用户登陆
最新评论
文章搜索
揭开IE自动弹出广告谜(www.139Love.com)昨天在绿洲那玩他的计算机时发现他的IE过一会总会自动弹出一个www.139love.com之类的广告,很是奇怪,当时也没有留意。
刚才在试用GOOGLE的工具条时打开了IE的启用第三方浏览器扩展后发现我的IE也开始弹出广告了,很是奇怪,于是开始怀疑是GOOGLE的广告,因为绿洲的计算机上也有一个GOOGLE工具条,于是拿出偶的杀手法宝:Regedit.exe,运行注册表工具,切换到:
键值下,发现有四个BHO助手ID号,已知的有两个GOOGLE工具条和FLASHGET的。还有两个未知。复制这四个ID到记事本内,以便查找,把键值切换到:
下,点编辑->查找,在查找项目(仅选择项)中分别键入这几个ID分别查找,将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,分别记录下来。
查找完后,只有一个DLL文件:Navihelper.dll (和GOOGLE工具条没有关系)比较陌生,于是进入windows\system32下找到这个文件,查看其属性中并没有写明公司名称及版权,初步确定就是这个DLL捣的鬼。用UltraEdit打开此DLL,搜索http://,发现了两个网址:
及一个\host.dat的字符串,在同一目录下找到host.dat,用UltraEdit打开一看,http://www.139love.com就在其中,确认 NaviHelper.dll 就是罪魁祸首!
原理分析:此DLL为IE的助手(BHO),打开IE时会自动从网站下载需要显示的广告,将其保存在host.dat(数据库:This file contains an SQLite 2.1 database)中,根据数据库设置进行显示,其数据库下载地址为: http://bar.iebar8.com/host.dat,之前之所以没有出现,是因为我的第三方浏览器扩展一直没有启用。
处理方法:开始>运行 输入:regsvr32 NaviHelper.dll -u 然后重新启动计算机,再到system32下删队NaviHelper.dll及Host.dat文件即可。
---------------------------------------------------------------------------
第三方浏览器扩展:
IE>工具>Internet选>高级选项卡>启用第三方浏览器扩展(需要重新启动)
这个选项是确定FlashGet的工具栏、GOOGLE工具栏、SINA工具栏、3721工具栏等等能否在IE中出现的关键!
-------------------------------------------
部分网友反馈信息表明:此139Love不仅仅使用DLL这一种方式,还使用了注册表Run项下的msstart项启动,如果您查找不到这个DLL文件,那么就请您删除Run下的Msstart项。感谢网友们的反馈!
刚才在试用GOOGLE的工具条时打开了IE的启用第三方浏览器扩展后发现我的IE也开始弹出广告了,很是奇怪,于是开始怀疑是GOOGLE的广告,因为绿洲的计算机上也有一个GOOGLE工具条,于是拿出偶的杀手法宝:Regedit.exe,运行注册表工具,切换到:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
键值下,发现有四个BHO助手ID号,已知的有两个GOOGLE工具条和FLASHGET的。还有两个未知。复制这四个ID到记事本内,以便查找,把键值切换到:
Code:
HKEY_CLASSES_ROOT
下,点编辑->查找,在查找项目(仅选择项)中分别键入这几个ID分别查找,将找到的CLSID项展中,双击左则的InprocServer32,右边默认中将会显示出这个CLSID对应的DLL文件位置和名称,分别记录下来。
查找完后,只有一个DLL文件:Navihelper.dll (和GOOGLE工具条没有关系)比较陌生,于是进入windows\system32下找到这个文件,查看其属性中并没有写明公司名称及版权,初步确定就是这个DLL捣的鬼。用UltraEdit打开此DLL,搜索http://,发现了两个网址:
Code:
http://bar.iebar8.com/host.dat
http://www.netscape.com/newsref/std/cookie_spec.html
http://www.netscape.com/newsref/std/cookie_spec.html
及一个\host.dat的字符串,在同一目录下找到host.dat,用UltraEdit打开一看,http://www.139love.com就在其中,确认 NaviHelper.dll 就是罪魁祸首!
原理分析:此DLL为IE的助手(BHO),打开IE时会自动从网站下载需要显示的广告,将其保存在host.dat(数据库:This file contains an SQLite 2.1 database)中,根据数据库设置进行显示,其数据库下载地址为: http://bar.iebar8.com/host.dat,之前之所以没有出现,是因为我的第三方浏览器扩展一直没有启用。
处理方法:开始>运行 输入:regsvr32 NaviHelper.dll -u 然后重新启动计算机,再到system32下删队NaviHelper.dll及Host.dat文件即可。
---------------------------------------------------------------------------
第三方浏览器扩展:
IE>工具>Internet选>高级选项卡>启用第三方浏览器扩展(需要重新启动)
这个选项是确定FlashGet的工具栏、GOOGLE工具栏、SINA工具栏、3721工具栏等等能否在IE中出现的关键!
-------------------------------------------
部分网友反馈信息表明:此139Love不仅仅使用DLL这一种方式,还使用了注册表Run项下的msstart项启动,如果您查找不到这个DLL文件,那么就请您删除Run下的Msstart项。感谢网友们的反馈!
[本日志由 飘雪 于 2004-12-25 05:14 PM 编辑]
引用通告地址 (1):
http://www.pxue.com/trackback.asp?tbID=144
http://www.pxue.com/trackback.asp?tbID=144&CP=GBK
