瑞星卡卡安全论坛

启动命令是”RUNDLL32 C:\WINDOWS\Downloaded Program Files\_IS_ISC.DLL ,ISC"，我在注册表里HKLM\SOFTWAREMicrosoft\Windows\CurrentVersion\RUN里advapi32的数据是RUNDLL32 C:\WINDOWS\DOWNLO~1\_IS_ISC.DLL ,ISC。把相关键值全部删除以后，重启之后又会出现，而且该目录下并没有该文件存在，如何是好？

但是我在C:\WINDOWS\Downloaded Program Files里没有看到_IS_ISC.DLL ,ISC
只有Shockwave Flash Object、Windows Genuine Advantage Validation Tool和WUWebControl Class三项。

我也有这样的问题，怎么办啊？

安全模式下也不行啊当时是没有了，可是再启动就又出来了。

在windows下是看不见C:\WINDOWS\Downloaded Program Files的文件的，这个文件夹被windows特殊处理过，即使打开显示隐藏文件和显示系统文件也没用,在控制台模式下才能看见.
按下面操作
开始菜单－－运行－－cmd.exe
下面在控制台输入如下命令，就可以看见了
cd C:\WINDOWS\Downloaded Program Files 回车
dir 回车
那些文件都列出来了，
回车表示敲一下Enter键：）

如果要删除，接着上面输入
del  _IS_ISC.DLL 回车

这是个什么东西，我的机器上也有，删了又来，能不能请3楼的兄弟详细说一下

请参考

关于——[advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_ISC.DLL,isc---解决方法
http://forum.ikaka.com/topic.asp?board=67&artid=6839781 第1楼附件可以清除_IS_*.*恶意文件

我刚刚上网找到的，很好用，一下搞定
1。重启进入安全模式（启动时按F8）
2。删除下列文件
  1) windows\backup\*.*
  2) windows\prefetch\advapi32*.*    avicap32*.*
  3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
  4) windows\downloaded program files\0319\*.*
      这个目录在windows下搜索不到，也看不到（开了显示隐藏），
      可采用以下方法搞定：
          首先    点 开始 /运行/    键入cmd /确定
          接下来  cd d:回车
          接下来  del c:\advapi32.exe/s/a 回车
          接下来  del c:\avicap32.exe/s/a 回车
          接下来  del c:\MuSearch.dll/s/a 回车
3。删除注册表中与advapi32.exe  avicap32.exe  MuSearch.dll  相关的键值,步骤如下：
  首先  点 开始 /运行/  键入regedit 确定
  然后  点 编辑 /查找/  分别键入advapi32.exe  avicap32.exe  MuSearch.dll  进行查找，
    找到后全部清除掉。（不妨从头到底多查几遍，一定要弄干净喔 ！！！）
         
4。清除所有cookies,internet临时文件

利用xp系统的文件夹属性设置阻断恶意代码的相互锁定保护
本人把一点体会谈谈(系统为xp系统.只针对某一类恶意程序),这点经验是在清楚_is_isc_*.*系列问题时得到的,发现这是一招必杀的绝招,请高手指点.
:
1\发现异常现象,寻找代码原文件,注册表项.调用的系统文件.
2\尝试删除(文件和注册表项),看看是否会自动修复,如果会,请停止所有rundll32进程(也可能无法停止),观察防火动作,是否有新的调用.
3\找到相关的文件夹,里面的文件尽量删除(当然你不会把sistem 32下的文件也一起删吧,我是说能删除的,什么是能删除的,自己判断吧)
4\不出现意外的话,相关文件夹下应该有相同的文件,这就对了.是它们在相互保护.小坏东西就在眼前,你却无能为力,到网上查找,啊:全是什么"安全模式"、"dos下"，当然，也许可以解决问题，但我是不愿意来回启动电脑（除非万不得以）。
5\修改文件属性(此条仅为证明而已代码是否自我保护,及保护规律,也许病毒发现该文件夹不能用,可能会随机创建新的文件夹,总之,你要找到规律),改为只读,可以修改,在改回来,用记事本打开,内容删他个乱七八糟,保存,成功,刷新,文件大小是修改后的,没变,说明程序只检查文件名(如果程序核对文件内容呢?).
6\一般来说,你将能修改的文件全都内容删除,改文件属性为只读.如果碰到Downloaded Program Files文件夹,先给它改名看看,如果程序会跟踪原文件位置,就用total cmd删除里面的desktop.ini文件,这是最核心的一着,你会有一个愉快的发现.
7\修改相关文件夹的属性,拒绝任何任何人访问,如果你等不及了,可以立刻重起.
8\弹出出错信息,哈,这就对了.恶意代码被成功阻止.下面,不需要我多讲什么了吧.
9\像切豆腐一样删吧.
10\友情提示,如果你想彻底删除干净,请在动刀子之前,找到有关的位置.记着,别忘了把重要文件夹的属性改回来,否则,会影响有些程序的正常运行.
11\如果,文件还是删不掉,那说明,系统文件有问题了,再想别的办法了.

楼上,说在dos 下删,是不行的.文件相互保护了.

1.进入安全模式.
2. 结束掉Rundll32.exe进程（调用_IS_ISC.DLL）
3. 结束掉Explorer.exe进程（在Explorer.exe进程里也插入了几个_IS_*.DLL文件，其中就有进程保护的DLL。另，结束掉Explorer.exe进程后，桌面、任务栏会丢失）
以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用，如果你对系统熟悉也可不用这样操作，只要确定当前没有_IS_*.DLL文件被调用即可。
4. 把Explorer.exe进程再运行起来（恢复桌面、任务栏。也可以先进行第5步删除相关文件）
5. 删除%Windows%\Downloaded Program Files\目录下面所有_IS_*.*文件（可以使用WinRAR，WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files\目录下的文件，用WinRAR找到那些_IS_*.*，删除掉），再删除%Windows%\backup\目录
6. 双击导入 DEL_isc.rar （在附件中）中的REG文件，作用是删除那些东西在注册表里留下的启动项和其它信息


附件: 480315200587172657.rar

可以试试,利用WINXP安全权限,先在安全模式下破坏_IS_ISC.DLL再把_IS_ISC.DLL设定为拒绝.

附件: 557969200587205138.JPG

对，就是用权限。我总算找到个知音啊，楼上的，你可知道，用权限几乎可以解决一切这一类的问题，我把这一方法叫“一着必杀”或叫“给它做个绝育手术”，你在删除注册表上用过吗？也很灵的，什么恶意程序，我玩他个死去活来，活来死去。有机会探讨探讨，我的qq264198971.

请教各位IS_*.*到底为何物,我的电脑里也有.用木马客星扫描发现好几个类似的文件.

我是安装某些游戏外挂软件时加载到电脑里的，该代码连接广州一个IP地址的80端口，好象跟一个pachgame.exe还有关系，还跟什么中国互联网中心有关系（你可以在它的配置文件里发现一些蛛丝马迹），也许就是一个盗号木马，我没有研究出来。

请教9楼的兄弟,本人也按照你的说法删除了_IS_ISC.DLL文件去出了烦恼,可能是我多删除了什么文件现在浏览网页时有些地方图片无法显示,而以前是可以显示的,请问如何解决这个问题呀?不能显示图片的情况如在卡卡社区里面顶行上的图片就无法显示

9楼的兄弟 那个Explorer.exe结束是在WINDOWS任务管理器里关闭是吧？？？那么关闭后如何在使它运行起来啊？？哪个会？？教教我