Troj/LegMir-Y

Veuillez suivre les instructions de suppression des chevaux de Troie.

Changez toutes les données qui peuvent avoir été compromises.

Windows NT/2000/XP/2003

Dans Windows NT/2000/XP/2003, vous devrez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez l'entrée HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run sysMett1 C:\Program Files\explorer.exe

et supprimez-la si elle existe.

Fermez l'éditeur du registre.

Troj/LegMir-Y est un cheval de Troie voleur de mots de passe qui tente de voler des mots de passe et des informations aux joueurs d'un jeu de rôles en ligne multi-joueurs appelé Lineage.

Lorsqu'il est exécuté pour la première fois sur Win9X, le cheval de Troie copie tout d'abord sur C:\ les fichiers Windows originaux rundll32.exe provenant du dossier Windows et internat.exe du dossier système Windows, puis les remplace par lui-même.

Lorsqu'il est exécuté pour la première fois sur Win2K/XP, il se copie dans le dossier Windows Program Files sous le nom explorer.exe et, pour démarrer automatiquement à la réinitialisation de l'ordinateur, crée dans le registre l'entrée suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run sysMett1 C:\Program Files\explorer.exe

Troj/LegMir-Y injecte par ailleurs un fichier d'aide dll dans le dossier système Windows sous le nom de htdll.dll et le charge.

Troj/LegMir-Y peut tenter de mettre un terme à quelques processus antivirus et de sécurité.