ElementClient.exe zxavpw0.dll 诛仙盗号木马49152,Win32.PSWTroj.OnLineGames.49152是个盗取网络游戏《诛仙》帐号的盗取木马。它会注入系统桌面进程中，实现隐蔽运行。并不断重写自身的注册表启动项，试图阻止杀软和用户对自己的查杀。

运行后释放的病毒文件:
%sys32dir%\zxavpw0.dll

病毒文件 zxavpw0.dll 注入 explorer.exe 进程.

病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.

判断病毒文件是否注入到 elementclient.exe 进程.如是,则开始进行盗号操作.(通过读取 elementclient.exe 进程的内存盗取帐号信息)

病毒创建注册表:
HKLM\SOFTWARE\Classes\CLSID \{0F7D33A7-42FD-9108-755A-B09632CB0FBD}\ExeModuleName: "C:\Documents and Settings\terry\桌面\21.exe"
HKLM\SOFTWARE\Classes\CLSID\{0F7D3 3A7-42FD-9108-755A-B09632CB0FBD}\DllModuleName: "C:\WINDOWS\system32\zxavpw0.dll"
HKLM\SOFTWARE\Classes\CLSID\{0F7D33A7- 42FD-9108-755A-B09632CB0FBD}\SobjEventName: "CZXSDERDAKSIIZX_0"
HKLM\SOFTWARE\Classes\CLSID\{0F7D33A7-7 55A-42FD-9108-B09632CB0FBD}\InprocServer32\: "C:\WINDOWS\system32\zxavpw0.dll"
HKLM\SOFTWARE\Classes\CLSID\{0F7D33A7-7 55A-42FD-9108-B09632CB0FBD}\InprocServer32\ThreadingModel: "Apartment"

病毒通过注册表创建自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0F7D33A7-755A-42FD-9108-B09632CB0FBD}: "Extr rising hook ZX"

将盗取所得的信息发送到以下地址:
http://www.XXXX.com/yemen/wushuang/pobao.asp?u=&p=&cs=&cu=&cm=&co=&ck=&a...