avicap32.exe是什么程序?
最近,我从我的电脑的任务管理器里看到这个进程avicap32.exe,一天中有N次把CPU占满,还伴有广告窗口弹出,我回忆了一下最近也没有装什么乱七八糟的东西,不知道是怎么回事?
全部回答
恭喜,你中木马了!
这是MyIMLite的捆绑进程,可能是以前%System%\MyIMLite的升级版本吧,在最近几天里有不少人都说系统里有这个东西赶都赶不走,而且看这形势相信最近询问这个问题的人会越来越多。
捆绑进程将自己为装成 Microsoft Internet Explorer 的修正档,让使用者下载。 服务器端的程序使用 WinZip 的小图标,让使用者以为这是一个 WinZip 所产生的压缩档案(其实这是一个执行档)。
当此程序被开启执行时,它会显示以下的讯息: "Cannot open file: it does not appear to be a valid archive。 If you downloaded this file, try downloading it again。
Please press F1 for help。" 让使用者以为此程序并未完成下载,或是一个已经损毁的 WinZip 压缩档案。其实病毒已经将自己安装在系统之中,准备开始执行其破坏的行为。
病毒会在系统中安装 ADVAPI32。EXE、ADVAPI。DLL2 以及 ADVCCAPI。DLL,然后在 SYSTEM。INI 档案的 "boot" 区段中加入 "DRIVERS=ADVAPI。
DLL",以便让系统启动时自动地加载执行。当服务器端的程序安装在系统中时,远程的使用者就能够对档案、鼠标、键盘、只读光驱等等。 。。进行存取以及控制。 这个东西应该说还不算是病毒,不过从它的一些“行为”来看,已经很有点“病毒化”了,举几点说一下吧,比如它用的文件名advapi32。
exe和avicap32。exe,和系统文件就很相近,迷惑用户吗?还有它的图标(IE页面图标),还有呢,它故意安装在系统一个比较特殊的目录Downloaded Program Files下面,让人一般无法直接查看和删除它的文件,另外它还对进程做了保护,不让人随便结束掉它的进程…… 这个东西是安装在Downloaded Program Files目录下的0319目录里,在%Windows%目录下还建立backup目录,里面放的是它的主要文件,应该就是用来做“备份”的吧。
通过对这东西几个文件的初步分析,它应该是MyIMLite的程序,怎么说呢,可以暂时算做广告程序吧,它可通过myim站点进行更新,在系统启动项里建立若干启动项,创建BHO,在Explorer。
exe进程里插入lineback。dll(应该是起进程保护作用的吧),等等…… 清除方法: 1。 重启进入安全模式(启动时按F8) 2。删除下列文件 1) windows\backup\*。
* 2) windows\prefetch\advapi32*。* avicap32*。* 3) window\system32\MyIMLite\*。 *(如果有的话,似乎这就是源头) 4) windows\downloaded program files\0319\*。
* 这个目录在windows下搜索不到,也看不到(开了显示隐藏), 可采用以下方法搞定: 首先 点 开始 /运行/ 键入cmd /确定 接下来 cd d:回车 接下来 del c:\advapi32。
exe/s/a 回车 接下来 del c:\avicap32。exe/s/a 回车 接下来 del c:\MuSearch。
dll/s/a 回车 3。删除注册表中与advapi32。exe avicap32。 exe MuSearch。dll 相关的键值,步骤如下: 首先 点 开始 /运行/ 键入regedit 确定 然后 点 编辑 /查找/ 分别键入advapi32。
exe avicap32。exe MuSearch。dll 进行查找, 找到后全部清除掉。 (不妨从头到底多查几遍,一定要弄干净喔 !!!) 4。
清除所有cookies,internet临时文件 。
捆绑进程将自己为装成 Microsoft Internet Explorer 的修正档,让使用者下载。 服务器端的程序使用 WinZip 的小图标,让使用者以为这是一个 WinZip 所产生的压缩档案(其实这是一个执行档)。
当此程序被开启执行时,它会显示以下的讯息: "Cannot open file: it does not appear to be a valid archive。 If you downloaded this file, try downloading it again。
Please press F1 for help。" 让使用者以为此程序并未完成下载,或是一个已经损毁的 WinZip 压缩档案。其实病毒已经将自己安装在系统之中,准备开始执行其破坏的行为。
病毒会在系统中安装 ADVAPI32。EXE、ADVAPI。DLL2 以及 ADVCCAPI。DLL,然后在 SYSTEM。INI 档案的 "boot" 区段中加入 "DRIVERS=ADVAPI。
DLL",以便让系统启动时自动地加载执行。当服务器端的程序安装在系统中时,远程的使用者就能够对档案、鼠标、键盘、只读光驱等等。 。。进行存取以及控制。 这个东西应该说还不算是病毒,不过从它的一些“行为”来看,已经很有点“病毒化”了,举几点说一下吧,比如它用的文件名advapi32。
exe和avicap32。exe,和系统文件就很相近,迷惑用户吗?还有它的图标(IE页面图标),还有呢,它故意安装在系统一个比较特殊的目录Downloaded Program Files下面,让人一般无法直接查看和删除它的文件,另外它还对进程做了保护,不让人随便结束掉它的进程…… 这个东西是安装在Downloaded Program Files目录下的0319目录里,在%Windows%目录下还建立backup目录,里面放的是它的主要文件,应该就是用来做“备份”的吧。
通过对这东西几个文件的初步分析,它应该是MyIMLite的程序,怎么说呢,可以暂时算做广告程序吧,它可通过myim站点进行更新,在系统启动项里建立若干启动项,创建BHO,在Explorer。
exe进程里插入lineback。dll(应该是起进程保护作用的吧),等等…… 清除方法: 1。 重启进入安全模式(启动时按F8) 2。删除下列文件 1) windows\backup\*。
* 2) windows\prefetch\advapi32*。* avicap32*。* 3) window\system32\MyIMLite\*。 *(如果有的话,似乎这就是源头) 4) windows\downloaded program files\0319\*。
* 这个目录在windows下搜索不到,也看不到(开了显示隐藏), 可采用以下方法搞定: 首先 点 开始 /运行/ 键入cmd /确定 接下来 cd d:回车 接下来 del c:\advapi32。
exe/s/a 回车 接下来 del c:\avicap32。exe/s/a 回车 接下来 del c:\MuSearch。
dll/s/a 回车 3。删除注册表中与advapi32。exe avicap32。 exe MuSearch。dll 相关的键值,步骤如下: 首先 点 开始 /运行/ 键入regedit 确定 然后 点 编辑 /查找/ 分别键入advapi32。
exe avicap32。exe MuSearch。dll 进行查找, 找到后全部清除掉。 (不妨从头到底多查几遍,一定要弄干净喔 !!!) 4。
清除所有cookies,internet临时文件 。
热点推荐
热度TOP
-
早泄患者如果不及时治疗会有什么危害?
3人阅读
-
牙齿感觉有电一样是怎么回?
63人阅读
-
徐州华美吸脂怎么样?
39人阅读
-
转轮术是什么意思
0人阅读
-
成都无痛人流哪家好棕南
47人阅读
-
长春早孕检查费用
1人阅读
相关推荐
加载中...