arcldrer.exe

昨天瀏覽國內的pda網站時中了招。AVG狂說我中了PSW.Lengendmir.LM這毒，源頭來自C:目錄下的arcldrer.exe，我怎樣刪它也刪不去，轉個頭又走回出來。如是者不斷刪除、刪除、隔離、刪除、隔離......重覆十多廿次AVG才能把它隔離好。聽聞這東西是變種，會盜傳奇網絡遊戲的帳號，不過暫時並無確實資料。如果是的話反而好，對我沒關係。

相關資料及解毒方法：

它會在系統中產生底下幾個檔案
C:\Windows\inertinfo.exe
C:\Windows\d1lhost.exe →第一個1是數字~第二是小寫的L
C:\Windows\kerne132.dll →這個1是123的1~不是小寫英文的L
C:\Windows\use32.dll

還有一個會在C:\底下產生的檔案~目前不知是那一個程式所產生
但很肯定的是~它是在執行了gamaxx.hxx後所產生的
C:\arcldrer.exe

另外~在登錄檔裡
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
在以上二個地方新增d1lhost.exe機碼(第一個1是數字的1,第二個是小寫的L)

並會試著去中止底下的程序
IPARMOR.EXE
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
RavMon.exe
RavMonClass
天網防火牆個人版
Tapplication
天網防火牆企業版
ZoneAlarm
ZAFrameWnd
TfLockDownMain

解法：
1.開啟工作管理員，中止d1lhost.exe
　若有TSCHelp.exe的話，也一併中止
2.刪除C:\底下的arcldrer.exe(有的話)
　以及C:\Windows底下的inertinfo.exe、d1lhost.exe、kerne132.dll、use32.dll
3.將IE的暫存檔清空
　開啟IE/工具/網際網路選項/一般/刪除檔案
4.開啟登錄編輯程式(開始/執行，輸入regedit.exe)
　搜尋d1lhost.exe並刪除(沒意外的話，會有二處符合)
5.重新開機


資料來源：
1. 九藏貓窩
2. 私服聯盟