最“流氓”的流氓软件 很棒小秘书

　　这两天碰到一个很流氓的软件——很棒小秘书。缘由可能是过年时候安装了一次下载版的“反恐精英”。当时想上浩云的，不过单机可玩，网战却不行。当时心里就有点感觉不对劲，全机扫了一回毒，又用什么清除流氓软件之类的扫了扫，以为没事了……

　　这几天觉得ie开的比平时好像要慢一些，便用msconfig查看了启动项，发现有一个陌生的打勾的项——hbhelper.dll。当时也没有觉得什么，上网查了查，了解到是一个什么“很棒小秘书”的流氓软件加进电脑的，好像用最新版的“超级兔子”就能搞定。想想手工杀实在是麻烦，再说“超级兔子”名声还不错，于是乎，下一个吧。

　　你还真别说，这兔子还真有两下子，用ie修复的选项，一下子就发现了“hbhelper.dll”，再“一键清除”然后提示：要用兔子的卸载软件卸载，“行哎，不就是‘很棒小秘书’嘛”，虽然显示没发现，我再删一次又有什么关系呢。再到“msconfig”里把前面那个勾去掉，OK！

　　我笑的太早了，冲浪还没有两分钟，再查“msconfig”，居然前面那个勾又勾上了。真TMD，这是怎么回事？

　　再上网查，发现有很多帖子遇到的是同样的问题——杀不死这个“hbhelper”。原来是还有一个程序在作怪——“hbmter.dll”，这个好像是母程序，不停的产生新的"hbhelper"，那就杀呗。还删不掉——没关系，我进安全模式删：重启电脑，按F8，选“安全模式”，再到C:\WINDOWS\SYSTEM32\，删掉它！嘿嘿，轻而易举嘛。再重启回正常模式，上线，开ie，坏了，怎么什么网都打不开了？心里一阵恐慌，还好还好，那个“hbmter”还在垃圾箱，赶快拾回来，现在是不管什么木马不木马了，上不了网还了得。这里我总结一个教训——就是什么东西先放到垃圾箱，确定没有危险了，再彻底删除。

　　这又是怎么回事呢？再上网查“hbmter”，又发现好多人和我有同样的遭遇，同情中……

　　终于发现有用的帖子了，原来只有一个临时的方法解决，同时还要用到DOS命令。（头都大！！！）

　　现在就把我干了一天一夜的经验奉献给同样遇到困难的和我一样的菜鸟们：

　　1、下载“超级兔子”最新版，一定要下，因为后面我遇到了一个情况，非它不能解决。

　　2、到http://cexx.org/LSPFix.exe下载LSPFix.exe。因为后面不能开ie，所以一定要先下。

　　3、重启电脑，按F8，进安全模式。

　　4、运行超级兔子，用Ie修复专家，杀掉“hbhelper”。我看的帖子是进入xp的DOS下删，也行。

　　5、到C：\下，右键新建一个文本文件，什么都不写，保存为所有格式，文件名为“hbhelper.dll”

　　6、点击“开始”——“运行”——输入CMD，进dos窗口。

　　7、输入下列文字“MOVE C:\hbhelper.dll C:\WINDOWS\DOWNLO~1\”。回车。

　　8、输入下列文字“cd C:\WINDOWS\DOWNLO~1\”，回车，输入“DIR”，用鼠标拖动右边的滑动条，你会发现有一个文件“hbhelper.dll”，前面表示0字节。

　　9、输入文字“attrib +s +r hbhelper.dll”，回车。

　　10、输入文字“del C:\WINDOWS\hhelp.dll”。注：以上输入都不包括双引号。

　　11、关闭窗口。点击“开始”——“运行”——输入regedit，点击“编辑”——“查找”，输入“RICHMEDIA”，把查到的东东统统的删掉。

　　12、重启电脑，进入正常模式。

　　13、切记，不能开ie。运行前面下载的“LSPFix.exe”，先在“I know……”前面打勾。然后把“hbmter”点到右边去。拖动右边的滑动条，你会看到右下角有一个“finish”，点击它。好了，恭喜你，你已经搞定这个流氓软件了。

　　后记：网上找到的资料有很多有错误。第一，超级兔子干不掉“hbmter.dll”，也就是杀不死这个病毒。第二，如果你没有超级兔子的话，在第7步，如果不幸要有反复的话，电脑总是提示你：“有重名文件，或找不到文件”。可是你用dir却看不到“hbhelper.dll”，用del也删不掉。这时候，超级兔子就很有用了，用它就能找到并删除。原因我现在还没有搞清楚，万分感谢不吝赐教。第三，“hbmter.dll”这个软件是和“winsock”捆绑在一起的，如果你删掉的话，你上网就打不开网页了。虽然有一种说法是重装“TCP\IP”，不过我没有试过。第四，其实“LSPFix.exe”也没有删掉“hbmter.dll”，好像只是修改了其中的一些内容，我想，这真是这个软件流氓的所在，它把自己捆绑在你上网必须的文件中，要你不能动它，进退两难。好了，我把我这两天的辛勤成果奉献给大家，这中间很辛苦，我甚至赶着学习了些DOS内容，望能给你们有帮助。祝好运！

　　另一种方法：

　　1首先进如安全模式.注意不要打开ie.

　　2用进程管理器首先关掉。rundll32启动的hbhelper.dll

　　3删除掉C:\Program Files\hbclient目录

　　4手动或用工具删除启动项目里的richmedia启动hbhelper.dll的启动项.

　　5进如注册表编辑器搜索richmedia和hbhelper删除所有的相关注册表值.大概有10多个吧.

　　6找个好用的没有中过hbhelper的机器,备份好好用的机器的注册表项目.下面键值(以后待用)

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]

　　7然后，用dos启动盘或者maxdos等支持dos启动的软件进入dos模式。要是nt分区请启ntfsdos（删除如下两个文件)

　　C:\WINDOWS\Downloaded Program Files\hbhelper.dll

　　C:\windows\system32\hbmter.dll

　　8进如目录恢复模式启动机器.这时候打开ie是不好用的。最后导入先前备份好的正确安全的注册表项。(e129)