[病毒查杀] HBClient hbhelper.dll tbhelper.dll删除不了 上网时自动弹出一些网页 internet, 网页, files, 目录, 上网

现象：用傲游(maxthon)浏览器上网，上网时老是自动弹出一些网页，有时internet explorer浏览器会自动打开并登录一个网站。

原因：那是垃圾软件“很棒”小秘书弄的，这玩意不好清除，但是只是弹出广告，似乎还没有其他动作。如果实在想弄掉建议重装系统。
你看看那个广告链接最后肯定是：？hb=popunder_ad
hb就指的是这sb软件。

清除方法如下：
hbhelper.dll和tbhelper.dll

病毒特征:流氓软件
中招症状:c:\program files目录下多一个目录名为hbclient,目录内有两个文件,分别 为hbhelper.dll和tbhelper.dll,,无法删除该目录和文件.
进程信息:进程内多一进程为:
"c:\windows\system32\rundll32.exe c:\program files\tbhelper.dll,waitwindows"或
"c:\windows\system32\rundll32.exe c:\program files\hbhelper.dll,waitwindows"
之类的,

手工处理过程:

1.进入系统安全模式下,删除c:\program files\hbclient整个目录
2.查找注册表tbhelper.dll和hbhelper.dll相关键值键项,一一清除
3.查找clsid为{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}的键项,,一一清除
4.清理%systemroont%downloaded program files目录.

清理总结:

该流氓软件也是使用rundll32.exe系统进程调用,实现自身运行的目的.更要命的是,尽管只有两个文件,却在注册表n多地方留下痕迹.分别是:

[hkey_classes_root\hbhelper.hbobject.1]
@="hbobject class"

[hkey_classes_root\hbhelper.hbobject.1\clsid]
@="{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}"
[hkey_classes_root\hbhelper.hbactivex.1]
@="hbactivex class"

[hkey_classes_root\hbhelper.hbactivex.1\clsid]
@="{038318e8-0c2d-4df5-a7af-b4fb373f501e}"

[hkey_classes_root\hbhelper.hbactivex]
@="hbactivex class"

[hkey_classes_root\typelib\{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}]

[hkey_classes_root\typelib\{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}\1.0]
@="hbhelper 1.0 type library"

[hkey_classes_root\typelib\{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}\1.0\0]

[hkey_classes_root\typelib\{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}\1.0\0\win32]
@="c:\\progra~1\\hbclient\\hbhelper.dll"

[hkey_classes_root\typelib\{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}\1.0\flags]
@="0"

[hkey_classes_root\typelib\{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}\1.0\helpdir]
@="c:\\progra~1\\hbclient\\"

[hkey_classes_root\clsid\{038318e8-0c2d-4df5-a7af-b4fb373f501e}\inprocserver32]
@="c:\\progra~1\\hbclient\\hbhelper.dll"
"threadingmodel"="both"

[hkey_classes_root\hbhelper.hbactivex\clsid]
@="{038318e8-0c2d-4df5-a7af-b4fb373f501e}"

[hkey_local_machine\software\microsoft\windows\currentversion\run]
"richmedia"="c:\\windows\\system32\\rundll32.exe\"c:\\progra~1\\hbclient\\hbhelper.dll\",waitwindows"

[hkey_local_machine\software\microsoft\windows\currentversion\uninstall\hbhelper]
"type"="1"
"displayname"="rich media"
"uninstallstring"="regsvr32 /s /u c:\\progra~1\\hbclient\\hbhelper.dll"

[hkey_local_machine\software\richmedia]
"demo"="0"
"count"="5"
"path"="c:\\progra~1\\hbclient\\hbhelper.dll"



[hkey_local_machine\software\classes\clsid\{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}]
@="hbobject class"

[hkey_local_machine\software\classes\clsid\{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}\inprocserver32]
@="c:\\progra~1\\hbclient\\tbhelper.dll"
"threadingmodel"="apartment"

[-hkey_local_machine\software\classes\clsid\hbhelper.dll\progid]
@="hbhelper.hbobject.1"

[hkey_local_machine\software\classes\clsid\{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}\programmable]

[hkey_local_machine\software\classes\clsid\{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}\typelib]
@="{01fbe0ba-8fdf-4360-8af3-a931ff140cd2}"

[hkey_local_machine\software\classes\clsid\{ae22afe5-1ef4-4d25-9e23-d2825fb17da1}\versionindependentprogid]
@="hbhelper.hbobject"