打电话过来说只能等技术那边来解决问题，今晚应该是解决不能了，明天顺便打电话问问我这片区的宽带负责人，以及楼下有个联通机房也去调查下..

BTW: @kavscn 和 @Hawk 都住在哪个方位啊？

郑州与开封的中间

卖萌可耻啊，我是郑州东边中牟县的

@kavscn 原来如此。

// 郑州的 V2EXer 貌似多起来了，看起来可以搞一次聚会玩。

AD广告管家...不过对于某些少见的情况，他也无效。