邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: [转]传奇终结者变种JKE(Mir0.dat)病毒的简要分析及手工清除方法 [打印本页]

作者: 一分半    时间: 2006-3-17 01:06
标题: [转]传奇终结者变种JKE(Mir0.dat)病毒的简要分析及手工清除方法
<br>
<br>
病毒名称:传奇终结者变种JKE (Trojan.PSW.LMir.jke)<br>
病毒类型:盗号木马<br>
病毒危害级别:★★★☆<br>
病毒发作现象及危害:<br>
病毒采用VC++语言编写,Aspack加壳。运行后,会在后台悄悄运行,窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息,并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以及其他一些软件出现故障,无法使用。<br>
<br>
如何判断是否感染此木马病毒:<br>
<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161404.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>该病毒有一个明显的现象,运行后会驻留内存。鼠标右键点击“任务栏”,选择“任务管理器”,点中“进程”标签。如果在窗口中看到一个名为“Mir0.dat”的进程就表示已经感染了此木马。<br><br>
该病毒的加载方式:<br>
<br>该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性,当程序调用DLL时会先查找当前目录,如果找不到才会去搜索系统目录。因此,该病毒将自身复制到IE目录下,与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒,然后病毒再去系统目录下调用正常的文件。病毒就在不知不觉中被加载了。<br>
<br>
手工删除:<br>
一、清除内存中的病毒<br>
<br>在任务管理器中找到“Mir0.dat”,单击鼠标右键,选择结束进程。<br><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161440.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>
<br>
二、恢复注册表<br>
<br>由于该病毒修改了注册表,使用户即使设置了“查看所有文件”也看不到它们。因此需要先对注册表进行修复。<br>
<br>1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。<br>
<br>2、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项,双击窗口右面的CheckedValue,将其值改为2。<br>
<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161514.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>3、同样,在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue改为1。<br>
<br>
三、删除病毒文件<br>
<br>1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。<br>
<br>2、删除掉Windows目录(默认WinXP系统为C:\windows,Win2000系统为C:\WINNT)下的mir0.dat和Hooks.dll文件。<br>
<br>3、删除Windows目录中System32目录下的wintemp.dll文件。<br><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://forum.ikaka.com/uploadfiles/20063/16/1493022006316161537.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>4、关闭所有IE窗口,并结束所有名为“iexplorer.exe”的进程。删除掉IE安装目录(默认为C:\Program Files\Internet Explorer)下的Wsock32.dll及Wsock32.dll.tmp)文件。<br>
<br>5、查找硬盘上所有的wsock32.dll文件,并查看大小,正常系统文件大小应为20~30KB,病毒文件大小为60~90KB。将找到的病毒文件全部删除。<br>
<br>
四、最后检验<br>
<br>再次打开任务管理器,检查是否还会出现名为“Mir0.dat”的进程,如果没有再出现则病毒已经清除干净。<br>
<br>
瑞星提示:<br>
<br>该病毒手工清除有一定难度和风险,建议用户使用杀毒软件进行清除。针对此病毒,瑞星已经升级。瑞星杀毒软件2006版18.18.32及其更高版本可以彻底查杀此病毒。用户还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。<br>
作者: jaffas1101    时间: 2006-3-17 09:19
标题: re:感谢分享!
感谢分享!
作者: 一只猫    时间: 2006-3-17 22:24
标题: re:谢谢楼主的贴子,我都不怎么玩游戏的,这病...
谢谢楼主的贴子,我都不怎么玩游戏的,这病毒清除起来麻烦,我直接用软件杀掉好了
作者: 邮件服务    时间: 2006-3-18 23:31
标题: re:最近这病毒一直困饶着我,江民根本查不...
<br>
最近这病毒一直困饶着我,江民根本查不出来,这个办法对我来说有点<br>
复杂,看着晕,不行就换套瑞星装上<br>

作者: dourumi    时间: 2006-3-19 15:52
标题: re:看来这个木马挺厉害啊,反正我平时都是开着...
