《电脑报》论坛热帖：最近我不时在玩《魔兽环球》，一天突然发现游戏账号被盗，外面的游戏装备以及金币都不翼而飞。我在玩游戏时都很小心，将账号和密保卡启动了捆绑的。谁能通知我，这究竟是怎样回事呀？为什么我的密保卡没有起作用？

这位兄弟碰到的疑问，也困惑了如今不少《魔兽环球》玩家。一款名为酷狮子的木马，让《魔兽环球》安保的“守护神”——密保卡失效了。小揭示：密保卡是一张数字坐标图型卡，每一组数字对应不同的坐标。用户首先须要在账号通行证启动密保卡的绑定，当用户进入游戏的时刻只要输入正确的矩阵数字能力登入游戏。酷狮子盗号木马不同于传统的盗号木马，它间接交流了网络游戏的客户端程序，而且将木马程序设置为和网游客户端如出一辙的图标，并且仅在用户启动游戏时才激活木马程序。须要留意的是，当杀毒软件处置该木马时，就会被玩家以为杀毒软件“误杀”了游戏程序。它又是怎样让密保卡失效的呢？酷狮子木马会定时将游戏窗口封锁，因此用户必定屡次输入密保卡坐标系中的明码，这样坐标系中数字的大抵散布就进去了(假设盗取密保卡中60%以上的明码组，就可以开局盗号，成功率就十分高了)，于是黑客就可以应用这张自制的“密保卡”实现盗号操作。小揭示：酷狮子盗号木马还有针对《热血江湖》、《完美环球》、《武林外传》和《诛仙》的变种。WWW.ItcomPuTer.com.Cn酷狮子木马肃清打算先把酷狮子揪进去1.审核进程运转安保检测软件WSys Check后点击“进程治理”标签，咱们可以看到多个粉白色的进程，这些进程都被木马启动了线程拔出操作。它们的模块消息中都包含一个可疑的木马模块winow.dll。2.查找文件点击程序的“文件治理”标签后，在模拟的资源治理器窗口中，依照可疑模块的门路指引，很快就可以发现了那个可疑的木马模块文件，与此同时还可以发现一个和模块文件一同的木马文件winow.exe。看来这个盗号木马是由这两个文件组成的。再将酷狮子就地正法如今咱们就开局启动肃清了。在“进程治理”中首先找到粉白色进程并选中它们，接着选中某个进程外面包含的winow.dll模块，而后经过鼠标右键中的“卸载模块”命令肃清它。再在“文件治理”标签中对木马文件启动间接的强迫删除操作，这样就可以在不从新启动系统的情景下实现木马程序的肃清操作。当然还有一点各位用户千万要留意，就是网游装置目录下还有一个木马伪装的客户端程序，咱们将它删除后再找到被木马暗藏的反常客户端，改为原来的名字后便可以反常进入网游。总结酷狮子木马有两大特点：一是驳回了间接交流客户端这种“移花接木”的方法，来到达盗取账号明码的目标。以前的木马程序在盗号的时刻，经常驳回的是线程拔出技术，行将木马的服务端进程拔出到游戏客户端进程中。二是能记载密保卡的数字，从而到达让密保卡失效的目标。这种破解方式会惹起魔兽玩家屡次掉线，假设你在玩《魔兽环球》时有这样的现象就要小心了，要立刻开展安保审核，防止账号被盗。

网络中胡作非为众多的木马盗取网络买卖账号、失掉用户私密消息以谋取利益，普通用户往往由于对木马不够了解和对安保防范麻木大意，形成重大的结果。许多人都有中木马的教训，那么中了木马怎样肃清，往常怎样防护，请看上方的文章。怎样判别中了木马病人：木马危害真实太大了，那我怎样知道自己的电脑中了木马呢？医生：电脑中了木马后，有时刻会有一些十分典型的症状，比如杀毒软件智能封锁、电脑运转速度变慢、经常有一些生疏网页窗口弹出、系统中某些程序不可运转等；也有时刻症状并不显著，不过咱们可以经过一些蛛丝马迹来初步剖析电脑能否中了木马，比如检查“义务治理器”能否有不相熟的进程（一旦发现则到网上启动搜检查能否是病毒程序），从系统文件夹、注册表、启动程序等检查能否有可疑的文件或名目。上方咱们以感化了近期比拟生动的SoundMan木马的电脑为例来了解一下木马的一些经常出现行为。小知识：SoundMan木马SoundMan木马是应用Realtek声卡关系程序以及图标蛊惑用户的一款“网游木马下载器”，它除了具有普通木马能够屏蔽显示暗藏文件的性能外，还可以用交流服务等方式启动自身，并具有完结杀毒软件和在后盾下载少量网游木马的性能。1.暗藏文件曾经不可显示关上一个文件夹，在上方菜单当选用“工具/文件夹选项”，在“检查”中勾选“显示一切文件和文件夹”，并去掉“暗藏已知文件类型的裁减名”前面的勾。经过这样的操作后，暗藏文件还是不可显示。

