這是一個可怕的廣告軟體....殺之不盡阿...每次我殺掉在system32目錄下的navihelper.dll,重開機它又來了~今天去網路上找了解決方式,以下轉載殺掉它的方法,大家也檢查一下自己有沒有中吧!順便以此推廣一下FireFox瀏覽器,用它的話你在網路上會安全很多!
原文出處:http://www2.beareyes.com.cn/bbs/pc003/52.htm
- ◎ 消滅惡意廣告網站qu123~~~~
這個該死的網站我就不多說了
每次我打開一個IE窗口,就彈出這個網站的廣告,而且無法過濾
這個病毒奇怪的是,它沒有修改你的啟動組,也沒修改你注冊表的啟動項,也沒在服務里面添加什麼可疑的東西,那它是怎麼隱藏在我的電腦里面,當我打開網頁的時候就彈出來呢?
這個問題我困惑了許久。
所以今天我終于生氣了,使用Search and Replace軟件,全面查找WINDOWS目錄,包含有“QU123”的全部文件!
終于有所發現,軟件報告:
正在處理文件: C:WINDOWSsystem32host.dat
偏移 0x1034 -
[url=http://www.qu123.com/ad/ad1.html]
[color=#000020]http://www.qu123.com/ad/ad1.html[/color]
[/url]
偏移 0x1093 -
[url=http://www.qu123.com/ad/ad1.html]
[color=#000020]http://www.qu123.com/ad/ad1.html[/color]
[/url]
偏移 0x10ef -
[url=http://www.qu123.com/ad/ad1.html]
[color=#000020]http://www.qu123.com/ad/ad1.html[/color]
[/url]
看來這個文件有可疑
用16進制編輯器打開host.dat,發現它的文件頭內容是:
This file contains an SQLite 2.1 database
里面有很多網址,其中就包含了:
[url=http://www.qu123.com/ad/ad1.html]
[color=#000020]http://www.qu123.com/ad/ad1.html[/color]
[/url]
這個該死的廣告的網址!
于是我毫不猶豫刪除了host.dat,感覺世界都輕松了,終于把這個可惡的廣告解決了。
重新啟動電腦後,打開IE正想上網,誰知道,那個該死的廣告又彈出來了
我很是吃驚,查看一下system32目錄,host.dat又重新出現了,昏死~~
看來還有一些東西我沒發現,凶手不止它一個!!!
于是再次使用Search and Replace,查找關鍵字“host.dat”,又有了新發現,軟件報告:
正在處理文件: C:WINDOWSsystem32NaviHelper.dll
偏移 0x56729 - host.dat
偏移 0x56a3e -
[url=http://bar.iebar8.com/host.dat]
[color=#000020]http://bar.iebar8.com/host.dat[/color]
[/url]
看來它才是真正的幕後黑手!
用16進制編輯器打開NaviHelper.dll,看看它的文件頭內容,發現它應該是一個EXE文件,而不是真正的DLL文件。從文件屬性來看,不是系統文件,版權是TODO。
下面是編譯後它的類型庫:
NaviHelperLib; // NaviHelper 1.0 類型庫
Class NaviHelperObj; // NaviHelperObj Class
GUID={3E422F49-1566-40D3-B43D-077EF739AC32};
function QueryInterface(riid:^GUID; out ppvObj:^^void);
function AddRef: UI4;
function Release: UI4;
function GetTypeInfoCount(out pctinfo:^UINT);
function GetTypeInfo(itinfo:UINT; lcid:UI4; out pptinfo:^^void);
function GetIDsOfNames(riid:^GUID; rgszNames:^^I1; cNames:UINT; lcid:UI4; out rgdispid:^I4);
function Invoke(dispidMember:I4; riid:^GUID; lcid:UI4; wFlags:UI2; pdispparams:^DISPPARAMS; out pvarResult:^variant; out pexcepinfo:^EXCEPINFO; out puArgErr:^UINT);
Dispatch INaviHelperObj; // INaviHelperObj 接口
GUID={A648A952-0963-4CCA-9343-82D794E5A86F};
function QueryInterface(riid:^GUID; out ppvObj:^^void);
function AddRef: UI4;
function Release: UI4;
function GetTypeInfoCount(out pctinfo:^UINT);
function GetTypeInfo(itinfo:UINT; lcid:UI4; out pptinfo:^^void);
function GetIDsOfNames(riid:^GUID; rgszNames:^^I1; cNames:UINT; lcid:UI4; out rgdispid:^I4);
function Invoke(dispidMember:I4; riid:^GUID; lcid:UI4; wFlags:UI2; pdispparams:^DISPPARAMS; out pvarResult:^variant; out pexcepinfo:^EXCEPINFO; out puArgErr:^UINT);
從資源文件可以看出,它應該是通過修改注冊表,把它作為一個插件和IE關聯在一起了,如果我只是刪除host.dat,下次我啟動IE它一樣會自動修復,可見它用心之狡猾!
現在問題清楚了,要刪除它也很容易了
使用HijackThis這個終極工具,直接把NaviHelper.dll這個值清理掉就可以了。
然後刪除
C:WINDOWSsystem32NaviHelper.dll
C:WINDOWSsystem32host.dat
0 意見:
張貼留言