来自金山毒霸反病毒中心最新消息：4月7日，一名为“魔域盗贼”变种MS（Win32.Troj.OnlineGames.ms）的网游盗号木马异常活跃，仅4月7日一天，金山毒霸客户服务中心就接到数百用户的求助电话。此变种除了盗取“魔域”帐号外，还可盗取“完美世界”和“浩方游戏平台”的账号密码，比之前的一些变种更加险恶。

金山毒霸反病毒专家戴光剑表示，“魔域盗贼”变种MS并非一普通的游戏盗号木马，它可用特殊的方法逃避杀毒软件的查杀，而且由于病毒本身存在一个缺陷，所以用户一旦中招，系统在启动过程中将无法显示桌面，致使用户无法看到桌面图标，而只能看到一个空白的桌面。

专家介绍，该病毒运行后，会把自己拷贝到系统目录中，并释放一个病毒文件C:\Windows\system32\wsttrs.dll(Win32.Troj.Onlinegames.nb.12288)，之后病毒体将自行删除。

用户一旦感染该病毒，病毒会寻找网络游戏“魔域”等的游戏进程，并使用钩子读取用户输入的游戏帐号与信息，把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去，使用户的游戏帐号丢失。

金山毒霸从5日开始就发现了该病毒的多个变种，而截止到目前，金山毒霸客户服务中心已接到数百用户的求助电话。针对该病毒的传播特点，金山毒霸反病毒中心及时进行了病毒样本分析，毒霸用户只要升级病毒库到2007.04.07.16，即可查杀该病毒目前所有变种。此外，对于非毒霸用户，金山毒霸反病毒工程师为您提供了一套手动清除方案，您可以根据方案中的清除方法彻底清除该病毒。

亲手揪出盗贼——“魔域盗贼”变种MS的手动解决方案

1、在Windows XP及其以上系统中

当无法进入桌面的时候，调出Windows任务管理器（Ctrl+Alt+Delete调出），切换到进程标签，然后找到 wsttrs.exe进程，选中后单击右键结束进程，既可正常显示桌面。

2、在Windows 2000及其它系统中

需要进入带网络连接的安全模式，升级毒霸到最新版本（2007.04.07.16），对Windows目录进行查毒，病毒查杀结束后，重启系统即可正常显示桌面。

3、当以上两种方案都不能成功，则有可能是该病毒的最新变种，应进入安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce（注意是RunOnce不是Run）

查找启动程序位于 系统盘\Windows 或者 系统盘\WinNT 文件夹下的启动项。

例如：

wstthrs　　　　c:\Windows\wsttrs.exe

或者wstthrs　　c:\winnt\wsttrs.exe

删除改键值，并向金山毒霸提交该文件，重启系统既可。