揭示：一旦发现设置了“显示一切文件和文件夹”，而系统仍不可显示暗藏文件的话，必定要惹起足够的注重，极有或许有木马入侵。2.检查System32文件夹进入System32文件夹中（假定Windows XP装置在C盘），可以发现木马创立了ineters.exe、SoundMan.exe、tthh3.ini这三个文件（编注：之前咱们曾经对显示暗藏文件做了处置）。揭示：木马普通会在系统文件夹System32中监禁病毒文件以及关系的ini文件，假设疑心中了木马，留意审核此文件夹中那些在产生中毒症状前后所创立的文件。3.检查用户账户单击“开局/设置/控制面板”，双击“用户账户”，假设发现电脑中的Guest账户无端被激活，或是多出其它的生疏账号，例如名为Microsoft的账户，也要提高警觉，这也是感化木马的一个典型特色。4.检查auto文件当系统中了SoundMan.exe木马后，只需有新的可移动存储接入，此木马便会写入auto.exe和autorun.inf 文件，所以咱们在鼠标右键菜单中发现有auto、autorun任何一个选项，或是在移动硬盘或闪存根目录下检查发现auto.exe和autorun.inf 这两个文件，则证实中毒。揭示：如今的木马普通都会应用移动存储设置的智能播放性能启动病毒的写入和流传，所以假设在硬盘分区以及移动存储设施根目录下发现auto.exe和autorun.inf 这两个文件，则电脑与移动硬盘都曾经中毒。除了审核上方那些中央外，咱们还可以从以下几个木马青睐青睐藏身的中央来查找蛛丝马迹。一是从“Win.ini”文件判别能否中毒。应用记事本关上“C:\Windows”目录下的Win.ini文件。在文件的[windows]字段中查找启动命令“load=”和“run=”前面能否跟有程序，在普通状况下“=”前面是空白的，假设在“＝”号前面跟着程序（图2），那普通是中了木马病毒。二是从“System.ini”文件判别能否中毒。应用记事本方式关上位于“C:\Windows”目录下的“System.ini”文件，假设发现[boot]字段中“shell=Explorer.exe”后减少了程序，普通都是木马服务端程序。另外，在System.ini中的[386Enh]字段，要留意审核在此段内的“driver=门路\程序名”，这里也有或许被木马所应用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，它们起到加载驱动程序的作用，但也是减少木马程序的好场合，所以也须要启动审核。三是关上注册表编辑器启动查找。木马普通会应用注册表中的Run、RunServices、RunOnce等子项来加载，在“开局”/“运转”中输入“regedit”进入注册表编辑器，在以下几个中央启动检查。（1）注册表中的启动项检查“HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”下的RunServices、Run、RunOnce下能否有可疑名目。假设发现其中加载了一些生疏程序到系统文件夹中，那么则或许中了木马病毒。（2）文件关联键有些木马还会经过修正注册表中的某一类型文件的键值来加载程序。审核“HKEY_CLASSES_ROOT\XXX（编注：这里的XXX可以是exefile、comfile、batfile、htafile、piffile）\shell\open\command”子键中“自动”值：““%1” %*”；审核“HKEY_LOCAL_MACHINE\Software\CLASSES\ XXX（编注：这里的XXX可以是exefile、comfile、batfile、htafile、piffile）\shell\open\command”子键中“自动”值：““%1” %*”。