小剑恶魔心-EVA剑心 BloG-advapi32.exe这个木马有点坏

advapi32.exe这个木马有点坏

Friday, 2005-4-29 06:55 — EVA剑心 —

昨天上着上着网就发现我的“马桶”居然无法组织弹出广告了？右下也不时出现如QQ广告的东西。
开始以为是浏览的网站和qq的广告。
但越用越不对劲！有些网站根本就没这样广告的。
查看下进程。o yeah！多了两个新家伙。
运行msconfig,关了启动项，重新启动，
发现新朋友还是很喜欢我，
打开“咔吧司机”扫描无效。
反而瑞星防火墙扫描木马会报警。不过没法杀。
咔咔～～知道朋友是从哪里来那么就有办法哄他走了
——————————————————
1。重启进入安全模式（启动时按F8）
2。删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*.*
这个目录在windows下搜索不到，也看不到（开了显示隐藏），
可采用以下方法搞定：
首先点开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32.exe/s/a 回车
接下来 del c:\avicap32.exe/s/a 回车
接下来 del c:\MuSearch.dll/s/a 回车

3。删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下：
首先点开始 /运行/ 键入regedit 确定
然后点编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找，
找到后全部清除掉。（不妨从头到底多查几遍，一定要弄干净喔！！！）

4。清除所有cookies,internet临时文件
-——————————————————————————————————————
整个世界清净咯～～

点击这里获取该日志的TrackBack引用地址

2005-4-29 18:01:47 — Shell

1 .

想不到你也有中木马的时候 =.=~

嘿嘿,我今天放假咯

五一有8天假,真开心

2005-4-29 23:25:29 — EVA剑心

2 .

我又不是神
为什么不能中啊？
你就有假放
我就有得忙啊

2005-4-30 19:15:00 — nepla4

3 .

对了这里来的人多吗?
我老是看见你们两个在聊天~~~~
有时候真的很佩服你们啊~~~~
我现在除了因为系统崩溃会用GHOST以外什么都不会
呵呵(自嘲啊)

2005-4-30 20:18:27 — nepla4

4 .

剑心我要配台电脑给点意见好吗~~~~~~~~~~~~~
主板磐正EP-8HDA5I
显卡迪兰恒进雷击杀手9550黄金版
内存 512DDR400
硬盘 80G(+40)G 8M缓存
CPU ATHLON64 2800+
显示器没想好我想要15的液晶的有推荐吗价钱大概是2000?

2005-5-1 0:09:17 — EVA剑心

5 .

80g和120g差价很少。推荐用120g
你要的64位是7针角的还是9针角的？如果预算多的话推荐用9的。贵点
有2000的预算液晶我推荐加些钱用17的。现在17减价很大，美格或者banq的都不错，美齐的就比较便宜些
主板用精英那块k8的性价比较高点
显卡推荐用6200tc如果你玩游戏的话
来这里的人也算比较多吧
你可以看看回复就知道
每天1000左右的ip

2005-5-2 19:05:20 — nepla4

6 .

那能写张配置单吗?
最好具体点的
我电脑盲
呵呵~~~~~~~~~

2005-5-3 2:19:12 — EVA剑心

7 .

[URL]http://www.evaxp.com/ksblog/post/306.html
[/URL]你参考下这个文章

2005-5-3 11:12:28 — nepla4

8 .

谢谢拉
我看过了
最近为了这个觉也没睡好
主要是兴奋 big_smile

2005-5-3 21:14:28 — EVA剑心

9 .

呵呵～～祝你不要碰到js happy

2005-5-4 21:39:23 — 网游子

10 .

为什么我按照你的话做就不行啊
你还没有提到这个木马在system32里还有个动态连接文件advapi32.dll这个都删不掉怎么删那个back文件删了还会一直反弹的啊你的解决之法我在网上早看过很久了你是不是没有中过啊真的这样能解决吗

2005-5-4 23:54:10 — EVA剑心

11 .

