100%中木马了 bbs.ikaka.com

出埃及记 - 2009-6-21 14:22:00

近一个月玩的永恒之塔游戏，其间未进入不良网站，未下载不良文件。
问题与现象：
1、游戏帐号装备被盗，角色裸体，仓库清空，委托NPC外卖装备全部被取出，游戏币清零。
2、不知何时中的毒，怎么中的毒。
3、用最新瑞星反复查杀，用卡卡查杀流行木马都不行。
一年前我玩传世也是这样，游戏贵宾帐号被盗，一万多元装备被盗号者扔地上刷掉，瑞星杀不出病毒，只好忍痛不玩。
我要怎么办，难不成又要让我格机子重装？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)

lrxyhrm - 2009-6-21 14:23:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

出埃及记 - 2009-6-21 14:51:00

谢谢,软件给的信息是：警告！注册表值AppInit_DLLs被修改为非正常值（默认值是空）。清检查你的系统中可能存在计算机病毒。
有关情况附件附后，多谢了！

附件: SREngLOG.log (2009-6-21 14:51:13, 63.78 K)
该附件被下载次数 178

浪漫纸箱 - 2009-6-21 14:54:00

C:\Documents and Settings\Administrator\TrustMove\DevRF.exe
楼主认识么？
AppInit_DLLs是卡卡的正常，其他的还在看。:kaka1:

出埃及记 - 2009-6-21 14:58:00

对不起，一般情况下我只是用瑞星杀个毒，那个您问我是否认识的东西好象是瑞星的一个什么执行文件吧。呵呵不好意思

豪斯登堡新郎 - 2009-6-21 15:02:00

将这两个文件打包上传看看：
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\TRUSTMOVE\DEVRF.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe

建议找到以下文件删除：
c:\docume~1\admini~1\locals~1\temp\rtkbtmnt.exe
c:\documents and settings\administrator\trustmove\devrf.exe
c:\windows\system32\sysyhzt3.dll
c:\documents and settings\administrator\「开始」菜单\程序\启动\　　　.lnk
C:\WINDOWS\system32\XP-DBD78E47.EXE
c:\windows\system32\drivers\npf.sys

删除后用SREng修复以下各项：

启动项目－－注册表之如下项删除：
[MbWzdSecuFoldr]
[{3FDEB171-8F86-0022-0001-69B8DB553683}]

启动项目－－　启动文件夹之如下项删除：
[　　　] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\　　　.lnk>

启动项目－－服务－－驱动程序之如下项禁用：
[Netgroup Packet Filter / NPF]

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

浪漫纸箱 - 2009-6-21 15:03:00

嗯这样吧您先下载个windows清理助手，我签名处有他的官网。
扫描看看
然后在扫描SREng日志我帮您看看，是否清理干净。
可否？:kaka1:

出埃及记 - 2009-6-21 15:05:00

谢各位老大，我先照单全来一遍。再次谢过

出埃及记 - 2009-6-21 15:19:00

复:豪斯登堡新郎:
两个打包文件打包附后如下.多谢了.

附件: DevRF.rar

附件: RtkBtMnt.rar

出埃及记 - 2009-6-21 15:27:00

豪斯登堡亲郎老大建议的前面两个文件机器不允许删除，后面的文件有一个删了，另外两个是空的.:kaka4:

出埃及记 - 2009-6-21 15:47:00

复浪漫纸箱老大：
清理后sreng扫描结果附后，多谢了。

附件: SREngLOG清理后.log

浪漫纸箱 - 2009-6-21 16:00:00

那好说用附件里的文件删除它（请确认是病毒）。

附件: FileForceKiller暴力删除器.rar

浪漫纸箱 - 2009-6-21 16:06:00

晕掉，没多大变化么，用我上帖里的文件删除豪斯登堡新郎师父让删除的那几个文件。

出埃及记 - 2009-6-21 16:31:00

遵从豪斯登堡新郎老大交待的,该删的删了,该修的修了,该清的清了,毒也杀了,还是没杀出东西.不晓得下来会怎么样了.多谢两位老大了.

出埃及记 - 2009-6-21 18:47:00

豪斯登堡新郎君,您建议删除的东西它仍在那儿!受不了了.

夲號ヱ被ジ盜 - 2009-6-21 18:58:00

在游戏里有没有人提示您中奖去XX领？

C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\TRUSTMOVE\DEVRF.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
用附件的东西呢【内附说明】

附件: XDelBox.rar

瑞星卡卡安全论坛