1.檢測木馬的存在

    首先，查看system.ini、win.ini、啟動組中的啟動項目。由“開始->運行”，輸入msconfig，運行Windows自帶的“系統配置實用程序”。

    a.查看system.ini文件

    選中“System.ini”標簽，展開[boot]目錄，查看“shell=”這行，正常為“shell=Explorer.exe”，如果不是這樣，就可能中了木馬怎么刪除？

    b.查看win.ini文件

    c.選中win.ini標簽，展開[windows]目錄項，查看“run=”和“load=”行，等號后面正常應該為空。

    d.查看啟動組

    再看看啟動標簽中的啟動項目，有沒有什么非正常項目？要是有象netbus、netspy、bo等關鍵詞，極有可能就是木馬了。本人一般都將啟動組中的項目保持在比較精簡的狀態，不需要或無大用途的項目都屏蔽掉了。如下圖，只是選中了與注冊表檢查、音量控制、輸入法和能源保護相關的啟動欄。到時要是有木馬出現，自是一目了然。

    e.查看注冊表

    由“開始->運行”，輸入regedit，確定就可以運行注冊表編輯器。再展開至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件項目，比如netbus、netspy、netserver等的單詞。注意，有的木馬程序生成的服務器程序文件很像系統自身的文件，想由此偽裝蒙混過關。比如Acid　Battery木馬，它會在注冊表項“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

    Explorer=“C:WINDOWSexpiorer.exe”，木馬服務器程序與系統自身的真正的Explorer之間只有一個字母的差別！

    通過類似的方法對下列各個主鍵下面的鍵值進行檢查：

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

    如果**作系統是Windows　NT，還得注意HKEY-LOCAL-MACHINESoftwareSAM下面的內容，如果有項目，那極有可能就是木馬了。正常情況下，該主鍵下面是空的。

    當然在注冊表中還有很多地方都可以隱藏木馬程序，上面這些主鍵是木馬比較常用的隱身之處。除此之外，象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主鍵下面找到木馬程序的文件名，再通過其文件名對整個注冊表進行全面搜索就知道它有幾個藏身的地方了。

    如果有留意，注冊表各個主鍵下都會有個叫“（默認）”名稱的注冊項，而且數據顯示為“（未設置鍵值）”，也就是空的。這是正常現象。如果發現這個默認項被替換了，那么替換它的就是木馬了。

    f.其它方法

    上網過程中，在進行一些計算機正常使用**作時，發現計算機速度明顯起了變化、硬盤在不停的讀寫、鼠標不聽使喚、鍵盤無效、自己的一些窗口在未得到自己允許的情況下被關閉、新的窗口被莫名其妙地打開.....這一切的不正常現象都可以懷疑是木馬客戶端在遠程控制你的計算機。

    如果懷疑你現在正在被木馬控制，那么不要慌張地去拔了網線或抽了Modem上的電話線。有可能的話，最好可以逮到“黑”你的那個家伙。下面就介紹一下相應的方法：

    由“開始->運行”，輸入command，確定，開一個MS-DOS窗口。或者由“開始->程序->MS-DOS”來打開它。在MS-DOS窗口的命令行鍵入“netstat”查看目前已與本計算機建立的連接。

    顯示出來的結果表示為四列，其意思分別為Proto：協議，Local　Address：本地地址，Foreign　Address：遠程地址，State：狀態。在地址欄中冒號的后面就是端口號。如果發現端口號碼異常（比如大于5000），而Foreign　Address中的地址又不為正常網絡瀏覽的地址，那么可以判斷你的機器正被Foreign　Address中表示的遠程計算機所窺視著。在對應行的Foreign　Address中顯示的IP地址就是目前非法連接你計算機的木馬客戶端。

    當網絡處于非活動狀態，也就是目前沒什么活