终结者变种JKE（Mir0.dat）病毒详细分析及清除方法

采用VC++语言编写，Aspack加壳。运行后，会在后台悄悄运行，窃取《》玩家的用户名、密码、登陆、用户所属区域等信息，并把这些资料发送给病毒散布者。该还可能造成IE浏览器以及其他一些软件出现故障，无法使用。 

如何判断是否感染此木马： 

的简要分析及手工清除方法 

 

该有一个明显的现象，运行后会驻留内存。鼠标右键点击“任务栏”，选择“任务管理器”，点中“进程”标签。如果在窗口中看到一个名为“Mir0.dat”的进程就表示已经感染了此木马。 

 

该的加载方式： 

该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性，当程序调用DLL时会先查找当前目录，如果找不到才会去搜索系统目录。因此，该病毒将自身复制到IE目录下，与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒，然后病毒再去系统目录下调用正常的文件。就在不知不觉中被加载了。 

手工删除： 

一、清除内存中的 

在任务管理器中找到“Mir0.dat”，单击鼠标右键，选择结束进程。 

 

 

 

二、恢复注册表 

由于该修改了注册表，使用户即使设置了“查看所有文件”也看不到它们。因此需要先对注册表进行修复。 

1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。 

2、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项，双击窗口右面的CheckedValue，将其值改为2。手工清除mir0.dat,传奇终结者变种jke,传奇终结者变种,传奇终结者变种jba,终结者变种iwo,手工清除index.dat,手工清除病毒,手工清除灰鸽子,mir0.dat清除 

 

3、同样，在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue改为1。 

三、删除文件 

 

1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。   

 

2、删除掉Windows目录（默认WinXP系统为C:\windows，Win2000系统为C:\WINNT）下的mir0.dat和Hooks.dll文件。 

 

3、删除Windows目录中System32目录下的wintemp.dll文件。 

 

4、关闭所有IE窗口，并结束所有名为“iexplorer.exe”的进程。删除掉IE安装目录（默认为C:\Program Files\Internet Explorer）下的Wsock32.dll及Wsock32.dll.tmp)文件。 

5、查找硬盘上所有的wsock32.dll文件，并查看大小，正常系统文件大小应为20~30KB，病毒文件大小为60~90KB。将找到的文件全部删除。 

四、最后检验 

 

再次打开任务管理器，检查是否还会出现名为“Mir0.dat”的进程，如果没有再出现则已经清除干净。

对于不管是对于任何一个人来说电脑中存在这样一个病毒，无疑就是在自己身边安装了一个定时炸弹。各位可以更具一为原创上面介绍的传奇病毒技术之，终结者变种JKE（Mir0.dat）病毒详细分析及清除方法攻略彻底消除这个病毒，希望大家相互传播这篇攻略帮助更多的人。