看来这个木马挺厉害啊,反正我平时都是开着瑞星防火墙玩游戏的,这个可以保护游戏帐号,呵呵
作者: 波间带    时间: 2006-3-20 20:35
标题: re:看了下我的进层里面没有这个病毒,嘿嘿,可...
看了下我的进层里面没有这个病毒,嘿嘿,可以放心了,我的防火墙是一直开着的,很安全!
作者: 一只猫    时间: 2006-3-22 06:02
标题: re:其实如果装了正版的瑞星,那游戏帐号就应该...
其实如果装了正版的瑞星,那游戏帐号就应该放心,瑞星的木马墙技术可以保护帐号的,
作者: sunflower66    时间: 2006-3-22 23:02
标题: re:病毒猖狂啊,用了很多都不管用,上次人家介...
病毒猖狂啊,用了很多都不管用,上次人家介绍这个,真的不错那
作者: 我很潇洒    时间: 2006-3-23 00:20
标题: re:路过,顶下!传奇的木马很多的,我平时...
路过,顶下!<br>
传奇的木马很多的,我平时玩游戏都是开着防火墙的,应该很安全。
作者: http    时间: 2006-3-23 00:35
标题: re:瑞星总体来说还是不错的, 特别是防火墙...
瑞星总体来说还是不错的, 特别是防火墙功能不错。
作者: zijingyeshao    时间: 2006-3-23 23:34
标题: re:看来是我的防火墙过时了啊,不管用下个这个...
看来是我的防火墙过时了啊,不管用下个这个用用看,好在推荐给别人
作者: 相信无限9    时间: 2006-3-24 03:00
标题: re:我就是一直用瑞星防火墙的,主要是这个...
我就是一直用瑞星防火墙的,<br>
主要是这个有游戏帐号保护功能,<br>
对于经常玩游戏的人非常实用的。
作者: sunflower66    时间: 2006-3-24 18:54
标题: re:瑞星防火墙比天网好用多了,瑞星杀毒软件病...
瑞星防火墙比天网好用多了,瑞星杀毒软件病毒库升级也很及时,不错的
作者: dourumi    时间: 2006-3-25 02:47
标题: re:记得刚上网那会就用天网,还感觉不错,...
记得刚上网那会就用天网,还感觉不错,<br>
后来换了瑞星防火墙知道发现,天网真的很烂!
作者: 春天不远了    时间: 2006-3-25 16:34
标题: re:我都不用防火墙的,只装了瑞星的杀毒软件....
我都不用防火墙的,只装了瑞星的杀毒软件.平常不玩游戏的.也用不到瑞星的那个木马墙功能,
作者: fff22    时间: 2006-3-26 06:32
标题: re:只要开游戏, 我的瑞星防火墙就会先行动起...
只要开游戏, 我的瑞星防火墙就会先行动起来的,等丢了就罗嗦了/
作者: 我是大人    时间: 2006-3-26 07:45
标题: re:我的帐号也是丢了,我用的金山的,不行的话...
我的帐号也是丢了,我用的金山的,不行的话我就换成瑞星的。
作者: sunflower66    时间: 2006-3-26 18:10
标题: re:的确,如果和瑞星比起来天网真的是超级的垃...
的确,如果和瑞星比起来天网真的是超级的垃圾……
作者: 打击力量    时间: 2006-3-26 19:52
标题: re:有这夸张吗?天网可是存在了好多年了,不过...
有这夸张吗?天网可是存在了好多年了,不过瑞星确实不错,我一直用的瑞星,全套。
作者: 一只猫    时间: 2006-3-26 22:13
标题: re:不用全部都装上的.只装一个就好,我只装了...
不用全部都装上的.只装一个就好,我只装了他的杀毒软件.没用防火墙,
作者: 副路    时间: 2006-3-27 11:27
标题: re:手工删除病毒太麻烦,我一般是用软件直...
