特洛伊木马病毒严格说来不能算是病毒，它们往往是以一个有形的程序文件形式存在，作为一个程序它不会自动运行，而且它在没有被运行时不会造成任何危害，因此,它往往在 Windows启动时自动加载。Windows启动自动加载程序只有两个方法：一个是把它放在Windows的启动组；一个是通过修改注册表。而放在启动组太显眼，因此特洛伊木马大都通过修改注册表达到目的。它的主要可能修改分支有以下四个方面:

1. [HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run]

“SystemTray”=“SysTray.Exe”&&Win 98自带

“internat.exe”=“internat.exe” &&Win 98自带

“ScanRegistry”=“C:\Windows\scanregw.exe /autorun” &&注册表检查工具，Win 98自带

“WheelMouse”=“C:\Program Files\Dual Scrolling\4DMAIN.EXE -startup”

&&4D双飞燕鼠标驱动程序

“AV3000”=“\D:\tools\AV3000\AV3000.EXE\” /MINI &&AV3000杀毒软件

图1 注意其中右栏的第一项“c:\Windows\system\kernel32.exe”
为冰河服务器控制程序，即所谓的木马。

2. [HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices]

若在上述两个地方发现新加载的未知程序，最好查一下它的来源，其中[HKEY_ LOCAL_ MACHINE \Software\ Microsoft\ Windows\CurrentVersion\ Run]分支就是木马程序加载的地方。以“WheelMouse”为例，它的字符串值为“C:\Program Files\Dual Scrolling\4DMAIN.EXE -startup”，我们可以顺着C:\Program Files\Dual Scrolling查一下4DMAIN.EXE究竟是否是新安装软件自带的，否则就要小心了。特别是一些莫名其妙出现在C:\Windows\SYSTEM\下的可执行文件，有时，还会出现字符串中没有名字而它的值中有文件加载的路径，如图1所示。这时可以百分之百肯定您的计算机是中毒了，而[HKEY_LOCAL_ MACHINE\Software\ Microsoft\Windows\ CurrentVersion\RunServices]分支则往往是其库文件的加载点，如爱虫病毒就在其中加载了“Win32dll”“c:\Windows\Win32dll.vbs”键值。

3. [HKEY_CURRENT_USER\Software\ Microsoft \Internet Explorer\Main]

“Start Page”=“http://cfi.com.cn” \\IE默认首页

这也是容易受攻击的地方，特别是其中的“Start Page”项，它是制定IE启动时首先访问的页面，如图2所示。

图2 设置“Start Page”=“http//:cfi.net.cn/eye/data/day/d20000607.net”。

这样，一旦启动IE，IE就会自动到慧眼网站下载2000年6月7日的当日股票收盘数据，若此时恰巧您的下载工具设置为“不显示添加任务对话框”，那么，IE就会不声不响地把病毒下载到您的计算机中。

有些病毒本身不具有木马功能，通过修改该分支已达到由IE自动到黑客网站下载木马程序的目的。流行的爱虫病毒就是将它赋值为从四个黑客站点之一下载WinBUGSFIX.EXE木马程序，下载结束后又自动将它改为:“Start Page”=“blank”，并添加WinBUGSFIX.EXE到上述注册表的Run分支，在Windows启动时就自动运行它。

4. [HKEY_CURRENT_USER\Software\ Microsoft\Internet Explorer]

“Download Directory”=“g:\temp” \\IE默认下载文件保存目录

病毒可能会把它定义到“C:\Windows\”或“C:\Windows\SYSTEM”下，这是大多数木马程序的栖息地。

木马程序还有几个栖息地:

（1）在Wininit.ini、Win.ini文件的[Windows]下的“load=”和“run=”下。

\\PICTURE.EXE黑客程序就是以NOTE.EXE的名称加载在“RUN=”下。

（2）SYSTEM.INI文件的[boot]下的“drivers=”。

（3）C:\Windows\STARTMENU\ PROGRAM\ START。

（4）C:\Windows\CONTROL.INI文件的[MMCPL]下“AOPT=”。

（5）Autoexec.bat、Dosstart.bat、Config.sys。

下面看看怎样发现一些采用了特殊编程方法的木马程序，其文件名在Win 98下看不见，当您按Ctrl+Alt+Del时程序列表或资源管理器中也看不见。 这里有两种简单的查看方法: 一是通过在“开始|运行(R)”直接运行Msinfo32.exe查看“Mcrosoft系统信息窗”|“系统信息”|“软件环境”|“正在运行的任务”分支中右窗中的内容，如图3中正在运行任务的右窗第一条可以看到“.exe”；二是通过切换到DOS下，用命令“dir *.exe/a”看(如图4所示)。

图3 右窗第一条程序栏可以看到“.exe”，这是一个木马程序，其文件名在
Win 98下被隐藏，其路径为路径栏中的“C:\Windows\SYSTEM\ .exe”

图4 最后一栏的“EXE～1”为木马

找到这些文件后，重要的就是杀了。首先，将注册表、Wininit.ini、Win.ini等上述栖息地的相关条目删除；其次杀母体，杀母体不仅仅是删除该文件，因为许多病毒文件会在C:\Windows或C:\Windows\System甚至其他地方对自身进行复制，因此，只杀掉一个病毒文件是不行的，建议查找C盘中所有与它大小一样的文件，对其中不认识的文件特别是与它日期一样的可执行文件以及后缀名是.dll、.vbs的文件，全部杀掉。如果发现其中某些文件在窗口状态下杀不动，可用一张干净的启动盘启动到纯DOS下，去掉文件的隐含、只读系统属性后再删。

现在的许多蠕虫病毒和木马程序利用Vbscript脚本向外发送信息，像梅利莎、爱虫等。别小看那些.vbs文件，如果您的系统安装了Windows Scripting Host，那么，它就变成了可执行文件，通过它可以直接对注册表、应用程序（如Excel、Outlook等）进行操作，而Windows Scripting Host对于普通用户并没有什么作用，因此，建议卸掉它。卸载方法：进入“添加|删除程序|Windows安装程序”，在附件中将Windows Scripting Host前面方框的打勾去掉就可以了。再者，安装一些病毒防火墙也不失为一个好主意，检测木马可以用The Cleaner，防火墙可以用Lookdown 2000。