清除advapi32.exe病毒的方法

1. 关闭所有浏览器窗口，尽量关闭其它应用程序
2. 结束Explorer.exe进程（用任务管理器，如果这一步也不明白剩下的就不用看了......）
3. 结束Explorer.exe进程后，桌面及任务栏会消失，然后再依次结束掉avicap32.exe的进程和advapi32.exe的进程
4. 确认avicap32.exe和advapi32.exe进程都已不存在，那么可将Explorer.exe再进行起来，恢复桌面和任务栏
5. 运行 FixISC0319.bat
(如无法运行,请尝试手工操作: 1、删除系统当前用户临时文件夹Temp下的backup和%Windows%下的backup文件夹,Downloaded Program Files/0319目录请在DOS下删除)
2、删除病毒对注册表所作的更改：
HKEY_CURRENT_USER\Software\advapi32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的含有advapi32.exe的键值)


在c:\winnt\downlo~1 里
在C盘里有一个目录，backup这个目录，是删不了。它会每秒钟检测这个目录是否被改动过，被改会随时填充新文件。
安全模式下
在 winnt 目录下创建 aa.bat, 内容:
del backup\*.*
rd backup
echo a > backup
这样建了一个批处理的程序，这样做，他不能自动生成目录了。查了，C盘里已经没有了。
aa.bat的批处理，双击运行。选择Ｙ。
然后在注册表里搜到advapi32，把里面的键值： C:\WINNT\Downlo~1\_IS_ISC.DLL,isc改为RUNDLL64 C:\WINNT\Downlo~1\_IS_ISC.DLL,isc (这个 stupid 程序不会检测这个)
运行：CMD ，输入del c:\winnt\downlo~1 下所有以 _ 开头的文件
C:\>cd winnt\downlo~1
C:\WINNT\DOWNLO~1>del _*.*
...
重启。

另外下面的这些是网上查到的。删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*.*
这个目录在windows下搜索不到，也看不到（开了显示隐藏），
可采用以下方法搞定：
首先 点 开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32.exe/s/a 回车
接下来 del c:\avicap32.exe/s/a 回车
接下来 del c:\MuSearch.dll/s/a 回车




具体的不知道从哪天起，Maxthon浏览器好像不能拦截一些网站的广告了，屏幕的右下角也不时的
出现如QQ广告一样的东西，一开始以为是网站和QQ的广告。但越用越不对劲，仔细一看，右下角的根本就
不是QQ的广告，出来的整个广告就是一个链接，不像QQ广告外面还有一个框，鼠标放在上面是不会变成手
形的，而这个广告，无论鼠标放在什么地方都是手形的。我开始怀疑我中招了，将杀毒软件升级到最新也
不能查杀，打开浏览器，上网搜索，发现也有朋友中了这种木马，但该网友提供的方法并不能删除木马，
无赖之下只好自己“动手”了，以下就是我的整个手工清除木马的过程，写出来与大家分享。
1、常规操作
打开任务管理器，查看进程，并没有发现什么不良进程。
2、深入挖掘
运行Regedit，依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，一看
，果然多了个新家伙Advapi32，一看键值，竟然加载的是一个Dll文件，而这个文件位于
C:\WINDOWS\Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了，先删除了启动
项，再删除对应的木马文件就行了，但到了C:\WINDOWS\Downloaded Program Files目录一看，发现这些
文件根本看不到（开启了显示隐藏文件项）。且重启之后启动项又出现了，很显然，这个木马监视注册表
，且文件隐藏。为了剿灭彻底，以下步骤是进入安全模式后进行的（开机时按住F8键或Ctrl键不放直到启
动菜单出现）。
在第三步之前，我曾尝试直接用第四步的方法删除木马文件，但发现重启之后木马并没有消失，因此初步
判断该木马存在备份文件。
3、清除木马备份文件
打开“我的电脑”进入C:\Windows目录，发现一个可疑目录Backup，进去一看，果然启动项加载的Dll文
件也在里面，但启动项加载的却不是这个目录中的文件，很显然这个目录就是木马的备份，先删除这个备
份目录再说，但刚刚删除，大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾，竟然在安全模
式还能自动加载且监视备份文件，一旦备份文件被删除，马上又会建立。正所谓“以彼之道还施彼身”，
它能监视且能自动建立备份目录，我如果能先将目录删除，然后抢在它的前面建立目录不就行了吗？因为
Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太
短了，手工肯定是不行的，那么就用Dos时代的批处理吧！先建立如下的批处理文件，命名为Kill.bat，
双斜杠之后是注释，实际操作时无需输入。
Move c:\windows\backup c:\windows\bak //将Backup目录重命名为Bak
Md c:\windows\backup //在C:\windows下建立Backup目录
这时再打开“我的电脑”，依次进入C:\windows目录，将Bak目录删除，即完成了木马备份文件的删除。
4、清除木马文件
重新建立一个批处理文件，命名为Kill2.bat，内容如下。
cd c:\ //将当前路径改为C:盘的根目录
cd C:\WINDOWS\Downloaded Program Files //将当前路径改为C:\WINDOWS\Downloaded Program Files
move _IS_0518 c:\bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak
打开“我的电脑”，进入C:\，删除Bak目录，再进入C:\windows目录，删除Backup目录，即完成了木马文
件的清除。
5、清理注册表
运行Regedit，分别将下面所列的键删除。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32
HKEY_CURRENT_USER/Software/advapi32
至此，Advapi32木马（因为在网上也没查到此木马的名字，所以就用它的自启动项键名来代替了）手工清
理完毕。
注：
1.第三步和第四步顺序千万不能对调，因为只有先删除备份文件，再删除木马文件，这时因为木马文件没
有了，备份文件也没有了，所以木马也就没办法重新建立文件了。
2.以前也在报刊上看到过手工清除木马的例子，但大部分都是一些利用进程查看工具结束进程来实现的，
由于此木马进程伪装隐蔽，笔者曾用IceSword查看，虽能初步判断木马隐藏在Svchost.exe进程中，但由
于Windows XP中Svchost.exe进程比较多，所以不好判断其具体的隐藏位置，结束进程的方法也就不好实
现了，反而用本文所提的方法就能轻松将木马剿灭。
3.本方法在Windows XP Pro ＋ SP2下测试通过。

麻烦呀
要是没有重要文件的话重装最好，

有些意思,不知是否可行!呵呵

辛苦