浅析“传奇”木马的防范方法 以及常见木马的进程 (转贴）

hfng

防治传奇木马首先要能够认识木马，木马分为捆绑在EXE文件上的木马(即通常所说的外挂木马)和网页木马，在你运行外挂和打开网页的时候，木马就种入了你的电脑中，在你进入传奇时，将你的密码和帐号发送到盗号者的邮箱中。

    首先，要在自己的电脑上装上杀毒软件，经常升级，一般的杀毒软件都带有防火墙，一旦发现病毒会自动报警，常用的杀毒软件有瑞星杀毒软件等。其中瑞星还有邮件发送监控功能，只要你的电脑里装了其中任何一种软件，并且保持经常升级，那一般的捆绑式木马和网页木马就逃不过它们的眼睛了。因为虽然一般的杀毒软件不会认为木马是病毒，但是用捆绑机捆绑后的木马，都会认为是病毒，网页木马也一般逃不过病毒防火墙的防范。

    第二，要在电脑中装上常用的专杀木马的软件.一般的杀木马软件有木马克星，PC绿鹰万能精灵，噬菌体密码防盗专家，超级兔子ms98，其中由于噬菌体密码防盗专家经常会误报，在IE地址栏输入字母也会报告键盘监听，并不太实用.有些比较厉害的木马，杀毒软件没有升级到最新是查不出来的，还有些木马，运行后会自动关闭杀毒软件防火墙，这时候，专杀木马的工具就有用了，用它们可以查出系统进程中的木马，还有些木马，运行后会强制关闭木马克星和绿鹰PC万能精灵。这时候就要用系统进程检查工具，我认为比较好用的是MS98，因为它并不是专杀木马的工具，所以木马都不会强制关闭它，如果你的电脑上已经运行不了木马克星和绿鹰精灵了，那就运行它来检查系统进程，看看有没有可疑的进程，运行这个软件后，里面有一项是自动运行，点开它，出现一个窗口，左边是进程管理，也就是目前正在运行的进程，右边是自动运行，也就是每次开机时自动运行的进程。由于木马运行后都会在系统中留下进程，也会随电脑自动运行，而这时在MS98里的系统进程和随机自动运行的进程都一目了然了，所以也就很好查杀了。找出可疑的进程，终止进程就可以了。下面我根据我防治传奇木马总结出的经验把常见的木马的进程列在下面:
　　
    1.　c:\windows\Taskmon32.exe，自动运行进程:Taskmon32

    2.　c:\windows\system\internet.exe，自动运行进程:Intel

    3.　c:\windows\scanrew.exe，自动运行进程:scanrew

    4.　c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe
　　自动运行进程:Microsoft

    5.　c:\windows\system\winsys.exe，自动运行进程:winsys

    6.　c:\windows\internet.exe，自动运行进程:internet

    7.　c:\windows\kiss.exe，自动运行进程:kiss