win32.troj专杀工具

Win32.Troj.OnlineGames.ej.53248是一个网游盗号木马。该木马通过模拟鼠标点击的方式关闭部分杀毒软件的通知和报警窗口，然后读取游戏的内存空间，盗取网络游戏《天龙八部》、《惊天动地》等游戏和“浩方游戏平台”的帐号。

1.木马释放如下文件：
%systemboot%\system32\AVPSrv.dll
%systemboot%\AVPSvr.exe

2.添加如下注册表项，实现开机自启动
HEKY_LOCAL_MACHINE_SoftWare\Microsoft\Windows\CurrentVersion\RUN\AVPSvr.exe

3.该木马首先会循环查找部分杀毒软件的报警窗口，如果找到则模拟鼠标点击的方式关闭掉。使用户不能够察觉木马的非法操作。如果发现有特定的游戏进程或者窗口则创建相应的线程，通过读取内存的方式盗取用户帐号信息。

所关闭的杀软窗口:
卡巴斯基的通知窗口和警告窗口
在进程快照中搜索RavMon.exe
------------------
搜索的游戏：
搜索TianLongBaBuWndClass 窗口
检查是否注入下列进程
LaTaleCliet.exe
gameclient.exe 浩方
cabalmain.exe 惊天动地