昨天晚上发现,偶的浏览器被劫持了,准确的说是被恶意安装了流氓软件,即浏览器中毒了,不停的弹出广告,真烦! 今晚学了几招,干掉他!!!(发现居然是搜狗插件在作怪) 方法一 重新注册IE项,修复IE注册。从开始->运行 反间谍广告软件及流氓软件的xx工具(专杀工具): 1、反间谍专家: 能够通过扫描系统薄弱环节以及全面扫描硬盘,智能检测和查杀超过上万种木马、蠕虫、Adware、Spyware,如“SCOxx、五毒虫、网银大盗、MSN骗子、QQ尾巴病毒、寄生木马,冰河类文件关联木马,密码解霸,xx、奇迹等游戏密码偷窃木马”等,终止它们的恶意行为,当检测到可疑文件时,反间谍专家还可以将其隔离,从而全面保护您的网络安全。 2、微软恶意软件xx工具: Microsoft 发布的 Microsoft Windows 恶意软件xx工具,以帮助从运行 Microsoft Windows Server 2003、Microsoft Windows XP 或 Microsoft Windows 2000 的计算机中xx特定的流行恶意软件。该恶意软件xx工具将取代 Microsoft 以前发布的所有病毒xx工具。 3、流氓软件杀手:(偶用它搞定的) 全能助手系列工具新作-流氓软件杀手,目前可以清理:很棒小秘书、小蜜蜂、DUDU下载加速器、DMCast桌面传媒、博采网摘、NetFish网络钓鱼克星、CopySo拷贝搜、青娱乐、天下搜索、易趣购物、易趣工具条、xx网译通、虎翼DIY吧、T2BHO、开心运程速递插件、ISC广告插件、IE伴郎、CNNIC中文上网、MMSAssist、8848搜索助手、一搜划词搜索、阿里巴巴商务直通车、XPlus、网络猪、搜狗直通车......等58种插件。 4、WinPatrol V9.8: WinPatrol能让你更好的知道你的电脑里面安装了什么程序,软件会监控你的电脑,会记录任何软件对系统的启动菜单作出的更改。也可以利用这个软件你xx特定的COOKIE。它也有类似于WINDOWS 2000和WINDOWS XP所带的任务管理器的功能,你可以从软件里面得知正在运行的程序的作用,并中止任何你不想要的程序的运行。 方法二 1、首先,我们在机器里新建一个用户名为text(这里任意的用户名都可以)。 2、注销Administrator用户。改用text用户进入系统。 3、点击“开始”—“运行”。键入regedit。可以打开注册表编辑器。 4、 找到以下路径:HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer。选中“Internet Explorer”。点击表单栏的“注册表”。导出注册表文件。 5、这时就把text用户下的IE设置给导出来了。因为text用户是新加入的。所以他的IE设置并没有被更改过。 6、现在我们切换回Administrator用户登录系统。 7、点击“打开”—“运行”。键入regedit。依然进入注册表编辑器。 8、点击表单栏的“注册表”,导入注册表。把刚才保存的那个注册表文件导入进去就可以了。 现在我们再打开IE。发现一切都已经恢复成系统默认的样子了。 经实验本方法非常实用。为了安全起见,大家还需要进行必要的杀毒等措施。 方法三 开机以后自己并没有打开IE,但是每隔一段时间就自己弹出一个页面,杀毒软件也查不到病毒 今天打开webuc.net的时候,总会自动弹出一个的广告窗口,很是奇怪,当时也没有留意,以为是宝玉找的域名商搞的鬼。后来再上别的网站的时候,那个该死的广告又弹出来了,这下我才发觉自己中毒了。 于是,马上运行Regedit.exe,切换到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects 发现有三个BHO(说明:BHO,即Browser Helper Objects,指的是浏览器的辅助模块)的ID号: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader(用来处理PDF文件)的模块。 {3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知 {A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车(FlashGet)的模块。 复制未知模块的ID号,把键值切换到:HKEY_CLASSES_ROOT下,点编辑->查找,在查找项目(仅选择项)中输入{3E422F49-1566-40D3-B43D-077EF739AC32},将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,将其记录下来。 查找完后,只有一个DLL文件:Navihelper.dll,于是进入winnt\system32下,找到该文件,查看其属性中并没有写明所属公司名称及版权,初步可以确定就是这个DLL捣的鬼。用UltraEdit打开此DLL,发现了一个\host.dat的字符串,而且在winnt\system32下,能找到host.dat,最可疑的是该文件在今天刚刚被修改! 用UltraEdit打开host.dat,赫然在列!还有等URL。至此,可以充分确定NaviHelper.dll就是罪魁祸首! 病毒原理分析:此Navihelper.dll使用BHO的方法在IE里注册,打开IE时会自动从网站下载需要显示的广告,并将其保存在host.dat(数据库:ThisfilecontainsanSQLite2.1database)中,根据数据库设置进行显示。 接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。 然后,开始--运行,输入:regsvr32 NaviHelper.dll -u {zh1}重新启动计算机,再到system32下删除NaviHelper.dll及Host.dat文件即可。 |