如何清除啟動項裡面的ADVAPI32

[psac]

如何清除啟動項裡面的ADVAPI32

這幾天上網，裝了一些個人開發的小軟體，當時也沒有在意，但是裡面元件服務了流氓軟體，在win2000的啟動組裡面增加了一下啟動項：「ADVAPI32(RUNDLL32 C:\WINDOWS\DOWNLO~1\_IS_ISC.DLL,ISC)」，利用windows最佳化大師之類的軟體，怎麼移除都不行。
造成的系統現象：
1.系統開機速度變慢，載入了許多無用啟動項，這些啟動項都沒有指定執行路徑（假連接，都是被ADVAPI32的啟動項帶起來的）。
2.上網時候會自動彈出廣告視窗在右下角，要求點擊，否則不會被關閉。
3.IE的版本看不見了。
4.在windows系統目錄下C:\winnt建立「backup」資料夾，即使強行移除了也會很快重建。

後來看了網上的一些帖子，發現和木馬advapi32.exe的情況差不多，但是不能完全按照advapi32.exe的移除方法，我自己總結一套清除方法：
1.進入win2000帶指令行的安全模式（啟動操作系統時，按F8）
2.在dos指令行下，利用DOS指令，cd C:\WINNT\backup目錄下，移除所有文件del *.*，出現提示選項Y
3.在dos指令行下，利用DOS指令，cd C:\WINNT\downlo~1目錄下，移除所有文件del *.*，出現提示選項Y
4.在dos指令行下執行「regedit」，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的啟動項「ADVAPI32」，以及相關的沒有用的啟動項。
5.重新啟動電腦，就OK了！
如果是WINXP的操作系統，使用帶指令行的安全模式進入C:\windows系統路徑下，XP系統下我也使用同樣的方法成功過。
啟動項「ADVAPI32(RUNDLL32 C:\WINDOWS\DOWNLO~1\_IS_ISC.DLL,ISC)」和中木馬病毒advapi32.EXE處理的方法和現象都不太相同，但是兩者都是木馬，佔用系統資源，上網的時候彈出視窗讓你點擊，實在是流氓！！

附1木馬advapi32.exe的清除方法（以winxp系統為例，如果是WIN2000，安裝系統預設路徑是WINNT）：
1.重啟進入安全模式（啟動時按F8）
2.移除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的話,似乎這就是源頭)
4) windows\downloaded program files\0319\*.*
這個目錄在windows下搜尋不到，也看不到（開了顯示隱藏），
可採用以下方法搞定：
首先 點 開始 /執行/ 按鍵輸入cmd /確定
接下來 cd d:Enter鍵
接下來 del c:\advapi32.exe/s/a Enter鍵
接下來 del c:\avicap32.exe/s/a Enter鍵
接下來 del c:\MuSearch.dll/s/a Enter鍵
3.移除註冊表中與advapi32.exe avicap32.exe MuSearch.dll 相關的鍵值,步驟如下：
首先 點 開始 /執行/ 按鍵輸入regedit 確定
然後 點 編輯 /搜尋/ 分別按鍵輸入advapi32.exe avicap32.exe MuSearch.dll 進行搜尋，
找到後全部清除掉。（不妨從頭到底多查幾遍，一定要弄乾淨喔 ！！！）

4.清除所有cookies,internet臨時文件

附2如何檢視系統隱藏文件
有些木馬病毒文件，即使「檢視」中開啟了顯示隱藏，也在windows的資源瀏覽器下面看不見，有一個小技巧，利用WINRAR的文件瀏覽器檢視。
有些要說明的，首先你是win2000，附帶的是純DOS，如果是xp還要裝dos，（指令行不知行不行）。
後面附的是別人寫的xp版本的吧。
你附帶的小技巧對菜鳥挺有用的，其實如果有TC(total commander)的話也可以，不過winrar還是很一般和好用的。