<br>
手工删除病毒太麻烦,我一般是用软件直接杀了就行了。
作者: zijingyeshao    时间: 2006-3-27 18:53
标题: re:这叫一个后悔啊,金山也用过,不是很理想,...
这叫一个后悔啊,金山也用过,不是很理想,看来就是瑞星能顶用了
作者: fff22    时间: 2006-3-28 04:27
标题: re:懒人有懒的办法,我装瑞星让他自己删!
懒人有懒的办法,我装瑞星让他自己删!
作者: eioo88    时间: 2006-3-28 09:05
标题: re:我个人认为杀毒软件的更新还赶不上变种病毒...
我个人认为杀毒软件的更新还赶不上变种病毒的更新快,可能说的太片面。
作者: zijingyeshao    时间: 2006-3-29 17:35
标题: re:呵呵,如果先有杀毒软件才有病毒就麻烦了
呵呵,如果先有杀毒软件才有病毒就麻烦了
作者: cctwo    时间: 2006-3-29 19:15
标题: re:太感谢你了,楼主,你讲的好详细,我看出点...
太感谢你了,楼主,你讲的好详细,我看出点眉目了
作者: fff22    时间: 2006-3-29 23:58
标题: re:搜索了好久,怎么就只有瑞星可以对付传奇...
搜索了好久,怎么就只有瑞星可以对付传奇木马?
作者: 打工人员    时间: 2006-3-30 10:00
标题: re:楼主肯定是个电脑专家,把这个病毒分析的怎...
楼主肯定是个电脑专家,把这个病毒分析的怎这么彻底,辛苦了。
作者: 刷油漆    时间: 2006-3-30 10:04
标题: re: 在我有一次关闭了杀毒软件(我...
<br>在我有一次关闭了杀毒软件(我玩CS时总是把杀毒软件给关了,这样玩得更流畅,但在上网前忘把它<br>
<br>
开了)的时候上了一下网,就不知在什么地方就粘上病毒,反正当电脑一启动后,就出现了瑞星发出的发<br>
<br>
现病毒提示。说发现了一种win32.Troj.Mir2.22090的32位WINDOWS病毒,在C:\WINDOWS\System32<br>
<br>
\cq0dll.dll文件中,(难怪我前一次上网不知道怎么回事,所有网页就自动关闭了)点了清除病毒这个<br>
<br>
按键,但是没多久瑞星马上又提示这个病毒又出现了,我想可能是清除得不干净吧,干脆又点了删除文件<br>
<br>
,但提示依旧,难道是瑞星出了什么问题?它没有办法彻底删除文件?于是我用安全模式进入了windows<br>
<br>
,并进入:\WINDOWS\System32\这个目录,并顺利的删除了cq0dll.dll文件,我心中一阵高兴,这不就行<br>
<br>
了,启,进入WINDOWS,心中正得意的时候,瑞星报警了,天啊!怎么又是你,烦不烦啊!是不是瑞星报错<br>
<br>
了?我又进入c:\WINDOWS\System32\cq0dll.dll文件又在那儿了,怎么回事?我不是删除了吗?我删,但<br>
<br>
系统总是给我“删除文件或文件夹出错”的提示框。怎么回事?我在安全模式可以把它给删除了,但现在<br>
<br>
正常进入又不能删除,这只能是说,它现在正被内存中的某一个程序调用,所以无法删除,难怪瑞星用了<br>
<br>
吃奶的力,也无济于事。dll文件不可以自己调进去的吧!我打开优化大师->系统性能优化->开机速<br>
<br>
度优化(因为这里显示有开机自动调入的文件列表)。看了一下,好像没有什么不对的地方啊!看来我又<br>
<br>
要重新安装系统了,但一想到重新安装系统那近一个小时的时间,我可以打CS好几十回了。就又耐下性子<br>
<br>
来看,发现一个叫explorer的程序叫起疑,explorer如果是平时我们用的浏览器,就不应该在这里出现,<br>
