该病毒的加载方式:
该木马病毒没有通过注册表或服务的形式加载自身。它利用了操作系统的一个特性,当程序调用DLL时会先查当前目录,如果不到才会去搜索系统目录。因此,该病毒将自身复制到IE目录下,与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒,然后病毒再去系统目录下调用正常的文件。病毒就在不知不觉中被加载了。
手工删除:
一、清除内存中的病毒
在任务管理器中到“Mir0.dat”,单击鼠标右键,选择结束进程。
二、恢复注册表
由于该病毒修改了注册表,使用户即使设置了“查看所有文件”也看不到它们。因此需要先对注册表进行修复。
1、点击精忠传奇“开始”菜单,选择“运行”,输入“”并确定,打开注册表编辑器。
2、到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项,双击窗口右面的CheckedValue,将其值改为2。
3、同样,在注册表中到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue改为1。
三、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、删除掉Windows目录(默认WinXP系统为C:\windows,Win2000系统为C:\WINNT)下的mir0.dat和Hooks.dll文件。
3、删除Windows目录中System32目录下的wintemp.dll文件。
4、关闭所有IE窗口,并结束所有名为“”的进程。删除掉IE安装目录(默认为C:\Program Files\Internet Explorer)下的Wsock32.dll及p)文件。
5、查硬盘上所有的wsock32.dll文件,并查看大小,正常系统文件大小应为20~30KB,病毒文件大小为60~90KB。将到的病毒文件全部删除。
四、最后检验
再次打开任务管理器,检查是否还会出现名为“Mir0.dat”的进程,如果没有再出现则病毒已经
清除干净。
发布评论