1、运行regedit，打开到
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl
orer\BrowserHelperObjects
    这里有数个BHO的ID号： {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Adobe Acrobat Reader{3E422F49-1566-40D3-B43D-077EF739AC32} 未知{A5366673-E8CA-11D3-9CD9-0090271D075B} 网际快车（FlashGet）{AA58ED58-01DD-4d91-8333-CF10577473F7} Google Toolbar{E5A1691B-D188-4419-AD02-90002030B8EE} FlashFXP
    2、复制未知BHO的ID号，到HKEY_CLASSES_ROOT下进行搜索，将找到的CLSID项展开，双击InprocServer32，右侧将会显示出这个CLSID对应的DLL文件位置winnt\system32和名称Navihelper.dll，将其记录下来。
   （可能未知ID名称会有所不同，一定要搜索所有的未知ID，以便彻底清洁）
    3、用UltraEdit打开此Navihelper.dll，发现了一个host.dat的字符串，而且在winnt\system32下。用UltraEdit打开host.dat，可以看到数个广告地址，这无疑就是恶意弹出广告的来源了。
    4、首先在注册表里把{3E422F49-1566-40D3-B43D-077EF739AC32}和Navihelper的键值全部查找出来并删除。然后，开始，运行，输入：“regsvr32 NaviHelper.dll -u”。最后重新启动计算机，到winnt\system32下删除NaviHelper.dll及Host.dat文件即可。
    流氓软件原理分析：此Navihelper.dll使用BHO（这个东东实在太强大了）的方法在IE里注册，打开IE时会自动从网站下载需要显示的广告，并将其保存在host.dat中，然后根据host.dat的设置在用户使用IE的时候显示广告。
    想起CTO Tony讲的一句话，当恶性软件制造者从他们的工作中获取到足够多利益的时候，他们的行为就会在经济利益的驱使下形成了一种正向循环，会让良性软件制造者无从应对，最好的办法是从一开始就加大他们的成本降低他们的收入。