最近，我從我的電腦的任務(wù)管理器里看到這個(gè)進(jìn)程avicap32.exe，一天中有N次把CPU占滿，還伴有廣告窗口彈出，我回憶了一下最近也沒有裝什么亂七八糟的東西，不知道是怎么回事？

熱心網(wǎng)友

恭喜，你中木馬了！這是MyIMLite的捆綁進(jìn)程，可能是以前%System%\MyIMLite的升級(jí)版本吧，在最近幾天里有不少人都說(shuō)系統(tǒng)里有這個(gè)東西趕都趕不走，而且看這形勢(shì)相信最近詢問(wèn)這個(gè)問(wèn)題的人會(huì)越來(lái)越多。捆綁進(jìn)程將自己為裝成 Microsoft Internet Explorer 的修正檔，讓使用者下載。服務(wù)器端的程序使用 WinZip 的小圖標(biāo)，讓使用者以為這是一個(gè) WinZip 所產(chǎn)生的壓縮檔案（其實(shí)這是一個(gè)執(zhí)行檔）。當(dāng)此程序被開啟執(zhí)行時(shí)，它會(huì)顯示以下的訊息： "Cannot open file: it does not appear to be a valid archive。 If you downloaded this file, try downloading it again。 Please press F1 for help。" 讓使用者以為此程序并未完成下載，或是一個(gè)已經(jīng)損毀的 WinZip 壓縮檔案。其實(shí)病毒已經(jīng)將自己安裝在系統(tǒng)之中，準(zhǔn)備開始執(zhí)行其破壞的行為。病毒會(huì)在系統(tǒng)中安裝 ADVAPI32。EXE、ADVAPI。DLL2 以及 ADVCCAPI。DLL，然后在 SYSTEM。INI 檔案的 "boot" 區(qū)段中加入 "DRIVERS=ADVAPI。DLL"，以便讓系統(tǒng)啟動(dòng)時(shí)自動(dòng)地加載執(zhí)行。當(dāng)服務(wù)器端的程序安裝在系統(tǒng)中時(shí)，遠(yuǎn)程的使用者就能夠?qū)n案、鼠標(biāo)、鍵盤、只讀光驅(qū)等等。。。進(jìn)行存取以及控制。這個(gè)東西應(yīng)該說(shuō)還不算是病毒，不過(guò)從它的一些“行為”來(lái)看，已經(jīng)很有點(diǎn)“病毒化”了，舉幾點(diǎn)說(shuō)一下吧，比如它用的文件名advapi32。exe和avicap32。exe，和系統(tǒng)文件就很相近，迷惑用戶嗎？還有它的圖標(biāo)（IE頁(yè)面圖標(biāo)），還有呢，它故意安裝在系統(tǒng)一個(gè)比較特殊的目錄Downloaded Program Files下面，讓人一般無(wú)法直接查看和刪除它的文件，另外它還對(duì)進(jìn)程做了保護(hù)，不讓人隨便結(jié)束掉它的進(jìn)程……這個(gè)東西是安裝在Downloaded Program Files目錄下的0319目錄里，在%Windows%目錄下還建立backup目錄，里面放的是它的主要文件，應(yīng)該就是用來(lái)做“備份”的吧。通過(guò)對(duì)這東西幾個(gè)文件的初步分析，它應(yīng)該是MyIMLite的程序，怎么說(shuō)呢，可以暫時(shí)算做廣告程序吧，它可通過(guò)myim站點(diǎn)進(jìn)行更新，在系統(tǒng)啟動(dòng)項(xiàng)里建立若干啟動(dòng)項(xiàng)，創(chuàng)建BHO，在Explorer。exe進(jìn)程里插入lineback。dll（應(yīng)該是起進(jìn)程保護(hù)作用的吧），等等……清除方法：1。重啟進(jìn)入安全模式（啟動(dòng)時(shí)按F8）2。刪除下列文件 1) windows\backup\*。* 2) windows\prefetch\advapi32*。* avicap32*。* 3) window\system32\MyIMLite\*。*(如果有的話,似乎這就是源頭) 4) windows\downloaded program files\0319\*。* 這個(gè)目錄在windows下搜索不到，也看不到（開了顯示隱藏）， 可采用以下方法搞定： 首先 點(diǎn) 開始 /運(yùn)行/ 鍵入cmd /確定 接下來(lái) cd d:回車 接下來(lái) del c:\advapi32。exe/s/a 回車 接下來(lái) del c:\avicap32。exe/s/a 回車 接下來(lái) del c:\MuSearch。dll/s/a 回車3。刪除注冊(cè)表中與advapi32。exe avicap32。exe MuSearch。dll 相關(guān)的鍵值,步驟如下： 首先 點(diǎn) 開始 /運(yùn)行/ 鍵入regedit 確定 然后 點(diǎn) 編輯 /查找/ 分別鍵入advapi32。exe avicap32。exe MuSearch。dll 進(jìn)行查找， 找到后全部清除掉。（不妨從頭到底多查幾遍，一定要弄干凈喔 ！！！） 4。清除所有cookies,internet臨時(shí)文件。