最近一段时间打开IE总会自动弹出一个http://baby.aoe88.com/ad.html的广告窗口。
于是,马上运行Regedit.exe,切换到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects
发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号:
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。
{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知
{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。
复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49-1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。
查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt\system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用UltraEdit打开此DLL,发现了一个\host.dat的字符串,而且在winnt\system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改!
用UltraEdit打开host.dat,http://baby.aoe88.com/ad.html赫然在列!还有http://www.qu123.com/aoyu1.html等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首!
病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。
接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。
然后,开始--运行,输入:regsvr32 NaviHelper.dll -u
最后重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。