（6） 其他方式

　　通常木马还可能通过替换Windows系统本身的一些可执行的文件，如屏幕保护启动和任务计划启动等，或者捆绑到其他应用软件中来实现启动。如果启动某个应用程序后察觉到有中木马的迹象，而重新启动系统后不运行该应用程序时没有发现有中木马的迹象，那么该应用程序很可能已经被木马程序绑定了。通过卸载和重新安装该应用程序可以达到清除木马的目的。

　　5. 定位到文件处理

　　当通过以上四步掌握了木马的确凿证据之后，接下来就是定位到木马文件，并做相应的处理。木马文件通常包括木马进程文件、进程模块文件、木马服务文件、注册表项等，有时候还可能包括木马服务端安装文件。由于顽固的木马一般都有进程守护和自备份功能，当木马进程和木马文件被终止或者删除时，它会通过进程守护启动另一个进程，并从备份文件中恢复被删除的文件，如果在对木马文件操作处理过程中，可以禁止系统创建进程、创建文件，那对清理木马文件的工作就轻松多了。

　　清理木马文件分两类，一类是纯木马文件，另一类是被修改的系统文件。对于纯木马文件，结合上文的分析，用工具直接删除即可，但是，为了防止误操作带来不必要的麻烦和今后继续研究该木马的需要，在删除木马文件前先做备份。对于被修改的系统文件，如被修改的注册表和启动项等，需要做相应的修复。以灰鸽子木马为例，清理木马文件时，需删除服务文件C:Program Filesthunder.exe和注册表项HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/thunder。

　　经过上述的操作之后，可能还存在一些残余文件，需借助软件做全面的清理。打开Wsyscheck的文件搜索界面，如图7所示，选中“排除微软文件”和“限制文件大小”选项，设置文件大小为200KB， 再选定设置时间，然后开始搜索，对搜索的结果做进一步的处理。

　　防病毒软件检测木马程序

　　防病毒软件检测方法就是使用防病毒软件，对计算机进行扫描检测。此外，还可以利用一些免费的绿色软件，如360安全卫士、Windows清理助手和木马清道夫等。

　　防病毒软件的操作使用一般比较简单，安装完防病毒软件后，只需经过简单设置，定期升级病毒库版本并定期对系统进行扫描即可。现在很多防病毒软件都有自动升级功能和实时监控功能，用户只需在首次安装时做个全盘扫描，剩下的都交给防病毒软件自行完成。

　　但是，防病毒软件采用的是特征码扫描原理，这种扫描方式有其先天的不足，主要表现在时间上存在滞后性。特别是在地下木马产业链日趋成熟的今天，木马发展的速度越来越快，出现了零日攻击，甚至是零时攻击。很多防病毒厂商都在宣传主动防御、启发式扫描等技术，但是这些技术目前还不太成熟，会出现很多误判和漏判。有些防病毒软件只是提示用户检测到某一动作，而把具体操作交给用户来判断决定，对于刚接触计算机或者计算机知识水平一般的用户，这种方法显然是在难为他们了。

　　所以，当发现计算机有中木马的迹象时，用防病毒软件进行扫描检测，通常可以检测出大部分的木马。对于一些新发行的木马或者顽固的变种木马，普通的防病毒软件一般检测不到，所以需要借助手动检测方法。