这2个进程是大多数电脑都必须运行的进程（spoolsv.exe是关乎于打印机进程，如果不涉及到打印机有关的操作可以结束）。这2个进程是最容易被植入木马的，具体表现大多数情况为开机进入系统后加载时间特别长（大概1分钟左右恢复正常）。不要以为正常就没有危害了。这种状况虽然明显，但是解决起来不简单（spoolsv.exe可以关闭，但是expolrer.exe不可以）。一般杀毒软件大多数情况下解决不了这种问题（以笔者的经验看，这种情况杀毒是解决不了的）。还是那句话，这里不是计算机学堂，有关计算机专业的东西以后详细谈。过去，这样的木马一般不会对用户的账户造成影响，它的作用是影响系统而非盗号。但是，前不久，出现了一种新的木马Trojan/PSW.Moshou.aql。这是“魔兽”木马的变种。采用Delphi语言编写，并经过加壳处理。“魔兽”变种aql运行后，自我复制到被感染计算机上，并释放一个恶意DLL文件，文件名由10个随机字符组成。修改注册表，实现木马开机自动运行。“魔兽”变种aql木马安装程序执行完毕后自我删除。在后台秘密监视用户打开的窗口标题，盗取网络游戏玩家的游戏账号、游戏密码、游戏区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上。这个木马正是将恶意DLL文件注入到系统“explorer.exe”等某些关键性的进程中加载运行，隐藏自我，防止被查杀。由于采用特殊技术，即使恶意DLL文件正在运行，在硬盘中也找不到恶意DLL文件的踪迹。所以，当大家的计算机exporer.exe进程再出现异常时，万万不可再大意了。

　　第七，我以前不相信，有人真的会相信游戏里散布的送BB的、领取奖品的陌生消息，直到有一天遇到了一个身边的人确实被这样陌生消息蒙骗，上了网站被盗了号，才感觉十分汗颜。关于这一点，实在是不知道该怎么说了。这样的人无药可救。

　　第八，阻断邮件。

　　这个对于有些朋友来说可能不太现实，但是确实是非常有效的防御办法。前面提到，无论哪一种木马，盗取的账号基本上都要通过邮件来发送接受。光宇的服务器是不容易被黑客利用的，使黑客转向其它容易利用的服务器。最简单的就是邮件服务器。不需要处理什么邮件的用户可以通过你的网关或防火墙强制禁止执行简单邮件传输协议（SMTP等）可以完全阻止你的电脑发送电子邮件。这样，即使对方的木马确实已经生效，也无法获得装有你账号信息的信封。

　　第九，在登陆游戏过程中，弹出的非正常窗口一定要小心。

　　近日，出现了一种名为 “Trojan-PSW.Win32.Pass.fbt”的盗号木马。玩家进入游戏时会突然弹出窗口，内容五花八门，但是共同的目的都是要你点击这个窗口：确定或取消。事实上，大多数玩家会不加考虑的点击“取消”。然而，不管你“确定”还是“取消”，你的机器都已经被植入了木马，这是非常隐蔽的，玩家一般不会留意这个小意外。遇到这种情况，大家可以直接按ESC退出，或者直接重启电脑，彻底杀毒。

　　第十，请问道玩家特别注意看这条。

　　近日，一种新型网游盗号手段出现了。该盗号木马借鉴了社会工程学中的部分理念，即玩家在游戏时如网游突然中断，则势必会马上重新登录以继续游戏，黑客正是利用了网游玩家这一普遍的操作习惯，强行将玩家的游戏退出，诱使玩家重新登录并伺机盗取网游帐号和密码。对此，如果玩家在游戏过程中遇到游戏突然退出，一定要特别慎重。先详细检查Windows各种启动参数确认系统无异常后，重启系统再进行游戏。或者也可以安装使用带有主动防御功能的安全软件，给网游帐号加上一把定心锁。
　　举个例子（Trojan-PSW.Win32.MiFeng.ai.dll）便采用了上述的新型盗号手段。该木马本身是针对网络游戏《奇迹世界》编写的，通过网页挂马和文件捆绑为主要传播途径。现在的变种针对问道同样有效。问道玩家一但中此木马病毒，病毒会找到asktao.exe和autoupdate.exe程序（问道的两个主程序），强行将其结束，此时游戏会突然中断，待玩家重新登录游戏时趁机盗取网游的帐号和密码，病毒将盗取的帐号密码加密后通过邮件和网页收信空间发送给盗号黑客。如果您在游戏时，游戏突然中断，很可能您已经中了此盗号木马病毒，请不要再大意了。

