手工殺毒

對於常見的木馬病毒，可通過以下方法找出木馬病毒文件並進行清除：

一、註冊表清除

利用註冊表加載運行如下所示的註冊表位置是木馬的藏身之處：

HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”開頭的鍵值。

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。

HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。

在System.ini中啓動，System.ini位於Windows的安裝目錄下，其“boot”字段的Shell=Explore.exe是木馬的隱蔽加載場所，木馬通常的做法是將該句變為Shell=Explore.exe，注意這裏的Window.exe就是木馬服務端程序。

三、啓動命令

在Win.ini中啓動，在Win.ini的“Windows”字段中有啓動命令“load=”和“run=”，在一般情況下“=”後面是空白的，如果後面跟着程序，內有可能是木馬。

四、修改文件關聯

修改文件關聯是木馬常用手段，比如説下沉情況下TXT文件的打開方式為Notepad.exe文件，但一旦中了文件關聯木馬，則TXT文件的打開文件就會被修改為用木馬程序打開。

五、在Autoexec.bat和Config.sys中加載運行

在C盤根目錄下的這兩個文件也可以啓動木馬。但這種加載一般都需要控制用户與服務端建立連接後，將已添加木馬啓動命令的同名文件上傳到服務端覆蓋這兩個文件才行，而且採用這種方式不是很隱蔽，容易被發現。所以在Autoexec.bat和Config.sys中加載木馬程序的並不多見，但也不能因此而掉以輕心。

六、在Winstart.bat中啓動

Winstart.bat具有系統特殊性，也是一個能啓動並被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成，在執行了Win .com並加載了一些驅動程序之後開始執行。由於Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行。

七、反覆感染木馬的文件

實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用户用工具軟件將木馬文件和某一應用程序捆綁在一起，上傳到服務端覆蓋原文件。這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會安裝上去。如綁定到系統文件，那麼每一次Windows啓動均會啓動木馬。 ^[1-4] 

常用的手殺工具有:xuetr、powertool、冰刃。

xuetr:推出的一款廣受好評的ARK工具。如果您對window系統不甚熟悉，您還是不要使用本工具,即使要使用，也不要用本工具胡亂操作。

powertool:一款免費強大的進程管理器，支持進程強制結束，可以Unlock佔用文件的進程，查看文件/文件夾被佔用的情況，內核模塊和驅動的查看和管理，進程模塊的內存的dump等功能。最新版還支持上傳文件在線掃描病毒。支持離線的啓動項和服務的檢測和刪除，新增註冊表和服務的強刪功能，可在PE系統下清除感染MBR的病毒（如鬼影等），通過Windows7 SP1的測試。 ^[5]