(轉(zhuǎn)載自www.21ds.net)

今天打開OL和webuc.net的時候，總會自動彈出一個http://baby.aoe88.com/ad.html的廣告窗口，很是奇怪，當(dāng)時也沒有留意，以為是寶玉找的域名商搞的鬼。后來再上別的網(wǎng)站的時候，那個該死的廣告又彈出來了，這下我才發(fā)覺自己中毒了。

于是，馬上運(yùn)行Regedit.exe，切換到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

發(fā)現(xiàn)有三個BHO（說明：BHO，即Browser Helper Objects，指的是瀏覽器的輔助模塊）的ID號：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——這是Adobe Acrobat Reader（用來處理PDF文件）的模塊。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——這是網(wǎng)際快車（FlashGet）的模塊。

復(fù)制未知模塊的ID號，把鍵值切換到：HKEY_CLASSES_ROOT下，點(diǎn)編輯->查找，在查找項目（僅選擇項）中輸入{3E422F49-1566-40D3-B43D-077EF739AC32}，將找到的CLSID項展中，雙擊左則的InprocServer32，右邊默認(rèn)中將會顯示出這個CLSID對應(yīng)的DLL文件位置和名稱，將其記錄下來。

查找完后，只有一個DLL文件：Navihelper.dll，于是進(jìn)入winnt\system32下，找到該文件，查看其屬性中并沒有寫明所屬公司名稱及版權(quán)，初步可以確定就是這個DLL搗的鬼。用UltraEdit打開此DLL，發(fā)現(xiàn)了一個\host.dat的字符串，而且在winnt\system32下，能找到host.dat，最可疑的是該文件在今天剛剛被修改！

用UltraEdit打開host.dat，http://baby.aoe88.com/ad.html赫然在列！還有http://www.qu123.com/aoyu1.html等URL。至此，可以充分確定NaviHelper.dll就是罪魁禍?zhǔn)祝?/P>

病毒原理分析：此Navihelper.dll使用BHO的方法在IE里注冊，打開IE時會自動從網(wǎng)站下載需要顯示的廣告，并將其保存在host.dat（數(shù)據(jù)庫：ThisfilecontainsanSQLite2.1database）中，根據(jù)數(shù)據(jù)庫設(shè)置進(jìn)行顯示。

接下來的工作就變得非常簡單了。首先在注冊表里把Navihelper的鍵值全部查找出來并刪除。

然后，開始--運(yùn)行，輸入：regsvr32 NaviHelper.dll -u

最后重新啟動計算機(jī)，再到system32下刪除NaviHelper.dll及Host.dat文件即可。