WNTBAC广告插件：

类型：广告插件

描述：强制安装、无法彻底删除

背景：今年11月份新出的恶意插件――“WNTBAC广告插件”非常流氓。在360举报中心、360论坛、360安全中心等多处被举报，但截止目前为止，包括360在内的专业机构均未提供较好的解决方案。 

常见现象：

浏览网站时，发现系统给出“此域名已经过期，请及时续费！”提示自动跳转到其它站点，如“商业目录网-最全的自由搜索网”（http://www.soufree.com）。用Google等搜索想要访问的站点时，打开还是其它恶意跳转的站点。

主要表现：

1、  打开一个网站会自动跳转到另一个网站，并不停地下载木马到用户电脑上。

2、  通过360安全卫士最新版本V6.1查杀时，往往360安全卫士没有响应并且无法正常关闭360。重启后，该“恶评插件”仍然存在。

3、  多数工具，如Windows清理助手、瑞星卡卡上网安全助手、IE助手、3721上网助手之IE修复专家、顽固木马专杀等工具，均无法彻底清除。

4、  用regedit打开注册表，在注册表搜索不到与“WNTBAC”相关项。

5、  在Windows任务管理器，查看不到相关活动进程。

6、  SBHOSEA.dll是它的一个文件（C:\WINDOWS\system32\SBHOSEA.dll）。利用粉碎工具，通常会生成一个kk.dll动态链接文件，该文件有木马、下载者、其它广告插件等诸多功能。 

查杀过程：

1、  升级360安全卫士至最新版本

2、  开始“清理插件”

3、  360安全卫士会查出系统存在“WNTBAC广告插件”

4、  复选上“WNTBAC广告插件”，点击“立即清理”

5、  这时，360安全卫士显示无法响应状态，并且无法正常关闭。

6、  此时，请耐心等待，不要强行关闭360安全卫士。实践证明：笔者从2009年12月22日（星期二）21：27开始，到21：54时，发现“WNTBAC广告插件”已经被360安全卫士清除。

7、  “重新扫描”未发现“WNTBAC广告插件”。系统恢复正常。

建议：

1、  中马后不要登录任何带有密码地方的东西，可立即断网不会造成更大的伤害。

2、  最佳解决办法：打开360，查恶意插件，查到后清除。360会显示卡死状态时，请耐心等待，360会在半个小时左右才能清除它。

延伸阅读：

什么是插件？

插件是指会随着IE浏览器的启动自动执行的程序，例如随IE自动加载的工具条，BHO，URLSearchhook，ActiveXDownload等。因为插件程序由不同的发行商发行，其技术水平也良莠不齐，插件程序很可能与其它运行中的程序发生冲突，从而导致诸如各种页面错误，运行时间错误等等现象，阻塞了正常浏览。有些插件程序能够帮助用户更方便浏览因特网或调用上网辅助功能，也有部分程序被人称为广告软件(Adware)或间谍软件(Spyware)。此类恶意插件程序会监视用户的上网行为，并把所记录的数据报告给插件程序的创建者，以达到投放广告、盗取游戏或银行帐号密码等非法目的。（信息安全博客群）