<br>
系统在启动时会自动调入它,范不着,把它写进注册表中。我暂时不删你。看看你是不是我心中所想,就<br>
<br>
又用优化大师的模块管理工具,找到这个explorer,一点,在下面一大堆的发现了它的真面幕,它是<br>
<br>
c:\programfiles\explorer.exe文件,我心中想,是它了,还有没有?又续继看,又发现了一个可疑的文<br>
<br>
件c:\downsys.exe。这两个文件都不是系统文件和我安装的文件。其它的一大堆dll我看也不看了,因为<br>
<br>
如果它们有什么问题,瑞星早就叫起来了。我在“开机速度优化”选中explorer,并点优化(其实是让电<br>
<br>
脑启动时不自动运行它)。退出,在优化大师提示要优化完成就要重新启动的提示下我重新启动了电脑。<br>
<br>
进入后瑞星只提示一回病毒,并顺利清除它后,就没有再叫过。我进入c:\WINDOWS\System32\一看,<br>
<br>
cq0dll.dll文件终于给删除了。我吁了一口气,知道自己这注压对了。<br><br>
  为了验证是否正确,我先运行了c:\downsys.exe,瑞星马上提示发现了病毒,并可以删除。我又运行<br>
<br>
了c:\program files\explorer.exe,瑞星又马上提示发现了病毒,但这一回怎么都删不了啦。我知道,<br>
<br>
就是它们了,在又用优化大师做了像前面那一次的动作后就又重新启动,一切正常我把它们用rar备份起<br>
<br>
来以后,痛快的删除了它们。到此这个病毒不再来烦我啦。想不到因为上网没有开杀毒软件就烦了我半天<br>
<br>
,真是教训惨痛,希望不要像我一样马大哈。从那以后我上网时必定把瑞星打开。<br>
<br>
<br>

作者: 学习的智慧    时间: 2006-3-31 14:08
标题: re:哎,怎么老有病毒,那来的呢,搅得我老是无...
哎,怎么老有病毒,那来的呢,搅得我老是无法正常工作
作者: sunflower66    时间: 2006-3-31 16:46
标题: re:病毒也是人写出来的,就好象在社会上有小偷...
病毒也是人写出来的,就好象在社会上有小偷就有警察一样的道理
作者: zijingyeshao    时间: 2006-4-2 00:24
标题: re:可惜警察也不能把小偷给全部抓完,杀毒软件...
可惜警察也不能把小偷给全部抓完,杀毒软件也是一样的
作者: 支农    时间: 2006-4-2 18:26
标题: re:我以后的赚钱买个电脑,在网吧上网老中毒,...
我以后的赚钱买个电脑,在网吧上网老中毒,肯定是他们的杀毒软件不好.
作者: dretyu    时间: 2006-4-3 07:41
标题: re:对待这种变种病毒不能手软,楼主你把它杀的...
对待这种变种病毒不能手软,楼主你把它杀的彻底一些,我们才能解恨
作者: sunflower66    时间: 2006-4-3 18:02
标题: re:完全同意楼上的说法,这样的病毒就要坚决铲...
完全同意楼上的说法,这样的病毒就要坚决*除到底,不然害人阿
作者: zijingyeshao    时间: 2006-4-4 17:53
标题: re:楼上想说坚决铲除吧,怎么是个星号那?难道...
楼上想说坚决铲除吧,怎么是个星号那?难道被屏蔽了?不能吧
作者: sunflower66    时间: 2006-4-5 17:56
标题: re:哈哈,难道鄙视我,为什么你的显示,我的就...
哈哈,难道鄙视我,为什么你的显示,我的就不显示呢
作者: xxfxhh    时间: 2006-4-6 14:44
标题: re:用VC++语言编写的病毒怎么厉害啊!
用VC++语言编写的病毒怎么厉害啊!
