熹妃传厨艺:弹出窗口的问题

你中了一个叫“很棒”小秘书的玩意吧。浩方那垃圾地方就经常放这个垃圾软件。特征是广告链接后面有个？hb=……的玩意。可以注意一下。

hbhelper.dll和tbhelper.dll

病毒特征:流氓软件
中招症状:C:\Program Files目录下多一个目录名为HBClient,目录内有两个文件,分别 为hbhelper.dll和tbhelper.dll,,无法删除该目录和文件.
进程信息:进程内多一进程为:
"C:\WINDOWS\system32\rundll32.exe C:\Program Files\tbhelper.dll,WaitWindows"或
"C:\WINDOWS\system32\rundll32.exe C:\Program Files\hbhelper.dll,WaitWindows"
之类的,

手工处理过程:

1. 进入系统安全模式下,删除C:\Program Files\HBClient整个目录
2.查找注册表tbhelper.dll和hbhelper.dll相关键值键项,一一清除
3.查找CLSID为{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}的键项,,一一清除
4.清理%systemroont%Downloaded Program Files目录.

清理总结:

该流氓软件也是使用rundll32.exe系统进程调用,实现自身运行的目的.更要命的是,尽管只有两个文件,却在注册表N多地方留下痕迹.分别是:

[HKEY_CLASSES_ROOT\HBHelper.HBObject.1]
@="HBObject Class"

[HKEY_CLASSES_ROOT\HBHelper.HBObject.1\CLSID]
@="{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}"
[HKEY_CLASSES_ROOT\HBHelper.HBActivex.1]
@="HBActivex Class"

[HKEY_CLASSES_ROOT\HBHelper.HBActivex.1\CLSID]
@="{038318E8-0C2D-4DF5-A7AF-B4FB373F501E}"

[HKEY_CLASSES_ROOT\HBHelper.HBActivex]
@="HBActivex Class"

[HKEY_CLASSES_ROOT\TypeLib\{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}]

[HKEY_CLASSES_ROOT\TypeLib\{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}\1.0]
@="HBHelper 1.0 Type Library"

[HKEY_CLASSES_ROOT\TypeLib\{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}\1.0\0]

[HKEY_CLASSES_ROOT\TypeLib\{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}\1.0\0\win32]
@="C:\\PROGRA~1\\HBClient\\hbhelper.dll"

[HKEY_CLASSES_ROOT\TypeLib\{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}\1.0\FLAGS]
@="0"

[HKEY_CLASSES_ROOT\TypeLib\{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}\1.0\HELPDIR]
@="C:\\PROGRA~1\\HBClient\\"

[HKEY_CLASSES_ROOT\CLSID\{038318E8-0C2D-4DF5-A7AF-B4FB373F501E}\InprocServer32]
@="C:\\PROGRA~1\\HBClient\\hbhelper.dll"
"ThreadingModel"="both"

[HKEY_CLASSES_ROOT\HBHelper.HBActivex\CLSID]
@="{038318E8-0C2D-4DF5-A7AF-B4FB373F501E}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RichMedia"="C:\\WINDOWS\\system32\\Rundll32.exe\"C:\\PROGRA~1\\HBClient\\hbhelper.dll\",WaitWindows"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hbhelper]
"type"="1"
"DisplayName"="Rich Media"
"UninstallString"="regsvr32 /s /u C:\\PROGRA~1\\HBClient\\hbhelper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\RichMedia]
"demo"="0"
"count"="5"
"path"="C:\\PROGRA~1\\HBClient\\hbhelper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}]
@="HBObject Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}\InprocServer32]
@="C:\\PROGRA~1\\HBClient\\tbhelper.dll"
"ThreadingModel"="Apartment"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\hbhelper.dll\ProgID]
@="HBHelper.HBObject.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}\TypeLib]
@="{01FBE0BA-8FDF-4360-8AF3-A931FF140CD2}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}\VersionIndependentProgID]
@="HBHelper.HBObject"

TouchNet和FireFox 只是一个外壳,他们的核心还是IE
建议你用正版杀毒软件查杀病毒
svchost.exe进程
svchost.exe 存在 %windir%\system32\wins 下。

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒：1.可以去 wins 目录找找有无多余，2.可以搜搜windows文件夹中 svchost.exe 看看有几个（应为1个），3.tlist -s察看，4.也可以下载一个可以看带路径名的进程的浏览工具。
问：我的系统进程里有四个svchost.exe，听说有些木马就是伪装成系统的进程，不知道这个是不是？
答：svchost.exe 存在 %windir%\system32\wins 下。

如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒：1.可以去 wins 目录找找有无多余，2.可以搜搜windows文件夹中 svchost.exe 看看有几个（应为1个），3.tlist -s察看，4.也可以下载一个可以看带路径名的进程的浏览工具。

问：svchost.exe是起什么作用的进程?

答：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Servicef
CPU资源占用100％解决方法[推荐]
1、驱动没有经过认证，造成CPU资源占用100％。大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。

2、防杀毒软件造成故障。由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控，无疑增大了系统负担。

3、病毒、木马造成。大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法：使用最新的杀毒软件在DOS模式下进行杀毒。经常性更新升级杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。

4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键，改为手动。

5、关闭瑞星软件的“硬盘定时备份”项。卸载现有的瑞星程序，然后下载最新完整升级包，用WINRAR解开以后再安装。

6、开始－＞运行－＞msconfig－＞启动，关闭不必要的启动项，重启。

7、查看“svchost”进程。

Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个，而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。

如何才能辨别哪些是正常的Svchost.exe进程，而哪些是病毒进程呢？

Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，每个键值表示一个独立的Svchost.exe组。

微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。

如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

上面简单的介绍了Svchost.exe进程的相关情况。总而言之，Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。

8、查看网络连接。主要是网卡。

9、把网卡、显卡、声卡卸载，然后重新安装一下驱动。

10、重装系统、常用软件、当然也要装驱动，用几天看一下。若不会出现这种问题，再装上其他软件，但是最好是一个软件装完，先用几天。现会出现问题再接着装！

装一个雅虎助手