供大家参考~你也可以试下~嘿嘿


1.在win.ini中启动木马：

　　在win.ini的[windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

　　run=c:windowsile.exe

　　load=c:windowsile.exe

　　则这个file.exe很有可能就是木马程序,直接将这样的键值删除就可以了。

2.在system.ini中启动木马：

　　system.ini中的[boot]小节的shell=explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

　　shell=explorer.exefile.exe

　　这里的file.exe就是木马服务端程序。

3.利用windowsxp注册表加载运行：

　　注册表中的以下位置是木马偏爱的藏身之所：

　　hkey_current_usersoftwaremicrosoftwindowscurrentversion子键分支下所有以“run”开头的键值项数据。

　　hkey_local_machinesoftwaremicrosoftwindowscurrentversion子键分支下所有以“run”开头的键值项数据。

　　hkey_users.defaultsoftwaremicrosoftwindowscurrentversion子键分支下所有以“run”开头的键值项数据

4.木马病毒的通用排查技术

如果您发现计算机已经中了木马，最安全最有效的方法就是马上与网络段开，防止计算机骇客通过网络对您进行攻击，执行如下步骤：

　　l编辑win.ini文件，将[windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

　　l编辑system.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=explorer.exe”。

5.aoltrojan的注册表清除实例：

　　首先到ms-dos方式下，删除以下文件：

　　c:command.exe

　　c:americ~1.0uddyl~1.exe

　　c:windowssystemorton~1egist~1.exe

　　打开win.ini文件，在[windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存win.ini文件。

　　然后打开windowsxp注册表，打开hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun子键分支，将右表窗口中的键值项“winprofile=c:command.exe”删除，关闭注册表，重启计算机即可