» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 干掉很棒小秘书 hbhelper   作者: 标题: 干掉很棒小秘书 hbhelper heguo 新手上路 新手上路 积分 12 发帖 12 注册 2006-1-22 #1  干掉很棒小秘书 hbhelper   Quote: 很棒小秘书利用svchost.exe装载了一个在windows\system32\hbmter.dll。 这个DLL是一个winsock2 SPI，所以当大家上网第一次打开ie时，hbmter.dll就会重新copy hbhelper.dll进去C:\WINDOWS\Downloaded Program Files 删除的方法如下， 1首先进如安全模式.注意不要打开ie. 2用进程管理器首先关掉。rundll32启动的hbhelper.dll 3删除掉C:\Program Files\hbclient目录 4手动或用工具删除启动项目里的richmedia启动hbhelper.dll的启动项. 5进如注册表编辑器搜索richmedia和hbhelper删除所有的相关注册表值.大概有10多个吧. 6找个好用的没有中过hbhelper的机器,备份好好用的机器的注册表项目.下面键值(以后待用) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries] 7然后，用dos启动盘或者maxdos等支持dos启动的软件进入dos模式。要是nt分区请启ntfsdos（删除如下两个文件) C:\WINDOWS\Downloaded Program Files\hbhelper.dll C:\windows\system32\hbmter.dll 8进如目录恢复模式启动机器.这时候打开ie是不好用的。最后导入先前备份好的正确安全的注册表项 是否中了hbhelper(很棒小秘书)的招？尝试恶意软件清除工具1.8在win2000安全模式下清除无效。 拆招： 请先参照微点技术群3 危星用户 同学转发的上面这篇文章.补充一下： 1.如果没有DOS，那就用微点结束进程树。微点可以无条件终止任何进程，但万一不幸结束了系统进程，系统将读秒提示将在59秒后自动重启，这样你就只有1分钟的时间内做完要做的事。 我们要做的事就是结束在内存中加载的hbmter.dll，并删除之。 开个cmd窗口:del c:\winnt\system\hbmter.dll不停地重试，如果结束掉了所有加载hbmter.dll的进程，就可以将hbmter.dll顺利删除，而不必启用DOS或安全模式。 如果你重启后想参考本页第2步的话，对不起，你的电脑已经无法访问网站了，除非你恢复hbmter.dll文件。 2.终止rundll "hbhelper.dll"进程,删除hbhelper.dll。微点可以看到蓝色的hbhelper.dll进程，信息如下： hbhelper.dll        Explorer插件        其他软件        文件不存在(C:\WINNT\DOWNLO~1\hbhelper.dll) 虽然显示系统文件，显示隐藏文件都无法看到hbhelper.dll，但事实上，经本人“无赖探索”，这个文件是存在的！用:attrib c:\winnt\DOWNLO~1\*.* 即可看到。哇，流氓软件还不止一个！ 一不做二不休，copy c:\winnt\DOWNLO~1\*.* d:\bak        备份，将它们全部删除！ attrib c:\winnt\DOWNLO~1\*.* -r del c:\winnt\DOWNLO~1\*.* 3.然后再慢慢地删除注册表中所有存在hbhelper hbobject hbactivex richmedia相关的键。不终止以上那两个进 程删注册表是徒劳的，我都快疯掉了。这种程序真是太无耻了！微点应该高举正义之旗，不能对这种无良的程序妥协。 4.重启。。。。祝我(免费有理)好运。。。。 5.导入注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]正确键值，重启电脑恢复上网能力。 6.宰草除根，不见为净：hap.log  hber.ini  hbhsy.ini  hbmter.dll hb24065.log  HBClient [ Last edited by heguo on 2006-4-15 at 02:18 ] ※ ※ ※ 本文纯属【heguo】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-4-14 22:07 囚中城 版主 微点茶室甜点师 积分 3808 发帖 3688 注册 2006-1-3 来自 拿灵魂换生命的地方 #2   不错不错，还写个帖子让大家共享 ※ ※ ※ 本文纯属【囚中城】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-4-15 13:01 aidi 中级用户 新手上路 积分 256 发帖 221 注册 2006-3-6 #3   学习中loading...... ※ ※ ※ 本文纯属【aidi】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-4-17 09:49 sxh_sxh 版主 灌水区版主 积分 818 发帖 810 注册 2005-12-10 #4   很好谢谢！！！ ※ ※ ※ 本文纯属【sxh_sxh】个人意见，与【 微点交流论坛 】立场无关※ ※ ※    偶真想* 2006-4-17 10:29 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号