1、病毒名称:传奇终结者变种JKE (Trojan.PSW.LMir.jke) 病毒类型:盗号木马 病毒发作现象及危害: 病毒采用VC++语言编写，Aspack加壳。

(相关资料图)

2、运行后，会在后台悄悄运行，窃取《传奇》游戏玩家的用户名、密 码、登陆服务器、用户所属区域等信息，并把这些资料发送给病毒散布者。

3、该病毒还可能造成IE浏览器以 及其他一些软件出现故障，无法使用。

4、 如何判断是否感染此木马病毒: 该病毒有一个明显的现象，运行后会驻留内存。

5、鼠标右键点击“任务栏”，选择“任务管理器”，点中“ 进程”标签。

6、如果在窗口中看到一个名为“Mir0.dat”的进程就表示已经感染了此木马。

7、 该病毒的加载方式: 该木马病毒没有通过注册表或服务的形式加载自身。

8、它利用了操作系统的一个特性，当程序调用DLL时会 先查找当前目录，如果找不到才会去搜索系统目录。

9、因此，该病毒将自身复制到IE目录下，与系统DLL文 件同名。

10、当IE调用这个DLL文件时就运行了病毒，然后病毒再去系统目录下调用正常的文件。

11、病毒就在不 知不觉中被加载了。

12、 手工删除: 一、清除内存中的病毒 在任务管理器中找到“Mir0.dat”，单击鼠标右键，选择结束进程。

13、 二、恢复注册表 由于该病毒修改了注册表，使用户即使设置了“查看所有文件”也看不到它们。

14、因此需要先对注册表进行 修复。

15、 点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。

16、 2、找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden NOHIDDEN一项，双击窗口右面的CheckedValue，将其值改为2。

17、 3、同样，在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden SHOWALL，将CheckedValue改为1。

18、 三、删除病毒文件 打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作 系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定 ”。

19、 2、删除掉Windows目录(默认WinXP系统为C:windows，Win2000系统为C:WINNT)下的mir0.dat和 Hooks.dll文件。

20、 3、删除Windows目录中System32目录下的wintemp.dll文件。

21、 4、关闭所有IE窗口，并结束所有名为“iexplorer.exe”的进程。

22、删除掉IE安装目录(默认为C:Program FilesInternet Explorer)下的Wsock32.dll及Wsock32.dll.tmp)文件。

23、 5、查找硬盘上所有的wsock32.dll文件，并查看大小，正常系统文件大小应为20~30KB，病毒文件大小为 60~90KB。

24、将找到的病毒文件全部删除。

25、 四、最后检验 再次打开任务管理器，检查是否还会出现名为“Mir0.dat”的进程，如果没有再出现则病毒已经清除干净.。

本文分享完毕，希望对你有所帮助。

标签： 系统文件 任务管理器 所有文件 当前目录