这些“%1 %*”可以被赋值，假设发现自动值被修正，例如病毒木马将其改为“muma.exe %1 %*”，则或许中毒。横扫网络木马病人：我曾经中了木马，应当怎样肃清？医生：假设电脑系统分区中没有关键数据，那么应用备份及一键复原间接从新复原系统是最便捷的方法。假设不可这样做，可以用一些工具软件来帮助清算木马。目前很多木马病毒，譬如本例中的SoundMan.exe能够删除安保软件的启动名目、劫持安保/杀毒软件，并且衔接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安保软件，而后应用杀毒软件或专杀工具来肃清木马。下载SREng软件并更改称号运转，首先对注册表中的RUN键启动修复，选用“系统修复”选项中的“注册表”选项卡，删除未知的启动名目，比如门路为系统文件夹（C:\win dows\system32或C:\winnt\system32）中的Sound Man.exe木马病毒程序启动项（图3）。揭示：除了“注册表”启动项外，咱们最好进入 “启动名目”中的“Win.ini”、“System.ini”等选项中启动检查并肃清关系联的病毒加载项，免得病毒死灰复燃。而后再选用“系统修复”中的“文件关联”选项，勾选失误的文件关联，单击“修复”按钮，修复被木马病毒劫持的程序，包含杀毒软件和一些安保工具等。为了防止激活木马，在“系统修复”的“初级修复”选项中单击下方“修复安保形式”对电脑安保形式启动修复，最后进入到安保形式下启动杀毒软件病毒库的更新及病毒查杀，同时下载木马病毒的专杀工具对木马及病毒启动扫描肃清。揭示：除了应用SREng软件启动修复 ，咱们还可以应用小工具包来启动系统修复，小工具包在电脑报网站启动下载，关上工具包后，双击复原显示暗藏文件.REG导入注册表，再关上Icesword软件，肃清系统文件夹中的病毒文件、经常使用IFEO映像劫持修停工具修复被劫持的杀毒软件及安保软件，最后就是用杀毒软件启动查杀。小工具下载上去后改名后再经常使用，免得被木马病毒劫持。如何预防木马病人：木马只管曾经肃清了，然而我怎样防止以后电脑再被木马侵袭呢？医生：为了更好的包全系统不遭到破坏，打好咱们的网游账号捍卫战，除了为一个齐全洁净无毒系统做个备份，咱们还可以经过以下的方法来启动网游木马的预防。1.必定装置杀毒软件及防火墙，并对其启动更新，相应系统补丁也要随时更新，还要活期启动病毒木马扫描。2.装置游戏账号包全软件目前有很多专门针对网游账号包全的安保工具，它们采取的原理不同，但对游戏账号都有必定的包全作用，条件准许的状况下可装置这样的包全软件。如何选用，可参考本期F7版的评测。3.经过注册表设置，阻止病毒经过IFEO劫持杀毒软件，详细操作方法：单击“开局”→“运转”，在命令行中输入regedt32，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，右键单击此选项，在弹出的菜单当选用“权限”，而后把Administrors用户组和Users用户组的权限所有敞开。

应用注册表限度IFEO的读写权限

总结养成安保的电脑操作习气＋严密的安保设置＋活期审核这三大强效药剂，咱们齐全可以让病毒木马远离自己的电脑系统，玩网络游戏时再也不用担忧和木马亲密接触！然而由于杀毒软件以及安保工具的设置及经常使用须要必定的电脑基础，整个木马产业链由于缺少关系法律有效的监控而开展的越来越大，造成许多对电脑安保设置不相熟的用户遭逢木马侵袭围歼，用户的私密消息一旦被不法分子把握，将会给用户形成重大的结果。咱们呐喊除了电脑用户增强自身的电脑安保看法和技艺外，还须要国度法律以及网络监管部门一同携手，独特打造一个安保的网络环境！

