7、隱形于啟動(dòng)組中

有時(shí)木馬病毒并不在乎自己的行蹤，它更注意的是能否自動(dòng)加載到系統(tǒng)中，因?yàn)橐坏┠抉R病毒加載到系統(tǒng)中，任用什么方法都無法將它趕跑(哎，這木馬病毒臉皮也真是太厚)，因此按照這個(gè)邏輯，啟動(dòng)組也是木馬病毒可以藏身的好地方，因?yàn)檫@里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所。動(dòng)組對(duì)應(yīng)的文件夾為：C:\\windows\\startmenu\\programs\\startup，在注冊(cè)表中的位置：HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意經(jīng)常檢查啟動(dòng)組哦!

8、隱蔽在Winstart.bat中

按照上面的邏輯理論，凡是利于木馬病毒能自動(dòng)加載的地方，木馬病毒都喜歡呆。這不，Winstart.bat也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件，它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成，在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動(dòng)程序之后開始執(zhí)行(這一點(diǎn)可通過啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過程的啟動(dòng)方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬病毒完全可以像在Autoexec.bat中那樣被加載運(yùn)行，危險(xiǎn)由此而來。

9、捆綁在啟動(dòng)文件中

即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬病毒啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬病毒的目的了。

10、設(shè)置在超級(jí)連接中

木馬病毒的主人在網(wǎng)頁上放置惡意代碼，引誘用戶點(diǎn)擊，用戶點(diǎn)擊的結(jié)果不言而喻：開門揖盜!奉勸不要隨便點(diǎn)擊網(wǎng)頁上的鏈接，除非了解它，信任它，為它死了也愿意等等。

下面再看木馬病毒的清除方法

1、檢查注冊(cè)表中RUN、RUNSERVEICE等幾項(xiàng)，先備份，記下可以啟動(dòng)項(xiàng)的地址，再將可疑的刪除。

2、刪除上述可疑鍵在硬盤中的執(zhí)行文件。

3、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會(huì)單獨(dú)存在，很可能是有某個(gè)母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。

4、檢查注冊(cè)表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的幾項(xiàng)(如LocalPage)，如果被修改了，改回來就可以。

5、檢查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等幾個(gè)常用文件類型的默認(rèn)打開程序是否被更改。這個(gè)一定要改回來。很多病毒就是通過修改.txt，.ini等的默認(rèn)打開程序讓病毒“長生不老，永殺不盡”的。