avicap32.exe是什么程
恭喜,你中木马了!
这是MyIMLite的捆绑进程,可能是以前%System%\MyIMLite的升级版本吧,在最近几天里有不少人都说系统里有这个东西赶都赶不走,而且看这形势相信最近询问这个问题的人会越来越多。
捆绑进程将自己为装成 Microsoft Internet Explorer 的修正档,让使用者下载。服务器端的程序使用 WinZip 的小图标,让使用者以为这是一个 WinZip 所产生的压缩档案(其实这是一个执行档)。 当此程序被开启执行时,它会显示以下的讯息: "Cannot open file: it does not appear to be a valid arc...全部
恭喜,你中木马了!
这是MyIMLite的捆绑进程,可能是以前%System%\MyIMLite的升级版本吧,在最近几天里有不少人都说系统里有这个东西赶都赶不走,而且看这形势相信最近询问这个问题的人会越来越多。
捆绑进程将自己为装成 Microsoft Internet Explorer 的修正档,让使用者下载。服务器端的程序使用 WinZip 的小图标,让使用者以为这是一个 WinZip 所产生的压缩档案(其实这是一个执行档)。
当此程序被开启执行时,它会显示以下的讯息: "Cannot open file: it does not appear to be a valid archive。 If you downloaded this file, try downloading it again。
Please press F1 for help。" 让使用者以为此程序并未完成下载,或是一个已经损毁的 WinZip 压缩档案。其实病毒已经将自己安装在系统之中,准备开始执行其破坏的行为。
病毒会在系统中安装 ADVAPI32。EXE、ADVAPI。DLL2 以及 ADVCCAPI。DLL,然后在 SYSTEM。INI 档案的 "boot" 区段中加入 "DRIVERS=ADVAPI。
DLL",以便让系统启动时自动地加载执行。当服务器端的程序安装在系统中时,远程的使用者就能够对档案、鼠标、键盘、只读光驱等等。。。进行存取以及控制。
这个东西应该说还不算是病毒,不过从它的一些“行为”来看,已经很有点“病毒化”了,举几点说一下吧,比如它用的文件名advapi32。
exe和avicap32。exe,和系统文件就很相近,迷惑用户吗?还有它的图标(IE页面图标),还有呢,它故意安装在系统一个比较特殊的目录Downloaded Program Files下面,让人一般无法直接查看和删除它的文件,另外它还对进程做了保护,不让人随便结束掉它的进程……
这个东西是安装在Downloaded Program Files目录下的0319目录里,在%Windows%目录下还建立backup目录,里面放的是它的主要文件,应该就是用来做“备份”的吧。
通过对这东西几个文件的初步分析,它应该是MyIMLite的程序,怎么说呢,可以暂时算做广告程序吧,它可通过myim站点进行更新,在系统启动项里建立若干启动项,创建BHO,在Explorer。exe进程里插入lineback。
dll(应该是起进程保护作用的吧),等等……
清除方法:
1。重启进入安全模式(启动时按F8)
2。删除下列文件
1) windows\backup\*。*
2) windows\prefetch\advapi32*。
* avicap32*。*
3) window\system32\MyIMLite\*。*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*。
*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),
可采用以下方法搞定:
首先 点 开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32。
exe/s/a 回车
接下来 del c:\avicap32。exe/s/a 回车
接下来 del c:\MuSearch。dll/s/a 回车
3。
删除注册表中与advapi32。exe avicap32。exe MuSearch。dll 相关的键值,步骤如下:
首先 点 开始 /运行/ 键入regedit 确定
然后 点 编辑 /查找/ 分别键入advapi32。
exe avicap32。exe MuSearch。dll 进行查找,
找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔 !!!)
4。清除所有cookies,internet临时文件
。
收起