二月的最后一次blog

原创 2005年02月28日 21:02:00

    最近电脑中了招,不知道是什么时候中的。在开maxthon新窗口的时候,每次不论是敲入网址或是选择收藏页,都会打开1个或2个弹出的ie窗口。他们分别是baby.aoe88.com和www.139love.com。检查了winnt/system32/drivers/etc子目录下面的host文件,发现没有异常。搜索了启动组,也找不到应对的方法。所以只能去google上面搜索,发现网上有许多人和我被同样的恶意网站所袭击了。搜索之下,找到了一些解决之法,现贴如下:

运行Regedit.exe,切换到:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
/Explorer/BrowserHelperObjects

发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号:

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。

复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49- 1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。
查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt/system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用 UltraEdit打开此DLL,发现了一个/host.dat的字符串,而且在winnt/system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改!

用UltraEdit打开host.dat,http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!
http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!

病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后,开始--运行,输入:regsvr32 NaviHelper.dll -u

最后重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。

利用了这个方法,我确实找到了host.dat和navihelper.dll。经过上述操作以后,在打开新网页的时候,还是有baby.aoe88.com这个网站的弹出窗口的存在!无奈了……真是没有什么手段可以用了。恨死这些作恶意网站的人了!

二月的最后一天……

二月是个特殊的月份,28号是个今年特殊的日子。这特殊的一天,我听到有人歌唱:拥有轮子滚滚的太阳,在马车永不停歇中,感触什么,馈赠还是发泄?一年中最少天数的月份,却是最让你有感想的时日。从分别到相聚,由...
  • feishi_001
  • feishi_001
  • 2005年02月28日 16:58
  • 464

MySQL--根据审核时间排序,查询最后一次审核的物品采购记录

select *   from (select a.CheckDate, b.ProductID, b.Count, b.Price           from tpurchase a, tp...
  • beiguofengguang
  • beiguofengguang
  • 2012年04月16日 13:54
  • 1260

如何查询数据表中各个设备最后一次出现的记录?

在南方某出租车GPS数据记录表(表明为v)中,表结构如下:   表结构中有车辆ID字段:VehicleSimID、当前时间字段:GPSTime,车辆GPS经纬度字段:GPSLongitude和...
  • Cinway
  • Cinway
  • 2014年12月20日 02:52
  • 1672

mysql 将一个字符串按某个字符串出现的最后一次位置来拆分成两个字符串

例如:将rocky_bbs_notes表中的content按=========================================字符串进行分割,并从最后一次出现的位置开始分割。 SELE...
  • yangshijin1988
  • yangshijin1988
  • 2014年03月06日 13:02
  • 2732

git -vv 获取本地所有分支的最后一次提交信息

git -vv  获取本地所有分支的最后一次提交信息
  • lsm135
  • lsm135
  • 2017年08月29日 09:43
  • 224

最后一次异常的原理和走出异常的方法及IAT的修复问题。

 对于最后一次异常,在脱壳中用得挺多,但是对于为什么它能脱壳,以前还是有点疑问的。。。  首先,对于这种方法,我想应该从壳的角度出发来说说,壳通过某种方法,在程序运行之前,拿到控制权, 怎么样拿到它的...
  • xum2008
  • xum2008
  • 2009年11月12日 11:10
  • 1430

最后一次正确配置的原理

来源:http://www.hackhp.com/post-719.html 会用电脑的人都知道在开机过程中按F8键会弹出一个开机启动菜单 在这菜单中有一个最后一次正确配置,是Windows提供的...
  • ytfy12
  • ytfy12
  • 2013年08月26日 13:36
  • 2517

SQL去重复语句或查询最后一次记录

SQL去重复语句或查询最后一次记录,如果最后的时间有相同则取自增ID最大的记录...
  • tongyiyi
  • tongyiyi
  • 2010年08月04日 13:00
  • 1407

得到最后一次SQL执行语句

dbcc inputbuffer(@@spid)
  • ReViSion
  • ReViSion
  • 2006年04月07日 23:07
  • 2215

一定时间内连续点击只有最后一次点击进行ajax提交

+ var this_timer_id = null; function clickIncrement(){              if(typeof this_timer_id !...
  • jason_czm
  • jason_czm
  • 2017年02月09日 17:28
  • 530
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:二月的最后一次blog
举报原因:
原因补充:

(最多只允许输入30个字)