操作注册表删除病毒

• 病毒名称：传奇终结者变种 JKE (Trojan.PSW.LMir.jke)
  病毒类型：盗号木马
  病毒发作现象及危害：
  病毒采用 VC++ 语言编写， Aspack 加壳。运行后，会在后台悄悄运行，窃取《传奇》游戏玩家的用户名、密
  
  码、登陆服务器、用户所属区域等信息，并把这些资料发送给病毒散布者。该病毒还可能造成 IE 浏览器以
  
  及其他一些软件出现故障，无法使用。
  
  如何判断是否感染此木马病毒：
  该病毒有一个明显的现象，运行后会驻留内存。鼠标右键点击 “ 任务栏 ” ，选择 “ 任务管理器 ” ，点中 “
  
  进程 ” 标签。如果在窗口中看到一个名为 “Mir0.dat” 的进程就表示已经感染了此木马。
  
  
  该病毒的加载方式：
  该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性，当程序调用 DLL 时会
  
  先查找当前目录，如果找不到才会去搜索系统目录。因此，该病毒将自身复制到 IE 目录下，与系统 DLL 文
  
  件同名。当 IE 调用这个 DLL 文件时就运行了病毒，然后病毒再去系统目录下调用正常的文件。病毒就在不
  
  知不觉中被加载了。
  
  手工删除：
  一、清除内存中的病毒
  
  在任务管理器中找到 “Mir0.dat” ，单击鼠标右键，选择结束进程。
  
  二、恢复注册表
  
  由于该病毒修改了注册表，使用户即使设置了 “ 查看所有文件 ” 也看不到它们。因此需要先对注册表进行
  
  修复。
  
  1 、点击 “ 开始 ” 菜单，选择 “ 运行 ” ，输入 “regedit.exe” 并确定，打开注册表编辑器。
  
  2 、找到
  
  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden
  
  /NOHIDDEN 一项，双击窗口右面的 CheckedValue ，将其值改为 2 。
  
  
  
  3 、同样，在注册表中找到
  
  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden
  
  /SHOWALL ，将 CheckedValue 改为 1 。
  
  三、删除病毒文件
  1 、打开 “ 我的电脑 ” ，选择菜单 “ 工具 ”- 》 “ 文件夹选项 ” ，点击 “ 查看 ” ，取消 “ 隐藏受保护的操作
  
  系统文件 ” 前的对勾，并在 “ 隐藏文件和文件夹 ” 项中选择 “ 显示所有文件和文件夹 ” ，然后点击 “ 确定
  
  ” 。
  
  2 、删除掉 Windows 目录（默认 WinXP 系统为 C:/windows ， Win2000 系统为 C:/WINNT ）下的 mir0.dat 和
  
  Hooks.dll 文件。
  
  3 、删除 Windows 目录中 System32 目录下的 wintemp.dll 文件。
  
  
  
  4 、关闭所有 IE 窗口，并结束所有名为 “iexplorer.exe” 的进程。删除掉 IE 安装目录（默认为 C:/Program
  
  Files/Internet Explorer ）下的 Wsock32.dll 及 Wsock32.dll.tmp) 文件。
  
  5 、查找硬盘上所有的 wsock32.dll 文件，并查看大小，正常系统文件大小应为 20~30KB ，病毒文件大小为
  
  60~90KB 。将找到的病毒文件全部删除。
  
  四、最后检验
  
  再次打开任务管理器，检查是否还会出现名为 “Mir0.dat” 的进程，如果没有再出现则病毒已经清除干净 .