教你手工剿滅QQ廣告彈出木馬

具體的不知道從哪天起，我的Maxthon瀏覽器好像不能攔截一些網站的廣告了，屏幕的右下角也不時的出現如QQ廣告一樣的東西，一開始以爲是網站和QQ的廣告。但越用越不對勁，仔細一看，右下角的根本就不是QQ的廣告，出來的整個廣告就是一個鏈接，不像QQ廣告外面還有一個框，鼠標放在上面是不會變成手形的，而這個廣告，無論鼠標放在什麼地方都是手形的。我開始懷疑我中招了，將殺毒軟件升級到最新也不能查殺，打開瀏覽器，上網搜索，發現也有朋友中了這種木馬，但該網友提供的方法並不能刪除木馬，無奈之下只好自己“動手”了，以下就是我的整個手工清除木馬的過程，寫出來與大家分享。

　　1、常規操作

　　打開任務管理器，查看進程，並沒有發現什麼不良進程。

　　2、深入挖掘

　　運行Regedit，依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，一看，果然多了個新傢伙Advapi32，一看鍵值，竟然加載的是一個Dll文件，而這個文件位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了，先刪除了啓動項，再刪除對應的木馬文件就行了，但到了C:WINDOWSDownloaded Program Files目錄一看，發現這些文件根本看不到（開啓了顯示隱藏文件項）。且重啓之後啓動項又出現了，很顯然，這個木馬監視註冊表，且文件隱藏。爲了剿滅徹底，以下步驟是進入安全模式後進行的（開機時按住F8鍵或Ctrl鍵不放直到啓動菜單出現）。
　　在第三步之前，我曾嘗試直接用第四步的方法刪除木馬文件，但發現重啓之後木馬並沒有消失，因此初步判斷該木馬存在備份文件。

　　3、清除木馬備份文件

　　打開“我的電腦”進入C:Windows目錄，發現一個可疑目錄Backup，進去一看，果然啓動項加載的Dll文件也在裏面，但啓動項加載的卻不是這個目錄中的文件，很顯然這個目錄就是木馬的備份，先刪除這個備份目錄再說，但剛剛刪除，大概一兩秒的時間這個目錄又被重新建立。這個木馬還真狡猾，竟然在安全模式還能自動加載且監視備份文件，一旦備份文件被刪除，馬上又會建立。正所謂“以彼之道還施彼身”，它能監視且能自動建立備份目錄，我如果能先將目錄刪除，然後搶在它的前面建立目錄不就行了嗎？因爲Windows是不允許同一目錄下有兩個文件或目錄同名的。但從備份目錄被刪除到被重新建立中間的間隔太短了，手工肯定是不行的，那麼就用Dos時代的批處理吧！先建立如下的批處理文件，命名爲，雙斜槓之後是註釋，實際操作時無需輸入。
Move c:windowsbackup c:windowsbak //將Backup目錄重命名爲Bak
Md c:windowsbackup //在C:windows下建立Backup目錄
這時再打開“我的電腦”，依次進入C:windows目錄，將Bak目錄刪除，即完成了木馬備份文件的刪除。

具體的不知道從哪天起，我的Maxthon瀏覽器好像不能攔截一些網站的廣告了，屏幕的右下角也不時的出現如QQ廣告一樣的東西，一開始以爲是網站和QQ的廣告。但越用越不對勁，仔細一看，右下角的根本就不是QQ的廣告，出來的整個廣告就是一個鏈接，不像QQ廣告外面還有一個框，鼠標放在上面是不會變成手形的，而這個廣告，無論鼠標放在什麼地方都是手形的。我開始懷疑我中招了，將殺毒軟件升級到最新也不能查殺，打開瀏覽器，上網搜索，發現也有朋友中了這種木馬，但該網友提供的方法並不能刪除木馬，無奈之下只好自己“動手”了，以下就是我的整個手工清除木馬的過程，寫出來與大家分享。

　　1、常規操作

　　打開任務管理器，查看進程，並沒有發現什麼不良進程。

　　2、深入挖掘

　　運行Regedit，依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，一看，果然多了個新傢伙Advapi32，一看鍵值，竟然加載的是一個Dll文件，而這個文件位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了，先刪除了啓動項，再刪除對應的木馬文件就行了，但到了C:WINDOWSDownloaded Program Files目錄一看，發現這些文件根本看不到（開啓了顯示隱藏文件項）。且重啓之後啓動項又出現了，很顯然，這個木馬監視註冊表，且文件隱藏。爲了剿滅徹底，以下步驟是進入安全模式後進行的（開機時按住F8鍵或Ctrl鍵不放直到啓動菜單出現）。
　　在第三步之前，我曾嘗試直接用第四步的方法刪除木馬文件，但發現重啓之後木馬並沒有消失，因此初步判斷該木馬存在備份文件。

