EVA剑心's BlOG
带剑入魔,以剑清心!---再一次,我站在敌人的残骸上……而我毫发无伤。因为我是剑心,这是无可争议的。

  • EVA剑心

  • 2005-4-29 6:55:14

  • 浏览4430 评论30

  • 剑术迷心

advapi32.exe这个木马有点坏
昨天上着上着网就发现我的“马桶”居然无法组织弹出广告了?右下也不时出现如QQ广告的东西。
开始以为是浏览的网站和qq的广告。
但越用越不对劲!有些网站根本就没这样广告的。
查看下进程。o yeah!多了两个新家伙。
运行msconfig,关了启动项,重新启动,
发现新朋友还是很喜欢我,
打开“咔吧司机”扫描无效。
反而瑞星防火墙扫描木马会报警。不过没法杀。
咔咔~~知道朋友是从哪里来那么就有办法哄他走了
——————————————————
1。重启进入安全模式(启动时按F8)
2。删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),
可采用以下方法搞定:
首先 点 开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32.exe/s/a 回车
接下来 del c:\avicap32.exe/s/a 回车
接下来 del c:\MuSearch.dll/s/a 回车

3。删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下:
首先 点 开始 /运行/ 键入regedit 确定
然后 点 编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找,
找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔 !!!)

4。清除所有cookies,internet临时文件
-——————————————————————————————————————
整个世界清净咯~~

这篇文章的有关评论

  • 1小恶魔 说:
  • 想不到你也有中木马的时候 =.=~

    嘿嘿,我今天放假咯

    五一有8天假,真开心
2005-4-29 18:01:47 回复该留言
  • 2EVA剑心 说:
  • 我又不是神
    为什么不能中啊?
    你就有假放
    我就有得忙啊
2005-4-29 23:25:29 回复该留言
  • 3nepla4 说:
  • 对了这里来的人多吗?
    我老是看见你们两个在聊天~~~~
    有时候真的很佩服你们啊~~~~
    我现在除了因为系统崩溃会用GHOST以外什么都不会
    呵呵(自嘲啊)
2005-4-30 19:15:00 回复该留言
  • 4nepla4 说:
  • 剑心我要配台电脑给点意见好吗~~~~~~~~~~~~~
    主板 磐正EP-8HDA5I
    显卡 迪兰恒进雷击杀手9550黄金版
    内存 512DDR400
    硬盘 80G(+40)G 8M缓存
    CPU ATHLON64 2800+
    显示器 没想好我想要15的液晶的有推荐吗价钱大概是2000?

2005-4-30 20:18:27 回复该留言
  • 5EVA剑心 说:
  • 80g和120g差价很少。推荐用120g
    你要的64位是7针角的还是9针角的?如果预算多的话推荐用9的。贵点
    有2000的预算液晶我推荐加些钱用17的。现在17减价很大,美格或者banq的都不错,美齐的就比较便宜些
    主板用精英那块k8的性价比较高点
    显卡推荐用6200tc如果你玩游戏的话
    来这里的人也算比较多吧
    你可以看看回复就知道
    每天1000左右的ip
2005-5-1 0:09:17 回复该留言
  • 6nepla4 说:
  • 那能写张配置单吗?
    最好具体点的
    我电脑盲
    呵呵~~~~~~~~~
2005-5-2 19:05:20 回复该留言
  • 7EVA剑心 说:
  • [URL]http://www.evaxp.com/ksblog/post/306.html
    [/URL]你参考下这个文章
2005-5-3 2:19:12 回复该留言
  • 8nepla4 说:
  • 谢谢拉
    我看过了
    最近为了这个觉也没睡好
    主要是兴奋 big_smile
2005-5-3 11:12:28 回复该留言
2005-5-3 21:14:28 回复该留言
  • 10网游子 说:
  • 为什么我按照你的话做就不行啊
    你还没有提到这个木马在system32里还有个动态连接文件advapi32.dll这个都删不掉 怎么删那个back文件 删了还会一直反弹的啊 你的解决之法我在网上早看过很久了 你是不是没有中过啊 真的这样能解决吗
2005-5-4 21:39:23 回复该留言
  • 11EVA剑心 说:
  • 晕。
    没中过我写出来干嘛?
    没解决过我写出来干嘛?
    既然你不相信的话,大可找其他人帮你
    这些都是在安全模式删除!还要彻底删除注册表文件以及启动文件。
    开始 /运行/ 键入cmd /确定
    接下来 cd d:回车
    接下来 del c:\advapi32.exe/s/a 回车
    接下来 del c:\avicap32.exe/s/a 回车
    接下来 del c:\MuSearch.dll/s/a 回车
    这一步就是删除system32里面的
    c:是你的系统盘符。
    我怀疑你根本就看不懂这步操作,还说完全按照所说的去做了
2005-5-4 23:54:10 回复该留言
  • 12wl 说:
  • I tried to follow your method, it can not work!