作者: zijingyeshao    时间: 2006-4-7 00:13
标题: re:只要是病毒不管是用什么写出来的都是很厉害...
只要是病毒不管是用什么写出来的都是很厉害的啊
作者: sunflower66    时间: 2006-4-8 02:13
标题: re:这些写病毒的人安的什么心阿,为什么要这么...
这些写病毒的人安的什么心阿,为什么要这么做那???
作者: zijingyeshao    时间: 2006-4-8 17:52
标题: re:显示他们很有能力阿,说明他们有本事阿,也...
显示他们很有能力阿,说明他们有本事阿,也许技术很高,但思想很垃圾
作者: 慕容翎    时间: 2006-4-9 07:07
标题: re:哇,楼主介绍的方法很复杂,我不会啊,怎么...
哇,楼主介绍的方法很复杂,我不会啊,怎么办 ,有哪位好心的大虾帮帮我啊,教教我这个笨菜鸟好不好。
作者: sunflower66    时间: 2006-4-9 20:23
标题: [转]传奇终结者变种JKE(Mir0.dat)《镜募蛞治黾笆止で宄椒? class=fminpt&g
很复杂么?还好了,楼上仔细看看会明白的,要不你留个QQ啥的,我教你阿
作者: zijingyeshao    时间: 2006-4-10 17:11
标题: re:汗死了,你不会就是传说中的黑客吧,怕怕呢
汗死了,你不会就是传说中的黑客吧,怕怕呢
作者: gb5gdxd    时间: 2006-4-11 16:24
标题: re:我只知道病毒,木马又是什么东西啊?
我只知道病毒,木马又是什么东西啊?
作者: sunflower66    时间: 2006-4-11 18:58
标题: re:说说而已,大家不要当真哦,呵呵,完全是玩...
说说而已,大家不要当真哦,呵呵,完全是玩笑
作者: yingvdssa    时间: 2006-4-14 10:29
标题: re:有瑞星应该就不会有这些问题了,因为这样处...
有瑞星应该就不会有这些问题了,因为这样处理木马太麻烦了,我这个菜鸟不会。
作者: yingvdssa    时间: 2006-4-15 16:15
标题: re:电脑被病毒入侵一直都是令人头痛的事,能有...
电脑被病毒入侵一直都是令人头痛的事,能有一个好的杀毒软件,只是上网也可以放心些。
作者: yingvdssa    时间: 2006-4-18 08:36
标题: re:不错,上网要拒绝诱惑,还有就是装个瑞星软...
不错,上网要拒绝诱惑,还有就是装个瑞星软件,那么就可以万事大吉,高枕无忧了。
作者: 打击力量    时间: 2006-5-16 12:49
标题: re:是啊,现在太多人为了钱不择手段,所以大家...
是啊,现在太多人为了钱不择手段,所以大家一定要做好防范。
作者: dream96138    时间: 2006-5-18 15:27
标题: re:很久没有玩这个游戏了,偷的人怎么都比防的...
很久没有玩这个游戏了,偷的人怎么都比防的人利害~~~~~~<br>
呵呵
作者: 放声大哭    时间: 2006-5-26 14:35
标题: re:因为盗别人账号能让他们赚到钱啊,其实只要...
因为盗别人账号能让他们赚到钱啊,其实只要没人花钱买帐号的话,他们也就不会费劲去做病毒了。
作者: dream96138    时间: 2006-5-28 12:32
标题: re:有钱能使鬼推磨,我朋友的号就被盗过.后来...
有钱能使鬼推磨,我朋友的号就被盗过.后来很幸运的找回来了,可是里面的东西全没有,辛苦大半年的心血呀
作者: 一只猫    时间: 2006-5-29 04:37
标题: re:我都不怎么玩游戏的.里面的病毒和木马太多...
我都不怎么玩游戏的.里面的病毒和木马太多了.而且挂一个帐号很不容易的




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/) Powered by Discuz! X3.2