　　3、清除木馬備份文件

　　打開“我的電腦”進入C:Windows目錄，發現一個可疑目錄Backup，進去一看，果然啓動項加載的Dll文件也在裏面，但啓動項加載的卻不是這個目錄中的文件，很顯然這個目錄就是木馬的備份，先刪除這個備份目錄再說，但剛剛刪除，大概一兩秒的時間這個目錄又被重新建立。這個木馬還真狡猾，竟然在安全模式還能自動加載且監視備份文件，一旦備份文件被刪除，馬上又會建立。正所謂“以彼之道還施彼身”，它能監視且能自動建立備份目錄，我如果能先將目錄刪除，然後搶在它的前面建立目錄不就行了嗎？因爲Windows是不允許同一目錄下有兩個文件或目錄同名的。但從備份目錄被刪除到被重新建立中間的間隔太短了，手工肯定是不行的，那麼就用Dos時代的批處理吧！先建立如下的批處理文件，命名爲，雙斜槓之後是註釋，實際操作時無需輸入。
Move c:windowsbackup c:windowsbak //將Backup目錄重命名爲Bak
Md c:windowsbackup //在C:windows下建立Backup目錄
這時再打開“我的電腦”，依次進入C:windows目錄，將Bak目錄刪除，即完成了木馬備份文件的刪除。

具體的不知道從哪天起，我的Maxthon瀏覽器好像不能攔截一些網站的廣告了，屏幕的右下角也不時的出現如QQ廣告一樣的東西，一開始以爲是網站和QQ的廣告。但越用越不對勁，仔細一看，右下角的根本就不是QQ的廣告，出來的整個廣告就是一個鏈接，不像QQ廣告外面還有一個框，鼠標放在上面是不會變成手形的，而這個廣告，無論鼠標放在什麼地方都是手形的。我開始懷疑我中招了，將殺毒軟件升級到最新也不能查殺，打開瀏覽器，上網搜索，發現也有朋友中了這種木馬，但該網友提供的方法並不能刪除木馬，無奈之下只好自己“動手”了，以下就是我的整個手工清除木馬的過程，寫出來與大家分享。

　　1、常規操作

　　打開任務管理器，查看進程，並沒有發現什麼不良進程。

　　2、深入挖掘

　　運行Regedit，依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，一看，果然多了個新傢伙Advapi32，一看鍵值，竟然加載的是一個Dll文件，而這個文件位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了，先刪除了啓動項，再刪除對應的木馬文件就行了，但到了C:WINDOWSDownloaded Program Files目錄一看，發現這些文件根本看不到（開啓了顯示隱藏文件項）。且重啓之後啓動項又出現了，很顯然，這個木馬監視註冊表，且文件隱藏。爲了剿滅徹底，以下步驟是進入安全模式後進行的（開機時按住F8鍵或Ctrl鍵不放直到啓動菜單出現）。
　　在第三步之前，我曾嘗試直接用第四步的方法刪除木馬文件，但發現重啓之後木馬並沒有消失，因此初步判斷該木馬存在備份文件。

　　3、清除木馬備份文件

　　打開“我的電腦”進入C:Windows目錄，發現一個可疑目錄Backup，進去一看，果然啓動項加載的Dll文件也在裏面，但啓動項加載的卻不是這個目錄中的文件，很顯然這個目錄就是木馬的備份，先刪除這個備份目錄再說，但剛剛刪除，大概一兩秒的時間這個目錄又被重新建立。這個木馬還真狡猾，竟然在安全模式還能自動加載且監視備份文件，一旦備份文件被刪除，馬上又會建立。正所謂“以彼之道還施彼身”，它能監視且能自動建立備份目錄，我如果能先將目錄刪除，然後搶在它的前面建立目錄不就行了嗎？因爲Windows是不允許同一目錄下有兩個文件或目錄同名的。但從備份目錄被刪除到被重新建立中間的間隔太短了，手工肯定是不行的，那麼就用Dos時代的批處理吧！先建立如下的批處理文件，命名爲，雙斜槓之後是註釋，實際操作時無需輸入。
Move c:windowsbackup c:windowsbak //將Backup目錄重命名爲Bak
Md c:windowsbackup //在C:windows下建立Backup目錄
這時再打開“我的電腦”，依次進入C:windows目錄，將Bak目錄刪除，即完成了木馬備份文件的刪除。

4、清除木馬文件

　　重新建立一個批處理文件，命名爲，內容如下。
cd c: //將當前路徑改爲C:盤的根目錄
cd C:WINDOWSDownloaded Program Files //將當前路徑改爲C:WINDOWSDownloaded Program Files
move _IS_0518 c:bak//將當前目錄下的_IS_0518目錄移動到C:根目錄下並重命名爲bak
打開“我的電腦”，進入C:，刪除Bak目錄，再進入C:windows目錄，刪除Backup目錄，即完成了木馬文件的清除。

　　5、清理註冊表

　　運行Regedit，分別將下面所列的鍵刪除。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAdvapi32
HKEY_CURRENT_USER/Software/advapi32
至此，Advapi32木馬（因爲在網上也沒查到此木馬的名字，所以就用它的自啓動項鍵名來代替了）手工清理完畢。

注：

　　1.第三步和第四步順序千萬不能對調，因爲只有先刪除備份文件，再刪除木馬文件，這時因爲木馬文件沒有了，備份文件也沒有了，所以木馬也就沒辦法重新建立文件了。

　　2.以前也在報刊上看到過手工清除木馬的例子，但大部分都是一些利用進程查看工具結束進程來實現的，由於此木馬進程僞裝隱蔽，筆者曾用IceSword查看，雖能初步判斷木馬隱藏在進程中，但由於Windows XP中進程比較多，所以不好判斷其具體的隱藏位置，結束進程的方法也就不好實現了，反而用本文所提的方法就能輕鬆將木馬剿滅。

　　3.本方法在Windows XP Pro ＋ SP2下測試通過。