如果你在你的系统进程里找到:advapi32.exe这是一个盗取游戏帐号的木马!这个不受欢迎的东西和MyIMLite有点关系,可能是以前%System%\\MyIMLite的升级版本吧。还不算是病毒,不过从它的一些“行为”来看,已经很有点“病毒化”了,举几点说一下吧,比如它用的文件名advapi32.exe和avicap32.exe,和系统文件就很相近,迷惑用户吗?还有它的图标(IE页面图标),还有呢,它故意安装在系统一个比较特殊的目录Downloaded Program Files下面,让人一般无法直接查看和删除它的文件,另外它还对进程做了保护,不让人随便结束掉它的进程……
这个东西是安装在Downloaded Program Files目录下的0319目录里,在%Windows%目录下还建立backup目录,里面放的是它的主要文件,应该就是用来做“备份”的吧。通过对这东西几个文件的初步分析,它应该是MyIMLite的程序,怎么说呢,可以暂时算做广告程序吧,它可通过myim站点进行更新,在系统启动项里建立若干启动项,创建BHO,在Explorer.exe进程里插入lineback.dll(应该是起进程保护作用的吧),等等……
清除
方法1
1. 关闭所有浏览器窗口,尽量关闭其它应用程序
2. 结束Explorer.exe进程
3. 结束Explorer.exe进程后,桌面及任务栏会消失,然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4. 确认avicap32.exe和advapi32.exe进程都已不存在,那么可将Explorer.exe再进行起来,恢复桌面和任务栏
5. 运行 FixISC0319.bat (可从网上下载)
方法2
1. 关闭所有浏览器窗口,尽量关闭其它应用程序
2. 结束Explorer.exe进程(用procexp结束,附件里有)
3. 结束Explorer.exe进程后,桌面及任务栏会消失,然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4. 确认avicap32.exe和advapi32.exe进程都已不存在,那么可将Explorer.exe再进行起来,恢复桌面和任务栏
5. 运行 FixISC0319.bat
(如无法运行,请尝试手工操作:
1、删除系统当前用户临时文件夹Temp下的backup和%Windows%下的backup文件夹,Downloaded Program Files/0319目录请在DOS下删除
2、删除病毒对注册表所作的更改:
HKEY_CURRENT_USER\\Software\\advapi32.exe
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
下的含有advapi32.exe的键值)
方法3
1. 重启进入安全模式(启动时按F8)
2. 删除下列文件1) windows\\backup\\*.*
2) windows\\prefetch\\advapi32*.* avicap32*.*
3) window\\system32\\MyIMLite\\*.*(如果有的话,似乎这就是源头)
4) windows\\downloaded program files\\0319\\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),可采用以下方法搞定:首先 点 开始 /运行/ 键入cmd /确定接下来 cd d:回车接下来 del c:\\advapi32.exe/s/a 回车接下来 del c:\\av1cap32.exe/s/a 回车接下来 del c:\\MuSearch.dll/s/a 回车
3. 删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下:首先 点 开始 /运行/ 键入regedit 确定然后 点 编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找,找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔 !!!)
4. 清除所有cookies,internet临时文件
5. 重新启动
最近的木马变种:advapi32.exe和avicap32.exe已经在网上流传一段时间了,但没看到什么恶性事件就没在意。直到自己遭遇了,才知道有多烦人。还好我的瑞星经常保持更新病毒库,所以感染了advapi32.exe后都及时隔离,没有什么大的损失,但每2~3分钟一提示发现这个病毒也太影响心情了。简单的删除不能凑效,go了些彻底清除的方法与大家分享(对高手很低级,别见笑)
如果你在你的系统进程里找到:advapi32.exe和avicap32.exe。那就恭喜你中木马了。据说这是一个盗取游戏帐号的木马!这个不受欢迎的东西和MyIMLite有点关系,可能是以前%System%\\MyIMLite的升级版本吧。还不算是病毒,不过从它的一些“行为”来看,已经很有点“病毒化”了,举几点说一下吧,比如它用的文件名advapi32.exe和avicap32.exe,和系统文件就很相近,迷惑用户吗?还有它的图标(IE页面图标),还有呢,它故意安装在系统一个比较特殊的目录DownloadedProgramFiles下面,让人一般无法直接查看和删除它的文件,另外它还对进程做了保护,不让人随便结束掉它的进程……
这个东西是安装在DownloadedProgramFiles目录下的0319目录里,在%Windows%目录下还建立backup目录,里面放的是它的主要文件,应该就是用来做“备份”的吧。通过对这东西几个文件的初步分析,它应该是MyIMLite的程序,怎么说呢,可以暂时算做广告程序吧,它可通过myim站点进行更新,在系统启动项里建立若干启动项,创建BHO,在Explorer.exe进程里插入lineback.dll(应该是起进程保护作用的吧),等等……
清除
方法1
1.关闭所有浏览器窗口,尽量关闭其它应用程序
2.结束Explorer.exe进程
3.结束Explorer.exe进程后,桌面及任务栏会消失,然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4.确认avicap32.exe和advapi32.exe进程都已不存在,那么可将Explorer.exe再进行起来,恢复桌面和任务栏
5.运行FixISC0319.bat(可从网上下载)
方法2
1.关闭所有浏览器窗口,尽量关闭其它应用程序
2.结束Explorer.exe进程(用procexp结束,附件里有)
3.结束Explorer.exe进程后,桌面及任务栏会消失,然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4.确认avicap32.exe和advapi32.exe进程都已不存在,那么可将Explorer.exe再进行起来,恢复桌面和任务栏
5.运行FixISC0319.bat
(如无法运行,请尝试手工操作:
1、删除系统当前用户临时文件夹Temp下的backup和%Windows%下的backup文件夹,DownloadedProgramFiles/0319目录请在DOS下删除
2、删除病毒对注册表所作的更改:
HKEY_CURRENT_USER\\Software\\advapi32.exe
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
下的含有advapi32.exe的键值)
方法3
1.重启进入安全模式(启动时按F8)
2.删除下列文件1)windows\\backup\\*.*
2)windows\\prefetch\\advapi32*.*avicap32*.*
3)window\\system32\\MyIMLite\\*.*(如果有的话,似乎这就是源头)
4)windows\\downloadedprogramfiles\\0319\\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),可采用以下方法搞定:首先点开始/运行/键入cmd/确定接下来cdd:回车接下来delc:\\advapi32.exe/s/a回车接下来delc:\\av1cap32.exe/s/a回车接下来delc:\\MuSearch.dll/s/a回车
3.删除注册表中与advapi32.exeavicap32.exeMuSearch.dll相关的键值,步骤如下:首先点开始/运行/键入regedit确定然后点编辑/查找/分别键入advapi32.exeavicap32.exeMuSearch.dll进行查找,找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔!!!)
