mokotw


arcldrer.exe

Posted in virus 由 mokotw 於 七月 9, 2006

昨天瀏覽國內的pda網站時中了招。AVG狂說我中了PSW.Lengendmir.LM這毒,源頭來自C:目錄下的arcldrer.exe,我怎樣刪它也刪不去,轉個頭又走回出來。如是者不斷刪除、刪除、隔離、刪除、隔離……重覆十多廿次AVG才能把它隔離好。聽聞這東西是變種,會盜傳奇網絡遊戲的帳號,不過暫時並無確實資料。如果是的話反而好,對我沒關係。

相關資料及解毒方法:

它會在系統中產生底下幾個檔案
C:\Windows\inertinfo.exe
C:\Windows\d1lhost.exe →第一個1是數字~第二是小寫的L
C:\Windows\kerne132.dll →這個1是123的1~不是小寫英文的L
C:\Windows\use32.dll

還有一個會在C:\底下產生的檔案~目前不知是那一個程式所產生
但很肯定的是~它是在執行了gamaxx.hxx後所產生的
C:\arcldrer.exe

另外~在登錄檔裡
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
在以上二個地方新增d1lhost.exe機碼(第一個1是數字的1,第二個是小寫的L)

並會試著去中止底下的程序
IPARMOR.EXE
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
RavMon.exe
RavMonClass
天網防火牆個人版
Tapplication
天網防火牆企業版
ZoneAlarm
ZAFrameWnd
TfLockDownMain

解法:
1.開啟工作管理員,中止d1lhost.exe
 若有TSCHelp.exe的話,也一併中止
2.刪除C:\底下的arcldrer.exe(有的話)
 以及C:\Windows底下的inertinfo.exe、d1lhost.exe、kerne132.dll、use32.dll
3.將IE的暫存檔清空
 開啟IE/工具/網際網路選項/一般/刪除檔案
4.開啟登錄編輯程式(開始/執行,輸入regedit.exe)
 搜尋d1lhost.exe並刪除(沒意外的話,會有二處符合)
5.重新開機

資料來源:
1. 九藏貓窩
2. 私服聯盟

廣告

2 回應 to 'arcldrer.exe'

Subscribe to comments with RSSTrackBack to 'arcldrer.exe'.

  1. AnJaka said,

    Hello mokotw, This is a good article site.
    i found many information here.
    ———————————————–
    http://global-in-arm.com
    Good luck, mokotw

  2. Jonh Neo said,

    Hey mokotw, Happy merry christmas.
    see you soon, mokotw


發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s


%d 位部落客按了讚: