唔知點解成日都彈出黎~!

klinskan · 發表於 2005-2-6 14:54:36

~!!!

杰少仔 · 發表於 2005-2-6 15:30:52

出處：moody's blog
http://webuc.net/moody/archive/2005/01/03/2526.aspx

揭開IE自動彈出廣告窗之謎
今天打開OL和webuc.net的時候，總會自動彈出一個http://baby.aoe88.com/ad.html的廣告窗口，很是奇怪，當時也沒有留意，以為是寶玉找的域名商搞的鬼。後來再上別的網站的時候，那個該死的廣告又彈出來了，這下我才發覺自己中毒了。

於是，馬上運行Regedit.exe，切換到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

發現有三個BHO（說明：BHO，即Browser Helper Objects，指的是瀏覽器的輔助模塊）的ID號：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——這是Adobe Acrobat Reader（用來處理PDF文件）的模塊。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——這是網際快車（FlashGet）的模塊。

複製未知模塊的ID號，把鍵值切換到：HKEY_CLASSES_ROOT下，點編輯->查找，在查找項目（僅選擇項）中輸入{3E422F49- 1566-40D3-B43D-077EF739AC32}，將找到的CLSID項展中，雙擊左則的InprocServer32，右邊默認中將會顯示出這個CLSID對應的DLL文件位置和名稱，將其記錄下來。

查找完後，只有一個DLL文件：Navihelper.dll，於是進入winnt\system32下，找到該文件，查看其屬性中並沒有寫明所屬公司名稱及版權，初步可以確定就是這個DLL搗的鬼。用UltraEdit打開此DLL，發現了一個\host.dat的字符串，而且在winnt\ system32下，能找到host.dat，最可疑的是該文件在今天剛剛被修改！

用UltraEdit打開host.dat，http://baby.aoe88.com/ad.html赫然在列！還有http://www.qu123.com/aoyu1.html等URL。至此，可以充分確定NaviHelper.dll就是罪魁禍首！

病毒原理分析：此Navihelper.dll使用BHO的方法在IE裡註冊，打開IE時會自動從網站下載需要顯示的廣告，並將其保存在host.dat（數據庫：ThisfilecontainsanSQLite2.1database）中，根據數據庫設置進行顯示。

接下來的工作就變得非常簡單了。首先在註冊表裡把Navihelper的鍵值全部查找出來並刪除。

然後，開始--運行，輸入：regsvr32 NaviHelper.dll -u

最後重新啟動計算機，再到system32下刪除NaviHelper.dll及Host.dat文件即可。

klinskan · 發表於 2005-2-6 16:47:43

複製未知模塊的ID號，把鍵值切換到：HKEY_CLASSES_ROOT下，點編輯->查找，在查找項目（僅選擇項）中輸入{3E422F49- 1566-40D3-B43D-077EF739AC32}，將找到的CLSID項展中，雙擊左則的InprocServer32，右邊默認中將會顯示出這個CLSID對應的DLL文件位置和名稱，將其記錄下來。

唔明~!

杰少仔 · 發表於 2005-2-6 17:02:09

Originally posted by klinskan at 2005-2-6 04:47 PM:
複製未知模塊的ID號，把鍵值切換到：HKEY_CLASSES_ROOT下，點編輯->查找，在查找項目（僅選擇項）中輸入{3E422F49- 1566-40D3-B43D-077EF739AC32}，將找到的CLSID項展中，雙擊左則的InprocServer32，右邊默認 ...

去HKEY_CLASSES_ROOT個排
打3E422F49- 1566-40D3-B43D-077EF739AC32 去search

cannavavc · 發表於 2005-2-6 19:17:32

Originally posted by 杰少仔 at 2005-2-6 15:30:
接下來的工作就變得非常簡單了。首先在註冊表裡把Navihelper的鍵值全部查找出來並刪除。

where架

杰少仔 · 發表於 2005-2-6 19:37:45

Originally posted by cannavavc at 2005-2-6 07:17 PM:

where架

C:\WINDOWS\regedit.exe

windows XP

cannavavc · 發表於 2005-2-6 19:54:07

Originally posted by 杰少仔 at 2005-2-6 19:37:

C:\WINDOWS\regedit.exe

windows XP

掂左

呢隻毒係咪好耐架喇....
我幾個月前以為只係pop up問題所以無理到....

[ Last edited by cannavavc on 6-2-2005 at 07:55 PM ]

杰少仔 · 發表於 2005-2-6 20:03:11

Originally posted by cannavavc at 2005-2-6 07:54 PM:

掂左

呢隻毒係咪好耐架喇....
我幾個月前以為只係pop up問題所以無理到....

[ Last edited by cannavavc on 6-2-2005 at 07:55 PM ]

其實我都唔知佢點樣中的
因為唔係非一般spyware/popup

klinskan · 發表於 2005-2-6 23:12:51

Originally posted by 杰少仔 at 2005-2-6 05:02 PM:

去HKEY_CLASSES_ROOT個排
打3E422F49- 1566-40D3-B43D-077EF739AC32 去search

SEARCH唔到野喎~!

klinskan · 發表於 2005-2-6 23:21:23

CLSID度冇InprocServer32~!?

杰少仔 · 發表於 2005-2-7 07:01:50

Originally posted by klinskan at 2005-2-6 11:21 PM:
CLSID度冇InprocServer32~!?

那你直接去delete NaviHelper.dll睇下仲有冇事

klinskan · 發表於 2005-2-7 11:20:15

Originally posted by 杰少仔 at 2005-2-7 07:01 AM:

那你直接去delete NaviHelper.dll睇下仲有冇事

window\system32 都冇 ~!

[ Last edited by klinskan on 7-2-2005 at 05:04 PM ]

FlyingDonkey · 發表於 2005-2-7 14:31:04

Flashget pop up 廣告點處理?

ohcl · 發表於 2005-2-7 15:53:22

咁即係點

klinskan · 發表於 2005-2-7 17:22:58

msstart.exe係乜~?!

杰少仔 · 發表於 2005-2-7 18:37:09

用佢scan完post個result出黎cc

klinskan · 發表於 2005-2-7 19:03:22

Originally posted by 杰少仔 at 2005-2-7 06:37 PM:
用佢scan完post個result出黎cc

但我己經delete左~!

http://www.xfilt.com/tech/backdoor.livup.htm

現在好似冇事了~!

vctwl · 發表於 2005-2-7 21:12:09

Originally posted by FlyingDonkey at 2005/2/7 02:31 PM:
Flashget pop up 廣告點處理?

Register

ohcl · 發表於 2005-2-7 21:33:05

咁我呢

杰少仔 · 發表於 2005-2-7 21:45:36

Q2第三行按fix

再去C:\Windows\System32\NaviHelper.dll or C:\WINNT\System32\NaviHelper.dll

有既就delete

		自動登錄	找回密碼
密碼			會員申請

唔知點解成日都彈出黎~!

本帖子中包含更多資源

本帖子中包含更多資源

本帖子中包含更多資源

本帖子中包含更多資源