中了Trojan.PSW.Win32.GameOnline.vk,有日志 bbs.ikaka.com

我是盆子 - 2007-11-12 10:00:00

这两天一直被这个病毒困扰着。看了斑竹高手们的置顶帖，也试过自己用SRE和XDELBOS处理，但我怎么分析过后没发现什么问题啊。没显示要我删除什么文件。请高手们帮忙分析一下，看看该怎么做。谢谢

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

附件: 6910762007111294911.txt

日不懂啊 - 2007-11-12 10:24:00

删除文件
C:\WINDOWS\system32\rarjdpi.dll
C:\WINDOWS\System32\new.sys
把注册表中
<{4598FF45-DA60-F48A-BC43-10AC47853D54}><C:\WINDOWS\system32\rarjdpi.dll> [N/A] 删除
把[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><rarjdpi.dll> [N/A]设置为空

删除驱动
[New0 / New0][Running/Auto Start]
<\??\C:\WINDOWS\System32\new.sys><N/A>

打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空临时文件夹：
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
c:\windows\temp

我是盆子 - 2007-11-12 16:47:00

谢谢楼上，有些问题，第一，C:\WINDOWS\system32\rarjdpi.dll没找到，只找到个rarjdpi.dll第二，你说的注册表要删的我不知道在哪里，能说的具体些吗？呵呵，谢谢啊

天月来了 - 2007-11-12 16:56:00

引用:

【我是盆子的贴子】谢谢楼上，有些问题，第一，C:\WINDOWS\system32\rarjdpi.dll没找到，只找到个rarjdpi.dll第二，你说的注册表要删的我不知道在哪里，能说的具体些吗？呵呵，谢谢啊
………………

什么叫：“只找到个rarjdpi.dll”？？？？？

他说的C:\WINDOWS\system32\rarjdpi.dll就是说的你找的rarjdpi.dll啊。

估计你说错了吧？

日不懂啊 - 2007-11-12 17:06:00

删除注册表，删除驱动的操作都是利用SRENG完成的

SRENG的使用方法在：http://forum.ikaka.com/topic.asp?board=28&artid=8270267&page=1(注意，删除服务和驱动最后一个对话框选择“否”）

我是盆子 - 2007-11-12 21:20:00

哦，我说错了，是只找到一个叫“rarjdni.dll”

火影忍者 - 2007-11-12 21:30:00

==================================
启动文件夹
[wkebak]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wkebak.exe --> [N/A]><H>

这是什么？
删除

我是盆子 - 2007-11-13 22:34:00

非常感谢这位兄弟，按照你的方法我已经搞定了，最感谢的是教会了我自己学着使用这个工具。发上现在的日志，请帮忙看看现在还有没有什么问题，谢谢。

瑞星卡卡安全论坛