[转贴]揭开IE自动弹出广告窗之谜

一风 · 发表于 2005-3-5 15:06:00

揭开IE自动弹出广告窗之谜

近日上网不幸染毒！每每打开IE总会弹出AD！随即上网搜索，发现好多仁兄与我同病相怜。而一位moody兄找到了破解方法，不敢独自享受去毒之爽快，随发此帖，以餍大家！

马上运行Regedit.exe，切换到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\BrowserHelperObjects

发现有三个BHO（说明：BHO，即Browser Helper Objects，指的是浏览器的辅助模块）的ID号：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader（用来处理PDF文件）的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车（FlashGet）的模块。

复制未知模块的ID号，把键值切换到：HKEY_CLASSES_ROOT下，点编辑->查找，在查找项目（仅选择项）中输入{3E422F49- 1566-40D3-B43D-077EF739AC32}，将找到的CLSID项展中，双击左则的InprocServer32，右边默认中将会显示出这个CLSID对应的DLL文件位置和名称，将其记录下来。
查找完后，只有一个DLL文件：Navihelper.dll，于是进入winnt\system32下，找到该文件，查看其属性中并没有写明所属公司名称及版权，初步可以确定就是这个DLL捣的鬼。用 UltraEdit打开此DLL，发现了一个\host.dat的字符串，而且在winnt\system32下，能找到host.dat，最可疑的是该文件在今天刚刚被修改！

用UltraEdit打开host.dat，http://baby.aoe88.com/ad.html赫然在列！还有http://www.qu123.com/aoyu1.html等URL。至此，可以充分确定NaviHelper.dll就是罪魁祸首！
http://baby.aoe88.com/ad.html赫然在列ﮮ.罪魁祸首！

病毒原理分析：此Navihelper.dll使用BHO的方法在IE里注册，打开IE时会自动从网站下载需要显示的广告，并将其保存在host.dat（数据库：ThisfilecontainsanSQLite2.1database）中，根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后，开始--运行，输入：regsvr32 NaviHelper.dll -u

最后重新启动计算机，再到system32下删除NaviHelper.dll及Host.dat文件即可。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30EBA2E2-58B2-4980-9C41-F12F5F1422C5}
{3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} C:\WINDOWS\system32\hap.dll
{616D4040-5712-4F0F-BCF1-5C6420A99E14} C:\WINDOWS\system32\winhtp.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}

fuujingding · 发表于 2005-3-5 16:41:44

各位兄弟姐妹，如果打开IE有跳出恶意网页（比如：本世纪最拉拉拉垃圾的国内的那个叫什么什么的拍卖网站），请使用hijackthis这个软件就可以轻松解决。打开hijackthis，用ＳＣＡＮ，扫描后，把恶意的链接全部ＸＸＸＸＸＸ掉就可以了。修改注册表的话，ＭＭ经常容易犯错误的，还是用hijackthis这个比较安全。
如果８知道哪里有下载的，用ｇｏｏｇｌｅ找一下就可以了。

ace.c.c · 发表于 2005-3-6 09:14:24

还是2楼的比较实惠

yler · 发表于 2005-3-6 10:57:23

Originally posted by fuujingding at 2005-3-5 04:41 PM:
还是用hijackthis这个比较安全。
如果８知道哪里有下载的，用ｇｏｏｇｌｅ找一下就可以了

你个猪头，本版的置顶帖里就有hijackthis
有没有认真看过！

swdaver · 发表于 2005-3-6 23:14:56

太复杂的不喜欢~偶有专人帮偶维护电脑的

随叫随到~

fuujingding · 发表于 2005-3-7 09:14:11

抱歉，1风放在网上的那个是我给的，BETA版本。

LionNova · 发表于 2005-7-16 16:01:54

Win2K/XP里很实用的屏蔽3721、taobao的方法，在系统分区搜索hosts，然后用记事本编辑在后面加入下列文字后保存：
0.0.0.0 www.3721.com
0.0.0.0 download.3721.com
0.0.0.0 cnsmin.3721.com
0.0.0.0 www.unionsky.cn
0.0.0.0 www.allyes.com

还可以自行添加其他想屏蔽的广告，只要知道其代理url就行。

水中仙子 · 发表于 2005-10-21 13:18:33

原来是这样啊！以前都不知道的！

gtdnn · 发表于 2006-3-7 23:18:55

顶啊。和楼主的情况一样。。现在终于弄好了。谢谢楼主

		自动登录	找回密码
密码			入门