4.清除所有cookies,internet临时文件
5.重新启动
最近的木马变种:advapi32.exe和avicap32.exe已经在网上流传一段时间了,但没看到什么恶性事件就没在意。直到自己遭遇了,才知道有多烦人。还好我的瑞星经常保持更新病毒库,所以感染了advapi32.exe后都及时隔离,没有什么大的损失,但每2~3分钟一提示发现这个病毒也太影响心情了。简单的删除不能凑效,go了些彻底清除的方法与大家分享(对高手很低级,别见笑)
如果你在你的系统进程里找到:advapi32.exe和avicap32.exe。那就恭喜你中木马了。据说这是一个盗取游戏帐号的木马!这个不受欢迎的东西和MyIMLite有点关系,可能是以前%System%\\MyIMLite的升级版本吧。还不算是病毒,不过从它的一些“行为”来看,已经很有点“病毒化”了,举几点说一下吧,比如它用的文件名advapi32.exe和avicap32.exe,和系统文件就很相近,迷惑用户吗?还有它的图标(IE页面图标),还有呢,它故意安装在系统一个比较特殊的目录Downloaded Program Files下面,让人一般无法直接查看和删除它的文件,另外它还对进程做了保护,不让人随便结束掉它的进程……
这个东西是安装在Downloaded Program Files目录下的0319目录里,在%Windows%目录下还建立backup目录,里面放的是它的主要文件,应该就是用来做“备份”的吧。通过对这东西几个文件的初步分析,它应该是MyIMLite的程序,怎么说呢,可以暂时算做广告程序吧,它可通过myim站点进行更新,在系统启动项里建立若干启动项,创建BHO,在Explorer.exe进程里插入lineback.dll(应该是起进程保护作用的吧),等等……
清除
方法1
1. 关闭所有浏览器窗口,尽量关闭其它应用程序
2. 结束Explorer.exe进程
3. 结束Explorer.exe进程后,桌面及任务栏会消失,然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4. 确认avicap32.exe和advapi32.exe进程都已不存在,那么可将Explorer.exe再进行起来,恢复桌面和任务栏
5. 运行 FixISC0319.bat (可从网上下载)
方法2
1. 关闭所有浏览器窗口,尽量关闭其它应用程序
2. 结束Explorer.exe进程(用procexp结束,附件里有)
3. 结束Explorer.exe进程后,桌面及任务栏会消失,然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4. 确认avicap32.exe和advapi32.exe进程都已不存在,那么可将Explorer.exe再进行起来,恢复桌面和任务栏
5. 运行 FixISC0319.bat
(如无法运行,请尝试手工操作:
1、删除系统当前用户临时文件夹Temp下的backup和%Windows%下的backup文件夹,Downloaded Program Files/0319目录请在DOS下删除
2、删除病毒对注册表所作的更改:
HKEY_CURRENT_USER\\Software\\advapi32.exe
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
下的含有advapi32.exe的键值)
方法3
1. 重启进入安全模式(启动时按F8)
2. 删除下列文件1) windows\\backup\\*.*
2) windows\\prefetch\\advapi32*.* avicap32*.*
3) window\\system32\\MyIMLite\\*.*(如果有的话,似乎这就是源头)
4) windows\\downloaded program files\\0319\\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),可采用以下方法搞定:首先 点 开始 /运行/ 键入cmd /确定接下来 cd d:回车接下来 del c:\\advapi32.exe/s/a 回车接下来 del c:\\av1cap32.exe/s/a 回车接下来 del c:\\MuSearch.dll/s/a 回车
3. 删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下:首先 点 开始 /运行/ 键入regedit 确定然后 点 编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找,找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔 !!!)
4. 清除所有cookies,internet临时文件
5. 重新启动