传奇窃贼

病毒名称：Trojan/PSW.LMir

病毒中文名：“传奇窃贼”

病毒类型：木马

危险级别：★

影响平台：Win9x/2000/XP/NT/Me

描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。

手动清除方法：

它会在%WinDir%目录下生成的explorer.com文件也很迷惑人，与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理，脱掉后可以看出是用VisualC++6.0编写的。

1、先再任务管理器中结束explorer.com进程，注意：是explorer.com而不是explorer.exe。

2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉，注意：删除后就不要再打开这个分区了，否则会再次感染。

3删除%WinDir%\explorer.com文件(注：WindowsXP系统在C:\windows\explorer.com，Windows2000/NT系统在C:\WINNT\explorer.com。)

4最后在注册表中删除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Net"=%WinDir%\services.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

"Load"=%WinDir%\assistse.exe

这两个键值，这样病毒就不会随这机器开机运行了。