　　上面讲了十条，肯定还有很多要注意的方式，但是笔者一时也想不起来，所以暂时只能说这么些，希望大家能够仔细看看，没有坏处。

　　下面，单独僻出一块来谈一下杀毒软件和木马查杀的问题。

　　笔者上面谈到的十条中，首先便谈到了杀毒软件的使用。对大多数普通玩家来说，单机版的杀毒软件是最主要的，或者是唯一的防护途径。事实上，这也的确是目前最有效的防护方法。从理论上来讲，在一个新装的、完全没有损坏的系统中安装正版的杀毒软件，并及时更新，打开所有主动防御，玩家一般是不会被木马所侵害的。当然，这也是种理想状态，很多玩家在玩游戏的过程中或多或少都会有些意外发生，所以，凡事都有缺点。

　　很多玩家问过笔者，说我的电脑安装的是正版杀毒软件，而且每天杀毒，但是电脑里根本就没有木马，甚至专门的木马专杀工具也查不出异常，但是号还是被盗了，这是怎么回事呢？

　　笔者要说：杀不到不等于安全。因为，有一种木马叫免杀！

　　首先提醒大家的是，免杀是个相对词，针对目前的技术而言，木马免杀成功率并不高（以多引擎检测为依据）。但用户安装的安全软件相对单一，所以具有针对性的制作免杀木马，对于个人用户而言就是绝对的免杀。

　　先来介绍一项技术：rootkit。Rootkit出现于二十世纪90年代初，字面上讲是一种系统级管理工具，实际上是一种黑客使用的系统内核级别的恶意工具，最常见的应用就是隐藏木马行踪——完全隐藏木马程序文件、进程和注册表，并且可以使常规系统分析工具失效，无法捕捉到任何蛛丝马迹。针对Rootkit使用驱动技术的特点，对Rootkit的检测和清除需要使用更高水准的驱动级编程技术，深入系统内核进行分析判断。对Rootkit的检测和清除技术是当前国际反病毒行业的前沿技术。

　　接下来我们就看看黑客们是通过何种方法达到免杀目的的。

　　就用大家都熟悉的灰鸽子为例。我们首先制作一个普通的灰鸽子木马服务端，然后在杀毒软件中扫描，可以发现，绝大多数的杀毒引擎都能够识别出该木马程序。

　　免杀方法大体上分为加密代码、花指令、加壳、修改程序入口以及手工DIY PE。至于纯手工操作并不推荐，因为这种方法制作出的程序效果虽好，但太过复杂，需要很强的汇编语言基础，并对Windows内核有一定认识。具体的过程我不能在这里说。经过处理， 再次进入杀毒软件扫描，发现能识别为病毒的杀毒引擎已经不多了。

　　利用了Rootkit手段来保护自身的木马病毒文件，其所用的“Rootkit”驱动文件采用了随机产生的1-9位可变文件名用以恶意干扰用户进行辨识。比如说有种盗号木马程序Trojan-PSW.Win32.Delf.eve便使用了视觉隐藏技术保护，即使利用WINDOWS的文件夹功能进行查找、选择“显示所有文件”等方法，依然无法看到该木马程序，从而实现了木马程序视觉上的完全隐身。

　　对于此类有“Rootkit”进行保护的盗号木马，极大地增加了分析和清除的难度。对于一般用户来说，基本无法通过手工进行清除。

　　上面这些可能大家看得有点晕，没关系，目的不是要你明白，而是要告诉你，不要把盗号的当成了神，任何人也不可能凭空气就把你的号盗走的。

　　完了，讲了那么多，大家未必有耐心全部看完，但是如果你真的关心自己的账户安全，我觉得你值得花点时间看。谢谢网上的前辈高人的指点，谢谢坚持看完本文的人。