您当前的位置是： 服务器安全资讯网>反黑客>安全防御>

清除BHO的方法

来源：中国服务器安全网   时间:2007-11-23  作者：  点击：次  责任编辑：Flyfox
TAG:   清除 BHO   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

清除BHO的方法

今天打开OL和webuc.net的时候，总会自动弹出一个htpp://baby.aoe88.com/ad.html的广告窗口，很是奇怪，当时也没有留意，以为是宝玉找的域名商搞的鬼。后来再上别的网站的时候，那个该死的广告又弹出来了，这下我才发觉自己中毒了。

于是，马上运行Regedit.exe，切换到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects

发现有三个BHO（说明：BHO，即Browser Helper Objects，指的是浏览器的辅助模块）的ID号：

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——这是Adobe Acrobat Reader（用来处理PDF文件）的模块。

{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知

{A5366673-E8CA-11D3-9CD9-0090271D075B}——这是网际快车（FlashGet）的模块。

复制未知模块的ID号，把键值切换到：HKEY_CLASSES_ROOT下，点编辑->查找，在查找项目（仅选择项）中输入{3E422F49-1566-40D3-B43D-077EF739AC32}，将找到的CLSID 项展中，双击左则的InprocServer32，右边默认中将会显示出这个CLSID对应的DLL文件位置和名称，将其记录下来。

查找完后，只有一个DLL文件：Navihelper.dll，于是进入 winnt\system32下，找到该文件，查看其属性中并没有写明所属公司名称及版权，初步可以确定就是这个DLL捣的鬼。用UltraEdit打开此DLL，发现了一个\host.dat的字符串，而且在winnt\system32下，能找到host.dat，最可疑的是该文件在今天刚刚被修改！

用UltraEdit打开host.dat，htpp://baby.aoe88.com/ad.html赫然在列！还有htpp://www.qu123.com/aoyu1.html等URL。至此，可以充分确定NaviHelper.dll就是罪魁祸首！

病毒原理分析：此Navihelper.dll使用BHO的方法在IE里注册，打开IE时会自动从网站下载需要显示的广告，并将其保存在host.dat（数据库：ThisfilecontainsanSQLite2.1database）中，根据数据库设置进行显示。

接下来的工作就变得非常简单了。首先在注册表里把Navihelper的键值全部查找出来并删除。

然后，开始--运行，输入：regsvr32 NaviHelper.dll -u

最后重新启动计算机，再到system32下删除NaviHelper.dll及Host.dat文件即可。

上一篇：从钓鱼与BHO角度看在线支付安全问题 下一篇：两个防SQL注入过滤代码