读者来信：我的电脑被幕后黑手操纵了，每次关上IE都会弹出软件装置窗口，接着就开局运转智能化的装置环节。在关上IE的时刻，还会弹出XP防火墙的揭示窗口。我疑心是最近闪存盘病毒，可是右键单击盘符却没有发现Auto之类的命令。www.sq120.com介绍文章从新装置系统后，我依然不可肃清该病毒。每次都不可双击或许右键单击关上D盘。请问《电脑报》的安保专家，是什么幽灵控制了我的电脑？我应该怎样办？安保专家：依据读者来信反映的状况，咱们知道这是目前猖狂作案的KL木马下载器在搞鬼。相比起普通的闪存病毒，其损害手腕愈加保密，普通电脑初学者不可经过重装来肃清。感化该病毒后，病毒会拔出IE进程和Explorer进程来下载流氓软件，XP防火墙会弹出能否衔接的窗口。显而易见，病毒是以DLL的方式拔出进程来启动破坏的，而病毒的初始程序是可口头文件。该病毒运转后会尝试感化EXE可口头文件。某些文件特意是一些软件的装置包、电子书等，被该病毒感化后会产生失误，不可反经常常使用。驳回惯例的闪存盘病毒的清算方法，并不能齐全肃清KL木马下载器。KL木马下载器并不在右键菜单减少“Auto”命令，这会麻木局部用户，其实该病毒在双击关上磁盘分区时就运转了，病毒就暗藏在分区的RECYCLER目录即回收站下，而病毒的autorun.inf文件的技术含量也大为提高。从病毒代码中，咱们发现右键菜单的“关上”和“资源治理器”命令其实是口头病毒程序，自动的双击的结果也是运转病毒。难怪用户不可发现病毒在智能运转，这也是屡次重装后依然让病毒绳之以法的关键要素。KL木马下载器片面肃清打算打算一：菜鸟肃清法首先，重装系统，实现后不要关上任何磁盘间接进入“我的电脑”，选用“工具→文件夹选项”命令，点击“检查”选项，在“暗藏文件和文件夹”下选用“显示一切文件和文件夹”选项，这样就可以让暗藏的病毒文件现身了。而后，右击“我的电脑”选用“资源治理器”命令，在关上的资源治理器中审核非系统盘符下的RECYCLER（是暗藏属性）中能否有Autosetup.exe，假设有的话就启动删除，接着回到根目录删除autorun.inf文件。必定要细心审核一切盘符下的该目录，做到彻底肃清病毒文件。最后再装置杀毒软件，修复被病毒感化的文件。打算二：高手剿灭法第一步：重启系统，按F8进入安保形式。经常使用《超级巡警》中断病毒创立的进程Services.exe、inini.exe、meecall.exe、UUSeePlayer.exe。而后删除下载的流氓软件装置包和病毒进程的文件（如C:\windows\services.exe）。第二步：经常使用《冰刃》删除盘符下的autorun.inf文件、Autosetup.exe文件。这样就可以防止再次运转病毒了。第三步：关上System Repair Engineer，进入“启动名目”选项，可以看到很多合法启动名目。选中meecall、swg、KernelFaultCheck、OSSelectReinstal、Windowsupdate、SmCtrlDrv、IdnSvr、tzc02,0,tzchange.exe /F Pacific SA Standard Time /S 10 6 2 23 59 59 999 /E 3 6 2 23 59 59 999 /G、IFEo[Explorer.exe]等删除。还要记得删除启动程序目录下的关系文件，而后进入“系统修复”选项，选用“阅读器加载项”删除流氓软件的BHO、Activex等名目。第四步：从新启动系统发现曾经复原反常了。不过，你会发现双击或许右键单击关上感化过病毒的盘符，会产生查找病毒文件而不可反常进入的状况，这是由于病毒智能运转的消息还在注册表里。咱们须要关上注册表编辑器启动修复，进入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bd44e-53b7-11dc-8145-806d6172696f}”项，删除上方的shell子项即可复原反常了（如图）。