很棒小秘书利用svchost.exe装载了一个在windows\system32\hbmter.dll。
这个DLL是一个winsock2 SPI,所以当大家上网第一次打开ie时,hbmter.dll就会重新copy hbhelper.dll进去C:\WINDOWS\Downloaded Program Files
删除的方法如下,
1首先进如安全模式.注意不要打开ie.
2用进程管理器首先关掉。rundll32启动的hbhelper.dll
3删除掉C:\Program Files\hbclient目录
4手动或用工具删除启动项目里的richmedia启动hbhelper.dll的启动项.
5进如注册表编辑器搜索richmedia和hbhelper删除所有的相关注册表值.大概有10多个吧.
6找个好用的没有中过hbhelper的机器,备份好好用的机器的注册表项目.下面键值(以后待用)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]
7然后,用dos启动盘或者maxdos等支持dos启动的软件进入dos模式。要是nt分区请启ntfsdos(删除如下两个文件)
C:\WINDOWS\Downloaded Program Files\hbhelper.dll
C:\windows\system32\hbmter.dll
8进如目录恢复模式启动机器.这时候打开ie是不好用的。最后导入先前备份好的正确安全的注册表项 |
|
