幸福的狮子 - 2006-3-16 16:14:00
病毒名称:传奇终结者变种JKE (Trojan.PSW.LMir.jke)
病毒类型:盗号木马
病毒危害级别:★★★☆
病毒发作现象及危害:
病毒采用VC++语言编写,Aspack加壳。运行后,会在后台悄悄运行,窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息,并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以及其他一些软件出现故障,无法使用。
如何判断是否感染此木马病毒:
该病毒有一个明显的现象,运行后会驻留内存。鼠标右键点击“任务栏”,选择“任务管理器”,点中“进程”标签。如果在窗口中看到一个名为“Mir0.dat”的进程就表示已经感染了此木马。
附件:
1493022006316161404.gif
幸福的狮子 - 2006-3-16 16:14:00
该病毒的加载方式:
该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性,当程序调用DLL时会先查找当前目录,如果找不到才会去搜索系统目录。因此,该病毒将自身复制到IE目录下,与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒,然后病毒再去系统目录下调用正常的文件。病毒就在不知不觉中被加载了。
手工删除:
一、清除内存中的病毒
在任务管理器中找到“Mir0.dat”,单击鼠标右键,选择结束进程。
附件:
1493022006316161440.gif
幸福的狮子 - 2006-3-16 16:15:00
二、恢复注册表
由于该病毒修改了注册表,使用户即使设置了“查看所有文件”也看不到它们。因此需要先对注册表进行修复。
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项,双击窗口右面的CheckedValue,将其值改为2。
附件:
1493022006316161514.gif
幸福的狮子 - 2006-3-16 16:15:00
3、同样,在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue改为1。
三、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、删除掉Windows目录(默认WinXP系统为C:\windows,Win2000系统为C:\WINNT)下的mir0.dat和Hooks.dll文件。
3、删除Windows目录中System32目录下的wintemp.dll文件。
附件:
1493022006316161537.gif
幸福的狮子 - 2006-3-16 16:15:00
4、关闭所有IE窗口,并结束所有名为“iexplorer.exe”的进程。删除掉IE安装目录(默认为C:\Program Files\Internet Explorer)下的Wsock32.dll及Wsock32.dll.tmp)文件。
5、查找硬盘上所有的wsock32.dll文件,并查看大小,正常系统文件大小应为20~30KB,病毒文件大小为60~90KB。将找到的病毒文件全部删除。
四、最后检验
再次打开任务管理器,检查是否还会出现名为“Mir0.dat”的进程,如果没有再出现则病毒已经清除干净。
瑞星提示:
该病毒手工清除有一定难度和风险,建议用户使用杀毒软件进行清除。针对此病毒,瑞星已经升级。瑞星杀毒软件2006版18.18.32及其更高版本可以彻底查杀此病毒。用户还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。
不言放弃 - 2006-3-16 17:00:00
我要好好学习一番
没有见到楼主老兄啊
嘻嘻
友好人士 - 2006-3-16 22:33:00
我学习,长见识
闪电风暴 - 2006-3-17 12:45:00
学习
feng2418 - 2006-3-19 2:30:00
学毛 根本杀不了,
老子整了几个小时了
我瑞星18.18.42的
我靠~~~~~~~~~~
老子要投诉
闪电风暴 - 2006-3-20 18:59:00
楼上说话请文明些好吗??
哈哈镜hahajing - 2006-3-23 15:27:00
【回复“feng2418”的帖子】注意文明
710207 - 2006-3-25 19:08:00
| 引用: |
【feng2418的贴子】学毛 根本杀不了,
老子整了几个小时了
我瑞星18.18.42的
我靠~~~~~~~~~~
老子要投诉
........................... |
????????????????
起啥名呢 - 2006-3-28 21:59:00
呵呵~心情能够理解
juvenile27 - 2006-4-3 10:42:00
很棒啊!
要学学一下思路!
梦想成为高手 - 2006-4-8 17:47:00
我新装的系统
我打开传奇三后,角色下载那就CPU100%,主要是HolleyClient.dll这个文件占CPU100%,搞的我现在玩不了传奇三游戏了,开一次就要结束任务一次,求高手帮我解决一下。。
真爱见鬼 - 2006-6-29 20:59:00
倒塌! 你的机器肯定有问题!~
yimarong - 2006-7-30 17:07:00
原来shanda.dll也是这种情况!
aijunzhu - 2006-8-7 9:21:00
对于不文明人俺老猪建议拒绝回答他的求助
我要星星 - 2006-8-10 17:34:00
老大我玩梦幻西游被盗号了我看了好多贴子就是找不到木马郁闷ing帮一下啊
极品弓手 - 2006-8-14 19:01:00
中了这个病毒杀完了又来快烦死了,后来用了木马杀客查出了两个瑞星查不出来的木马,总算病毒不来了,差一点重装系统,真不知道瑞星在干什么,收费的还不如免费的.
淡漠心情 - 2006-8-14 20:37:00
| 引用: |
【不言放弃的贴子】我要好好学习一番
没有见到楼主老兄啊
嘻嘻
……………… |
沉默不语001 - 2006-8-15 8:23:00
进程管理里面没那个进程,但我的电脑确实中了该病毒,并且杀不干净,每次开机就有,该怎么办啊?希望高手不吝赐教
沉默不语001 - 2006-8-15 8:24:00
【回复“极品弓手”的帖子】哪儿有下啊
© 2000 - 2026 Rising Corp. Ltd.