二月的最后一次blog

原创 2005年02月28日 21:02:00

    最近电脑中了招,不知道是什么时候中的。在开maxthon新窗口的时候,每次不论是敲入网址或是选择收藏页,都会打开1个或2个弹出的ie窗口。他们分别是baby.aoe88.com和www.139love.com。检查了winnt/system32/drivers/etc子目录下面的host文件,发现没有异常。搜索了启动组,也找不到应对的方法。所以只能去google上面搜索,发现网上有许多人和我被同样的恶意网站所袭击了。搜索之下,找到了一些解决之法,现贴如下:

运行Regedit.exe,切换到:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
/Explorer/BrowserHelperObjects

发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号:

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。

复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49- 1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。
查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt/system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用 UltraEdit打开此DLL,发现了一个/host.dat的字符串,而且在winnt/system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改!

用UltraEdit打开host.dat,http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!
http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!

病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后,开始--运行,输入:regsvr32 NaviHelper.dll -u

最后重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。

利用了这个方法,我确实找到了host.dat和navihelper.dll。经过上述操作以后,在打开新网页的时候,还是有baby.aoe88.com这个网站的弹出窗口的存在!无奈了……真是没有什么手段可以用了。恨死这些作恶意网站的人了!

相关文章推荐

最后一次火车修改最终版

  • 2013年06月11日 17:46
  • 7KB
  • 下载

2015年的最后一篇blog——视屏回忆录

∗实在想不出哪里能像CSDN上面的MarkDown那样编辑我所需要的文章了,所以这篇非技术文章也就写在CSDN blog上面了,权当2015年的最后一篇Blog吧~∗首先介绍一下自己: 姓名:钱多多...

删除最后一次正确配置

  • 2008年01月30日 21:24
  • 117KB
  • 下载

突然发现,我还有一个失散多年的blog,好吧,相逢不如偶遇,临~幸你一次吧。(图片浏览器)

/**/好吧,就是这项(wan)目(yi)。 简单开发 一个如此“精美”的图片浏览器。 控件使用: button, label, image view 用一个label显示图片浏览过程,左右按钮切...

数学建模最后一次的模拟题

  • 2011年08月20日 10:24
  • 24KB
  • 下载

Linux索引节点(inode)用满导致的一次故障(转自张宴博客 http://blog.s135.com)

一、发现问题:  在一台配置较低的Linux服务器(内存、硬盘比较小)的/data分区内创建文件时,系统提示磁盘空间不足,用df -h命令查看了一下磁盘使用情况,发现/data分区只使用了66%,还有...

获得最后一次来电号码

  • 2009年05月19日 11:11
  • 2KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:二月的最后一次blog
举报原因:
原因补充:

(最多只允许输入30个字)