晕。
没中过我写出来干嘛？
没解决过我写出来干嘛？
既然你不相信的话，大可找其他人帮你
这些都是在安全模式删除！还要彻底删除注册表文件以及启动文件。
开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32.exe/s/a 回车
接下来 del c:\avicap32.exe/s/a 回车
接下来 del c:\MuSearch.dll/s/a 回车
这一步就是删除system32里面的
c:是你的系统盘符。
我怀疑你根本就看不懂这步操作，还说完全按照所说的去做了

2005-5-6 4:42:46 — wl

12 .

I tried to follow your method, it can not work!

When I perform
``del c:\advapi32.exe/s/a 回车''
The screen show
``Data error (cyclic redundancy check)

2005-5-6 5:24:19 — EVA剑心

13 .

你把“回车”也copy进去了？
你的系统盘是c盘吗？

2005-7-4 22:01:22 — qing

14 .

为何还是删不掉那个木马，我晕死了，我用优化大师也搞不了，优化了之后还是有啊!!!

2005-7-6 9:05:31 — wer

15 .

用注册版的木马克星试试

2005-7-6 10:09:30 — EVA剑心

16 .

照文章方法做就行了.
看不懂的话可以下个最新版的瑞星杀就行了

2005-7-13 21:11:38 — xy

17 .

我也中了advapi32.dll的毒，开机总是自启动，无法关闭，但是电脑目前为止一切正常，并没有什么不良反应，这个病毒是不是有潜伏期啊？

2005-7-23 16:31:24 — fb

18 .

接下来 cd d:回车

这是什么意思？？？
我的系统在d盘

2005-7-24 2:29:30 — EVA剑心

19 .

就是在dos界面输入指令啊

2005-7-29 21:22:26 — Freespace

20 .

楼主，你用的事什么操作系统？为什么我的XP SP2显示的和你这里说的不一样？？？

2005-7-29 21:44:06 — EVA剑心

21 .

sp1
哪里显示不一样?

2005-7-30 14:40:25 — 天外飞仙

22 .

先杀进程，再禁止启动项，然后删除注册项，最后删除文件夹，包你行。

2005-7-31 22:06:50 — 1

23 .

我按照你的方式做了下，发现一些问题，一个是backup里面文件在删除了以后重起还会出来，第二个是
接下来 del c:\advapi32.exe/s/a 说找不到文件，正常吗？
接下来 del c:\avicap32.exe/s/a
接下来 del c:\MuSearch.dll/s/a

2005-8-1 8:26:39 — EVA剑心

24 .

你是不是在安全模式下del的?如果是的话试试把系统还原关闭.

接下来 del c:\advapi32.exe/s/a 说找不到文件，正常吗？

正常,未必一定有的.
现在的最新版杀毒软件应该可以查杀了吧
不妨试试

2005-8-3 9:16:04 — 烈火蜻蜓

25 .

有一招，包你行------格了重装

2005-8-3 20:29:12 — Loading...

26 .

有没有杀毒工具可以杀掉它呀？
QQ253659153

2005-8-4 1:34:25 — EVA剑心

27 .

用瑞星看看吧,现在我没遇到过了.没法测试.不过应该能杀了

2005-8-12 9:27:42 — smilinghxd

28 .

为什么我在输入cd d:后系统盘附会由D:\跳转到C:\?接着输入那些删除命令都找不到文件?windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*.*
也都找不到!为什么??注册表项删除后仍然不行.郁闷死了.怎么办啊?是在安全模式下的啊!

2005-8-12 15:02:23 — EVA剑心

29 .

到D盘的命令你直接打d:
就可以了,不用加cd

2006-6-30 21:56:31 — 叫我佳滨就好了

30 .

17楼的
我以前也有过这样的事。
我是用一个超级兔子里面一个超级兔子清理王。
里　面有一么安装了，你把他全删了，就好
还有在—开始—运行—写进去—msconfig
看好，是那一个在删了

小剑恶魔心-EVA剑心 BloG