Win32.Troj.PSWMHXY

这是一个盗取梦幻西游帐号信息的木马病毒。该病毒首先会尝试关闭一些常用病毒防火墙和一些反木马程序，如金山网镖、瑞星防火墙、天网防火墙、木马克星等。然后就挂钩系统的鼠标和键盘消息，截取用户的梦幻西游帐号信息，并将这些帐号信息发送到木马种植者预定的邮箱。

1.创建信号量SemaphorexyMuMa防止多个实例同时运行。

2.将自己复制为%SystemRoot%\inf\rundll32.exe，释放文件%System32%\xydll.dll（117248字节）

3.在注册表中添加
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"loadMexy"="%SystemRoot%\inf\rundll32.exe"

4.查找窗口名和窗口类为：
RavMon.exe
RavMonClass

天网防火墙个人版
Tapplication

天网防火墙企业版
TForm1

噬菌体
TfLockDownMain

ZoneAlarm
ZAFrameWnd
的窗口并关闭它们。

终止进程：
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE

5.通过查找窗口“WSGAME”和“梦幻西游ONLINE”截取用户的梦幻西游帐号信息保存在：
c:\gamexy.txt
c:\gamect2.txt