此文是《彻彻底底防木马》一点小小的补充，以后我会尽快把一些大家不太明白的地方都重新写一次。争取看到这些文章的朋友都可以有所收获。 
上文提到用进程结束软件关闭木马进程，没有详细说明，也是大家比较感兴趣的地方。结束了木马的进程，就向你杀死了1000的组玛卫士，没挂之前猛的要命，死了怕毛？ 
到华军软件圆下载    Another Task Manager 3.0                        http://www.onlinedown.net/soft/5071.htm 
下载安装后运行ATM,上面有一个进程列表，留下下面的进程，其别的全部杀掉！注意要和下面的进程一个字都不可以错！特别要区分数字0和字母0，数字1和字母l 
c:\windows\system\kernel32.dll (系统核心进程) 
c:\windows\system\msgsrv32.exe(系统核心进程) 
c:\windows\system\spool32.exe(系统核心进程) 
c:\windows\system\mprexe.exe(系统核心进程) 
c:\windows\system\rpcss.exe(系统核心进程) 
c:\windows\system\wmiexe.exe(系统核心进程) 
c:\windows\system\pstores.exe(系统核心进程) 
c:\windows\explorer.exe（windows界面程序，大家看到的windows界面就是他了） 
c:\windows\system\internat.exe(输入法，最好也关了) 
c:\windows\system\systray.exe（音量调节最好也关了） 
关闭的方法是选种那个进程，然后找到”KILL”这个按纽，点点就是了。不过上面的进程不要随便关闭。为什么？你把c:\windows\system\kernel32.dll 关了试试看 ：） 
这时你就有一个干净的系统了，不过不要高兴早了，这样处理的系统对于关联到exe文件的木马还是没有用的，因为你要进传奇就要运行mir.exe,和exe木马关联的程序还是启动了。在ATM里做完上述工作以后千万不要关闭，开外挂（保证外挂没有捆绑木马），开传奇，一直到输密码的地方，然后切换出来在ATM里面检查，除了上述进程外只应该多三个。 
E:\games\mir\Mir.exe (E:\games\mir\ 是你的的传奇的安装路径) 
E:\games\mir\ mir.dat (E:\games\mir\ 是你的的传奇的安装路径) 
C:\windows\desktop\cy\17126.exe(C:\windows\desktop\cy\是我外挂的路径) 
其中17126.exe是我用的外挂的程序名。如果你用的便宜外挂就应该是pywg.exe(?),还要注意路径！有一次 名名我的外挂是C:\windows\desktop\cy 的，运行以后一看居然变成c:\windows\temp了，哎，被捆了木马的外挂！ 
如果是这样的话恭喜！返回传奇界面登陆吧，3，4个木马尸体电脑里怕什么哦！这样的感觉很爽咯，体会一下就知道了。：） 
如果又有不明不白的程序启动的话，杀！然后再进传奇。 
ATM最好一只就开着，传奇掉线了再上也要看看哦！ 
也许有些朋友又要说了 ，这些乱七八糟的英文记不到啊。哎，朋友，试想一下，1400的卫士暴了，包一个阎罗你是不是可以一下子都看出来？还有啊传奇里里面坚固是属性、裁决持久多少你是不是一下子都讲的出来？熟能生巧的问题。去拿支笔抄下来，练习个10多次，专找木马多的网吧练习……呵呵。毕竟没次进传奇之前花2分钟的时间比你花5分钟享受盛大的密码保护服务舒服的多。 
如果你熟练了，这不光光是防传奇号丢，还可以防QQ,奇迹，传奇三……因为这样做是弄死木马！木马本不可怕，死了怕什么呢？ 
这样处理后，你中招的几率就和暴龙牙的几率差不多啦！不过也不要一味的迷信这种方法,技术每天都在发展，在计算机里没有什么不可能的事情，只要想的出来就做的出来！某天某位高人写出来更厉害的木马一定要先发给我让我中招，能死在高技术木马的手里也是一种幸福！ 
写文章的目的只是交流，希望大家共同进步，骂人的就免了，放马的就把你的马放我，我就喜欢骑马。

                 以上文章来自17173.com   由走路有风搜集整理

 我再补充一些

1.注册表里的RUN RUNONECE RONSERVER 也要注意！！！
2.其实进程管理软件最好的还是：进程管理器，这个东东不错，查看进程的时候会显示制造商，我就用这个查出了一个木马进程explorerer.exe,看是不是很公布，多一个字母
3.复制密码对系统钩子类木马是无能为力的。因为他是直接截取你密码框里的内容。而不是记录你敲键盘的键值
4.现在的木马早就能通过.jpg的文件进行传输。如果有人和你不熟悉就让你看照片，说不定就是木马哦~~
5.对于win98/me的用户有的木马还可能绑定到*.dll的文件中，如果删除了该文件，系统就有可能不能启动，只有重装系统了。
6.现在国内远程盗号的现象不是太多，大多盗号都是利用的网吧，只要装上一个键盘记录器就可以轻松搞定，大家还是小心输入密码的方式键盘记录器只能按顺序记录密码输入，如果你用倒着输密码（用鼠标区别前后顺序）这可以防止一般的盗号垃圾。不过很有效哦！又或者输入密码的时候用反复交叉输入就更好了  7.还有就是别浏览一些色情网站 呵呵  

 小知识：
    “木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

我本人对计算机有无比浓厚的兴趣，可惜学的不深，希望上面的一点小经验对大家有所帮助，最后祝大家天天有个好心情，让盗号者无机可乘.

来源：  作者：

点击数: | 回复数： | 时间:2007-11-2 11:44:20

发起辩论

|

收藏到我的网摘