[转贴]揭开IE自动弹出广告窗之谜

揭开IE自动弹出广告窗之谜

近日上网不幸染毒！每每打开IE总会弹出AD！随即上网搜索，发现好多仁兄与我同病相怜。而一位moody兄找到了破解方法，不敢独自享受去毒之爽快，随发此帖，以餍大家！

马上运行Regedit.exe，切换到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\BrowserHelperObjects

发现有三个BHO（说明：BHO，即Browser Helper Objects，指的是浏览器的辅助模块）的ID号：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader（用来处理PDF文件）的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车（FlashGet）的模块。

复制未知模块的ID号，把键值切换到：HKEY_CLASSES_ROOT下，点编辑->查找，在查找项目（仅选择项）中输入{3E422F49- 1566-40D3-B43D-077EF739AC32}，将找到的CLSID项展中，双击左则的InprocServer32，右边默认中将会显示出这个CLSID对应的DLL文件位置和名称，将其记录下来。
查找完后，只有一个DLL文件：Navihelper.dll，于是进入winnt\system32下，找到该文件，查看其属性中并没有写明所属公司名称及版权，初步可以确定就是这个DLL捣的鬼。用 UltraEdit打开此DLL，发现了一个\host.dat的字符串，而且在winnt\system32下，能找到host.dat，最可疑的是该文件在今天刚刚被修改！

用UltraEdit打开host.dat，http://baby.aoe88.com/ad.html赫然在列！还有http://www.qu123.com/aoyu1.html等URL。至此，可以充分确定NaviHelper.dll就是罪魁祸首！
http://baby.aoe88.com/ad.html赫然在列ﮮ.罪魁祸首！

病毒原理分析：此Navihelper.dll使用BHO的方法在IE里注册，打开IE时会自动从网站下载需要显示的广告，并将其保存在host.dat（数据库：ThisfilecontainsanSQLite2.1database）中，根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后，开始--运行，输入：regsvr32 NaviHelper.dll -u

最后重新启动计算机，再到system32下删除NaviHelper.dll及Host.dat文件即可。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30EBA2E2-58B2-4980-9C41-F12F5F1422C5}
{3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} C:\WINDOWS\system32\hap.dll
{616D4040-5712-4F0F-BCF1-5C6420A99E14} C:\WINDOWS\system32\winhtp.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}

觉得文章有用，微信打赏一元。