最近有一種化妝成 BHO(Browser Helper Objects) 的惡意代碼出現了，現有的殺毒軟體和防火牆以及反木馬軟體好像不能對付，(誰發現了能對付這種代碼的殺毒軟體，告訴我哦！)，下面的資料是部分是我的經驗，部分資料是從網際網路上搜索來得，算是一個解決方案吧。

電腦現象：電腦打開網頁時，自動彈出一個叫什麼「女生宿舍」的網頁。

基本分析：我有屏蔽彈出廣告和保護註冊表的軟體，而且防火牆和殺毒軟體沒有報警，所以基本上可以肯定不是簡單的註冊表修改，估計病毒是偽裝成什麼合法的組件修改了註冊表。

通過網際網路搜索，知道這種惡意代碼是偽裝成 BHO 感染註冊表的。

解決方案：

運行註冊表工具，切換到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

鍵值下，發現有四個 BHO 助手 ID 號，已知的有兩個 GOOGLE 工具條和 FLASHGET 的。還有兩個未知。複製這四個 ID 到記事本內，以便查找，把鍵值切換到：

HKEY_CLASSES_ROOT

下，點編輯->查找，在查找項目(僅選擇項)中分別鍵入這幾個 ID 分別查找，將找到的 CLSID 項展中，雙擊左則的 InprocServer32，右邊默認中將會顯示出這個 CLSID 對應的 DLL 文件位置和名稱，分別記錄下來。

查找完後，只有一個 DLL 文件：Navihelper.dll (和 GOOGLE 工具條沒有關係)比較陌生，於是進入windows\system32 下找到這個文件，查看其屬性中並沒有寫明公司名稱及版權，初步確定就是這個 DLL 搗的鬼。用 UltraEdit 打開此 DLL，搜索 http://，發現了兩個網址：

http://bar.iebar8.com/host.dat
http://www.netscape.com/newsref/std/小甜餅_spec.html

及一個 \host.dat 的字符串，在同一目錄下找到 host.dat，用 UltraEdit 打開一看，http://www.139love.com 就在其中，確認 NaviHelper.dll 就是罪魁禍首！

原理分析：此 DLL 為 IE 的助手(BHO)，打開 IE 時會自動從網站下載需要顯示的廣告，將其保存在host.dat(數據庫：This file contains an SQLite 2.1 database)中，根據數據庫設置進行顯示，其數據庫下載地址為：http://bar.iebar8.com/host.dat，之前之所以...

處理方法：開始>運行 輸入：regsvr32 NaviHelper.dll -u 然後重新啟動計算機，再到 system32 下刪除NaviHelper.dll 及 Host.dat 文件即可。使用XP安裝了SP2的朋友可以直接在 IE 的加載項管理中將NaviHelperObj Class 禁用就 OK。

提醒大家，這種惡意代碼是不是傳統意義上的修改註冊表，它把自己偽裝成 BHO，普通的註冊表保護軟體無效；因為它只是感染註冊表，所以也不是傳統意義上的病毒，殺毒軟體也無效；它是利用你的瀏覽器端口下載數據，估計反木馬軟體也無效。建議大家監視HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 並觀察相關 CLSID 的指向的 DLL 是否正常，必要時可以使用 UltraEdit 打開 DLL，搜索是否含有 http:// 字符串。如果是病毒 DLL，立即刪除，如果發現 Windows 保護 DLL，可以使用 regsvr32 動態鏈接庫名字 -u 的命令行註銷這個 DLL，重起後刪除。