揭開IE自動彈出廣告謎

文章來源: http://www.pxue.com/blogview.asp?logID=144

揭開IE自動彈出廣告謎(www.139Love.com) [ 日期：2004-11-15 17:47:02 ] [ 來自：飄雪工作室 ]
昨天在綠洲那玩他的計算機時發現他的IE過一會總會自動彈出一個www.139love.com之類的廣告，很是奇怪，當時也沒有留意。

剛才在試用GOOGLE的工具條時打開了IE的啟用第三方瀏覽器擴展後發現我的IE也開始彈出廣告了，很是奇怪，于是開始懷疑是GOOGLE的廣告，因為綠洲的計算機上也有一個GOOGLE工具條，于是拿出偶的殺手法寶：Regedit.exe，運行注冊表工具，切換到：

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

鍵值下，發現有四個BHO助手ID號，已知的有兩個GOOGLE工具條和FLASHGET的。還有兩個未知。復制這四個ID到記事本內，以便查找，把鍵值切換到：

Code:
HKEY_CLASSES_ROOT

下，點編輯->查找，在查找項目（僅選擇項）中分別鍵入這幾個ID分別查找，將找到的CLSID項展中，雙擊左則的InprocServer32，右邊默認中將會顯示出這個CLSID對應的DLL文件位置和名稱，分別記錄下來。

查找完後，只有一個DLL文件：Navihelper.dll (和GOOGLE工具條沒有關系)比較陌生，于是進入windows\system32下找到這個文件，查看其屬性中並沒有寫明公司名稱及版權，初步確定就是這個DLL搗的鬼。用UltraEdit打開此DLL，搜索http://，發現了兩個網址：
Code:
http://bar.iebar8.com/host.dat
http://www.netscape.com/newsref/std/cookie_spec.html

及一個\host.dat的字符串，在同一目錄下找到host.dat，用UltraEdit打開一看，http://www.139love.com就在其中，確認 NaviHelper.dll 就是罪魁禍首！

原理分析：此DLL為IE的助手（BHO），打開IE時會自動從網站下載需要顯示的廣告，將其保存在host.dat（數據庫：This file contains an SQLite 2.1 database）中，根據數據庫設置進行顯示，其數據庫下載地址為： http://bar.iebar8.com/host.dat，之前之所以沒有出現，是因為我的第三方瀏覽器擴展一直沒有啟用。

處理方法：開始>運行輸入：regsvr32 NaviHelper.dll -u 然後重新啟動計算機，再到system32下刪隊NaviHelper.dll及Host.dat文件即可。

---------------------------------------------------------------------------
第三方瀏覽器擴展:
IE>工具>Internet選>高級選項卡>啟用第三方瀏覽器擴展(需要重新啟動)
按此在新窗口打开图片

這個選項是確定FlashGet的工具欄、GOOGLE工具欄、SINA工具欄、3721工具欄等等能否在IE中出現的關鍵！