今天打開OL和webuc.net的時候，總會自動彈出一個http://baby.aoe88.com/ad.html的廣告窗口，很是奇怪，當時也沒有留意，以為是寶玉找的域名商搞的鬼。后來再上別的網站的時候，那個該死的廣告又彈出來了，這下我才發覺自己中毒了。
于是，馬上運行Regedit.exe，切換到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects
發現有三個BHO（說明：BHO，即Browser Helper Objects，指的是瀏覽器的輔助模塊）的ID號：
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}——這是Adobe Acrobat Reader（用來處理PDF文件）的模塊。
{3E422F49-1566-40D3-B43D-077EF739AC32}—— 未知
{A5366673-E8CA-11D3-9CD9-0090271D075B}——這是網際快車（flashGet）的模塊。
復制未知模塊的ID號，把鍵值切換到：HKEY_CLASSES_ROOT下，點編輯->查找，在查找項目（僅選擇項）中輸入{3E422F49-1566-40D3-B43D-077EF739AC32}，將找到的CLSID項展中，雙擊左則的InprocServer32，右邊默認中將會顯示出這個CLSID對應的DLL文件位置和名稱，將其記錄下來。
查找完后，只有一個DLL文件：Navihelper.dll，于是進入winnt\system32下，找到該文件，查看其屬性中并沒有寫明所屬公司名稱及版權，初步可以確定就是這個DLL搗的鬼。用UltraEdit打開此DLL，發現了一個\host.dat的字符串，而且在winnt\system32下，能找到host.dat，最可疑的是該文件在今天剛剛被修改！
用UltraEdit打開host.dat，http://baby.aoe88.com/ad.html赫然在列！還有http://www.qu123.com/aoyu1.html等URL。至此，可以充分確定NaviHelper.dll就是罪魁禍首！
病毒原理分析：此Navihelper.dll使用BHO的方法在IE里注冊，打開IE時會自動從網站下載需要顯示的廣告，并將其保存在host.dat（數據庫：ThisfilecontainsanSQLite2.1database）中，根據數據庫設置進行顯示。
接下來的工作就變得非常簡單了。首先在注冊表里把Navihelper的鍵值全部查找出來并刪除。
然后，開始--運行，輸入：regsvr32 NaviHelper.dll -u
最后重新啟動計算機，再到system32下刪除NaviHelper.dll及Host.dat文件即可。
該文章轉載自Pc啦啦：http://www.pclala.com/Info/4387.Html