[转]传奇终结者变种JKE（Mir0.dat）病毒的简要分析及手工清除方法

一分半

<br>
<br>
病毒名称：传奇终结者变种JKE (Trojan.PSW.LMir.jke)<br>
病毒类型：盗号木马<br>
病毒危害级别：★★★☆<br>
病毒发作现象及危害：<br>
病毒采用VC++语言编写，Aspack加壳。运行后，会在后台悄悄运行，窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息，并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以及其他一些软件出现故障，无法使用。<br>
<br>
如何判断是否感染此木马病毒：<br>
<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161404.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>该病毒有一个明显的现象，运行后会驻留内存。鼠标右键点击“任务栏”，选择“任务管理器”，点中“进程”标签。如果在窗口中看到一个名为“Mir0.dat”的进程就表示已经感染了此木马。<br><br>
该病毒的加载方式：<br>
<br>该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性，当程序调用DLL时会先查找当前目录，如果找不到才会去搜索系统目录。因此，该病毒将自身复制到IE目录下，与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒，然后病毒再去系统目录下调用正常的文件。病毒就在不知不觉中被加载了。<br>
<br>
手工删除：<br>
一、清除内存中的病毒<br>
<br>在任务管理器中找到“Mir0.dat”，单击鼠标右键，选择结束进程。<br><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161440.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>
<br>
二、恢复注册表<br>
<br>由于该病毒修改了注册表，使用户即使设置了“查看所有文件”也看不到它们。因此需要先对注册表进行修复。<br>
<br>1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。<br>
<br>2、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项，双击窗口右面的CheckedValue，将其值改为2。<br>
<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161514.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>3、同样，在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue改为1。<br>
<br>
三、删除病毒文件<br>
<br>1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。<br>
<br>2、删除掉Windows目录（默认WinXP系统为C:\windows，Win2000系统为C:\WINNT）下的mir0.dat和Hooks.dll文件。<br>
<br>3、删除Windows目录中System32目录下的wintemp.dll文件。<br><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161537.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>4、关闭所有IE窗口，并结束所有名为“iexplorer.exe”的进程。删除掉IE安装目录（默认为C:\Program Files\Internet Explorer）下的Wsock32.dll及Wsock32.dll.tmp)文件。<br>
<br>5、查找硬盘上所有的wsock32.dll文件，并查看大小，正常系统文件大小应为20~30KB，病毒文件大小为60~90KB。将找到的病毒文件全部删除。<br>
<br>
四、最后检验<br>
<br>再次打开任务管理器，检查是否还会出现名为“Mir0.dat”的进程，如果没有再出现则病毒已经清除干净。<br>
<br>
瑞星提示：<br>
<br>该病毒手工清除有一定难度和风险，建议用户使用杀毒软件进行清除。针对此病毒，瑞星已经升级。瑞星杀毒软件2006版18.18.32及其更高版本可以彻底查杀此病毒。用户还可以随时拨打瑞星反病毒急救电话：010-82678800来寻求帮助。<br>

jaffas1101

感谢分享！

一只猫

谢谢楼主的贴子,我都不怎么玩游戏的,这病毒清除起来麻烦,我直接用软件杀掉好了

邮件服务

<br>
最近这病毒一直困饶着我，江民根本查不出来，这个办法对我来说有点<br>
复杂，看着晕，不行就换套瑞星装上<br>

dourumi

看来这个木马挺厉害啊，反正我平时都是开着瑞星防火墙玩游戏的，这个可以保护游戏帐号，呵呵

波间带

看了下我的进层里面没有这个病毒，嘿嘿，可以放心了，我的防火墙是一直开着的，很安全！

sunflower66

病毒猖狂啊,用了很多都不管用,上次人家介绍这个,真的不错那

我很潇洒

路过，顶下！<br>
传奇的木马很多的，我平时玩游戏都是开着防火墙的，应该很安全。

http

瑞星总体来说还是不错的， 特别是防火墙功能不错。

dourumi

记得刚上网那会就用天网，还感觉不错，<br>
后来换了瑞星防火墙知道发现，天网真的很烂！