岁月如歌 | Past Time, Past Place

大笨猪的独白 | venusguo's blog

二月的最后一次blog

    最近电脑中了招,不知道是什么时候中的。在开maxthon新窗口的时候,每次不论是敲入网址或是选择收藏页,都会打开1个或2个弹出的ie窗口。他们分别是baby.aoe88.com和www.139love.com。检查了winnt/system32/drivers/etc子目录下面的host文件,发现没有异常。搜索了启动组,也找不到应对的方法。所以只能去google上面搜索,发现网上有许多人和我被同样的恶意网站所袭击了。搜索之下,找到了一些解决之法,现贴如下:

运行Regedit.exe,切换到:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
/Explorer/BrowserHelperObjects

发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号:

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。

复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49- 1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。
查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt/system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用 UltraEdit打开此DLL,发现了一个/host.dat的字符串,而且在winnt/system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改!

用UltraEdit打开host.dat,http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!
http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!

病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后,开始--运行,输入:regsvr32 NaviHelper.dll -u

最后重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。

利用了这个方法,我确实找到了host.dat和navihelper.dll。经过上述操作以后,在打开新网页的时候,还是有baby.aoe88.com这个网站的弹出窗口的存在!无奈了……真是没有什么手段可以用了。恨死这些作恶意网站的人了!

阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