[教學]windows XP sp2還是有漏洞低...副標題：消滅惡意廣告網站qu123

之前看過一個影片，許多廣告軟體都可以靠著IE的漏洞(裝過sp2喔)裝進你的電腦裡面，最近我也被其中一個廣告軟體困擾著...雖然我99%的時間都用firefox，但是還是中標！
這是一個可怕的廣告軟體....殺之不盡阿...每次我殺掉在system32目錄下的navihelper.dll，重開機它又來了～今天去網路上找了解決方式，以下轉載殺掉它的方法，大家也檢查一下自己有沒有中吧！順便以此推廣一下FireFox瀏覽器，用它的話你在網路上會安全很多！

原文出處：http://www2.beareyes.com.cn/bbs/pc003/52.htm

• ◎ 消滅惡意廣告網站qu123～～～～
  這個該死的網站我就不多說了
  每次我打開一個IE窗口，就彈出這個網站的廣告，而且無法過濾
  這個病毒奇怪的是，它沒有修改你的啟動組，也沒修改你注冊表的啟動項，也沒在服務里面添加什麼可疑的東西，那它是怎麼隱藏在我的電腦里面，當我打開網頁的時候就彈出來呢？
  這個問題我困惑了許久。
  所以今天我終于生氣了，使用Search and Replace軟件，全面查找WINDOWS目錄，包含有“QU123”的全部文件！
  終于有所發現，軟件報告：
  
  正在處理文件: C:WINDOWSsystem32host.dat
  偏移 0x1034 -
  [url=http://www.qu123.com/ad/ad1.html]
  [color=#000020]http://www.qu123.com/ad/ad1.html[/color]
  [/url]
  偏移 0x1093 -
  [url=http://www.qu123.com/ad/ad1.html]
  [color=#000020]http://www.qu123.com/ad/ad1.html[/color]
  [/url]
  偏移 0x10ef -
  [url=http://www.qu123.com/ad/ad1.html]
  [color=#000020]http://www.qu123.com/ad/ad1.html[/color]
  [/url]
  看來這個文件有可疑
  用16進制編輯器打開host.dat，發現它的文件頭內容是：
  This file contains an SQLite 2.1 database
  里面有很多網址，其中就包含了：
  [url=http://www.qu123.com/ad/ad1.html]
  [color=#000020]http://www.qu123.com/ad/ad1.html[/color]
  [/url]
  這個該死的廣告的網址！
  于是我毫不猶豫刪除了host.dat，感覺世界都輕松了，終于把這個可惡的廣告解決了。
  重新啟動電腦後，打開IE正想上網，誰知道，那個該死的廣告又彈出來了
  
  
  我很是吃驚，查看一下system32目錄，host.dat又重新出現了,昏死～～
  看來還有一些東西我沒發現，凶手不止它一個！！！
  于是再次使用Search and Replace，查找關鍵字“host.dat”，又有了新發現，軟件報告：
  
  正在處理文件: C:WINDOWSsystem32NaviHelper.dll
  偏移 0x56729 - host.dat
  偏移 0x56a3e -
  [url=http://bar.iebar8.com/host.dat]
  [color=#000020]http://bar.iebar8.com/host.dat[/color]
  [/url]
  看來它才是真正的幕後黑手！
  用16進制編輯器打開NaviHelper.dll，看看它的文件頭內容，發現它應該是一個EXE文件，而不是真正的DLL文件。從文件屬性來看，不是系統文件，版權是TODO。
  下面是編譯後它的類型庫：
  NaviHelperLib; // NaviHelper 1.0 類型庫
  Class NaviHelperObj; // NaviHelperObj Class
  GUID={3E422F49-1566-40D3-B43D-077EF739AC32};
  function QueryInterface(riid:^GUID; out ppvObj:^^void);
  function AddRef: UI4;
  function Release: UI4;
  function GetTypeInfoCount(out pctinfo:^UINT);
  function GetTypeInfo(itinfo:UINT; lcid:UI4; out pptinfo:^^void);
  function GetIDsOfNames(riid:^GUID; rgszNames:^^I1; cNames:UINT; lcid:UI4; out rgdispid:^I4);
  function Invoke(dispidMember:I4; riid:^GUID; lcid:UI4; wFlags:UI2; pdispparams:^DISPPARAMS; out pvarResult:^variant; out pexcepinfo:^EXCEPINFO; out puArgErr:^UINT);
  Dispatch INaviHelperObj; // INaviHelperObj 接口
  GUID={A648A952-0963-4CCA-9343-82D794E5A86F};
  function QueryInterface(riid:^GUID; out ppvObj:^^void);
  function AddRef: UI4;
  function Release: UI4;
  function GetTypeInfoCount(out pctinfo:^UINT);
  function GetTypeInfo(itinfo:UINT; lcid:UI4; out pptinfo:^^void);
  function GetIDsOfNames(riid:^GUID; rgszNames:^^I1; cNames:UINT; lcid:UI4; out rgdispid:^I4);
  function Invoke(dispidMember:I4; riid:^GUID; lcid:UI4; wFlags:UI2; pdispparams:^DISPPARAMS; out pvarResult:^variant; out pexcepinfo:^EXCEPINFO; out puArgErr:^UINT);
  從資源文件可以看出，它應該是通過修改注冊表，把它作為一個插件和IE關聯在一起了，如果我只是刪除host.dat，下次我啟動IE它一樣會自動修復，可見它用心之狡猾！
  
  
  
  現在問題清楚了，要刪除它也很容易了
  使用HijackThis這個終極工具，直接把NaviHelper.dll這個值清理掉就可以了。
  然後刪除
  C:WINDOWSsystem32NaviHelper.dll
  C:WINDOWSsystem32host.dat