病毒名称:Trojan/PSW.LMir
病毒中文名:“传奇窃贼”
病毒类型:木马
危险级别:★
影响平台:Win9x/2000/XP/NT/Me
描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。
手动清除方法:
它会在%WinDir%目录下生成的explorer.com文件也很迷惑人,与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理,脱掉后可以看出是用VisualC++6.0编写的。
1、先再任务管理器中结束explorer.com进程,注意:是explorer.com而不是explorer.exe。
2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉,注意:删除后就不要再打开这个分区了,否则会再次感染。
3删除%WinDir%\explorer.com文件(注:WindowsXP系统在C:\windows\explorer.com,Windows2000/NT系统在C:\WINNT\explorer.com。)
4最后在注册表中删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net"=%WinDir%\services.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]
"Load"=%WinDir%\assistse.exe
这两个键值,这样病毒就不会随这机器开机运行了。