    When I perform
    ``del c:\advapi32.exe/s/a 回车''
    The screen show
    ``Data error (cyclic redundancy check)

2005-5-6 4:42:46 回复该留言
  • 13EVA剑心 说:
  • 你把“回车”也copy进去了?
    你的系统盘是c盘吗?
2005-5-6 5:24:19 回复该留言
  • 14qing 说:
  • 为何还是删不掉那个木马,我晕死了,我用优化大师也搞不了,优化了之后还是有啊!!!
2005-7-4 22:01:22 回复该留言
  • 15wer 说:
  • 用注册版的木马克星试试
2005-7-6 9:05:31 回复该留言
  • 16EVA剑心 说:
  • 照文章方法做就行了.
    看不懂的话可以下个最新版的瑞星杀就行了
2005-7-6 10:09:30 回复该留言
  • 17xy 说:
  • 我也中了advapi32.dll的毒,开机总是自启动,无法关闭,但是电脑目前为止一切正常,并没有什么不良反应,这个病毒是不是有潜伏期啊?
2005-7-13 21:11:38 回复该留言
  • 18fb 说:
  • 接下来 cd d:回车

    这是什么意思???
    我的系统在d盘
2005-7-23 16:31:24 回复该留言
2005-7-24 2:29:30 回复该留言
  • 20Freespace 说:
  • 楼主,你用的事什么操作系统?为什么我的XP SP2显示的和你这里说的不一样???
2005-7-29 21:22:26 回复该留言
2005-7-29 21:44:06 回复该留言
  • 22天外飞仙 说:
  • 先杀进程,再禁止启动项,然后删除注册项,最后删除文件夹,包你行。
2005-7-30 14:40:25 回复该留言
  • 231 说:
  • 我按照你的方式做了下,发现一些问题,一个是backup里面 文件在删除了以后重起还会出来,第二个是
    接下来 del c:\advapi32.exe/s/a 说找不到文件,正常吗?
    接下来 del c:\avicap32.exe/s/a
    接下来 del c:\MuSearch.dll/s/a
2005-7-31 22:06:50 回复该留言
  • 24EVA剑心 说:
  • 你是不是在安全模式下del的?如果是的话试试把系统还原关闭.
    接下来 del c:\advapi32.exe/s/a 说找不到文件,正常吗?

    正常,未必一定有的.
    现在的最新版杀毒软件应该可以查杀了吧
    不妨试试
2005-8-1 8:26:39 回复该留言
2005-8-3 9:16:04 回复该留言
  • 26Loading... 说:
  • 有没有杀毒工具可以杀掉它呀?
    QQ253659153
2005-8-3 20:29:12 回复该留言
  • 27EVA剑心 说:
  • 用瑞星看看吧,现在我没遇到过了.没法测试.不过应该能杀了
2005-8-4 1:34:25 回复该留言
  • 28smilinghxd 说:
  • 为什么我在输入cd d:后系统盘附会由D:\跳转到C:\?接着输入那些删除命令都找不到文件?windows\prefetch\advapi32*.* avicap32*.*
    3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
    4) windows\downloaded program files\0319\*.*
    也都找不到!为什么??注册表项删除后仍然不行.郁闷死了.怎么办啊?是在安全模式下的啊!
2005-8-12 9:27:42 回复该留言
  • 29EVA剑心 说:
  • 到D盘的命令你直接打d:
    就可以了,不用加cd
2005-8-12 15:02:23 回复该留言
  • 30叫我佳滨就好了 说:
  • 17楼的
    我以前也有过这样的事。
    我是用一个超级兔子里面一个超级兔子清理王。
    里 面有一么安装了,你把他全删了,就好
    还有在—开始—运行—写进去—msconfig
    看好,是那一个在删了
2006-6-30 21:56:31 回复该留言