-
病毒名称:传奇终结者变种 JKE (Trojan.PSW.LMir.jke)
病毒类型:盗号木马
病毒发作现象及危害:
病毒采用 VC++ 语言编写, Aspack 加壳。运行后,会在后台悄悄运行,窃取《传奇》游戏玩家的用户名、密
码、登陆服务器、用户所属区域等信息,并把这些资料发送给病毒散布者。该病毒还可能造成 IE 浏览器以
及其他一些软件出现故障,无法使用。
如何判断是否感染此木马病毒:
该病毒有一个明显的现象,运行后会驻留内存。鼠标右键点击 “ 任务栏 ” ,选择 “ 任务管理器 ” ,点中 “
进程 ” 标签。如果在窗口中看到一个名为 “Mir0.dat” 的进程就表示已经感染了此木马。
该病毒的加载方式:
该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性,当程序调用 DLL 时会
先查找当前目录,如果找不到才会去搜索系统目录。因此,该病毒将自身复制到 IE 目录下,与系统 DLL 文
件同名。当 IE 调用这个 DLL 文件时就运行了病毒,然后病毒再去系统目录下调用正常的文件。病毒就在不
知不觉中被加载了。
手工删除:
一、清除内存中的病毒
在任务管理器中找到 “Mir0.dat” ,单击鼠标右键,选择结束进程。
二、恢复注册表
由于该病毒修改了注册表,使用户即使设置了 “ 查看所有文件 ” 也看不到它们。因此需要先对注册表进行
修复。
1 、点击 “ 开始 ” 菜单,选择 “ 运行 ” ,输入 “regedit.exe” 并确定,打开注册表编辑器。
2 、找到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden
/NOHIDDEN 一项,双击窗口右面的 CheckedValue ,将其值改为 2 。
3 、同样,在注册表中找到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden
/SHOWALL ,将 CheckedValue 改为 1 。
三、删除病毒文件
1 、打开 “ 我的电脑 ” ,选择菜单 “ 工具 ”- 》 “ 文件夹选项 ” ,点击 “ 查看 ” ,取消 “ 隐藏受保护的操作
系统文件 ” 前的对勾,并在 “ 隐藏文件和文件夹 ” 项中选择 “ 显示所有文件和文件夹 ” ,然后点击 “ 确定
” 。
2 、删除掉 Windows 目录(默认 WinXP 系统为 C:/windows , Win2000 系统为 C:/WINNT )下的 mir0.dat 和
Hooks.dll 文件。
3 、删除 Windows 目录中 System32 目录下的 wintemp.dll 文件。
4 、关闭所有 IE 窗口,并结束所有名为 “iexplorer.exe” 的进程。删除掉 IE 安装目录(默认为 C:/Program
Files/Internet Explorer )下的 Wsock32.dll 及 Wsock32.dll.tmp) 文件。
5 、查找硬盘上所有的 wsock32.dll 文件,并查看大小,正常系统文件大小应为 20~30KB ,病毒文件大小为
60~90KB 。将找到的病毒文件全部删除。
四、最后检验
再次打开任务管理器,检查是否还会出现名为 “Mir0.dat” 的进程,如果没有再出现则病毒已经清除干净 .
操作注册表删除病毒
最新推荐文章于 2020-10-22 13:17:04 发布