很多人受到IE自動(dòng)彈出廣告的困擾吧，這里給出一個(gè)解決思路，可以搞定利用BHO（Browser Helper Objects，瀏覽器幫助模塊）興風(fēng)作浪的流氓軟件。遺憾的是這個(gè)方法還是比較復(fù)雜的，僅限高手使用，希望高手們能夠幫助身邊的朋友接觸他們的痛苦。

　　1、運(yùn)行regedit，打開(kāi)到

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Explorer\BrowserHelperObjects

　　這里有數(shù)個(gè)BHO的ID號(hào)：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Adobe Acrobat Reader

{3E422F49-1566-40D3-B43D-077EF739AC32} 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B} 網(wǎng)際快車(chē)（FlashGet）

{AA58ED58-01DD-4d91-8333-CF10577473F7} Google Toolbar

{E5A1691B-D188-4419-AD02-90002030B8EE} FlashFXP

　　2、復(fù)制未知BHO的ID號(hào)，到HKEY_CLASSES_ROOT下進(jìn)行搜索，將找到的CLSID項(xiàng)展開(kāi)，雙擊InprocServer32，右側(cè)將會(huì)顯示出這個(gè)CLSID對(duì)應(yīng)的DLL文件位置winnt\system32和名稱(chēng)Navihelper.dll，將其記錄下來(lái)。（可能未知ID名稱(chēng)會(huì)有所不同，一定要搜索所有的未知ID，以便徹底清潔）

　　3、用UltraEdit打開(kāi)此Navihelper.dll，發(fā)現(xiàn)了一個(gè)host.dat的字符串，而且在winnt\system32下。用UltraEdit打開(kāi)host.dat，可以看到數(shù)個(gè)廣告地址，這無(wú)疑就是惡意彈出廣告的來(lái)源了。

　　4、首先在注冊(cè)表里把{3E422F49-1566-40D3-B43D-077EF739AC32}和Navihelper的鍵值全部查找出來(lái)并刪除。然后，開(kāi)始，運(yùn)行，輸入：“regsvr32 NaviHelper.dll -u”。最后重新啟動(dòng)計(jì)算機(jī)，到winnt\system32下刪除NaviHelper.dll及Host.dat文件即可。

　　流氓軟件原理分析：此Navihelper.dll使用BHO（這個(gè)東東實(shí)在太強(qiáng)大了）的方法在IE里注冊(cè)，打開(kāi)IE時(shí)會(huì)自動(dòng)從網(wǎng)站下載需要顯示的廣告，并將其保存在host.dat中，然后根據(jù)host.dat的設(shè)置在用戶(hù)使用IE的時(shí)候顯示廣告。

　　想起CTO Tony講的一句話(huà)，當(dāng)惡性軟件制造者從他們的工作中獲取到足夠多利益的時(shí)候，他們的行為就會(huì)在經(jīng)濟(jì)利益的驅(qū)使下形成了一種正向循環(huán)，會(huì)讓良性軟件制造者無(wú)從應(yīng)對(duì)，最好的辦法是從一開(kāi)始就加大他們的成本降低他們的收入。