1、由木馬的客戶(hù)端程序

　　由先前在win.ini、system.ini和注冊(cè)表中查找到的可疑文件名判斷木馬的名字和版本。比如“netbus”、“netspy” 等，很顯然對(duì)應(yīng)的木馬就是NETBUS和NETSPY。從網(wǎng)上找到其相應(yīng)的客戶(hù)端程序，下載并運(yùn)行該程序，在客戶(hù)程序?qū)?yīng)位置填入本地計(jì)算機(jī)地址： 127.0.0.1和端口號(hào)，就可以與木馬程序建立連接。再由客戶(hù)端的卸除木馬服務(wù)器的功能來(lái)卸除木馬。端口號(hào)可由“netstat -a”命令查出來(lái)。

　　這是最容易，相對(duì)來(lái)說(shuō)也比較徹底載除木馬的方法。不過(guò)也存在一些弊端，如果木馬文件名給另外改了名字，就無(wú)法通過(guò)這些特征來(lái)判斷到底是什么木馬。如果木馬被設(shè)置了密碼，既使客戶(hù)端程序可以連接的上，沒(méi)有密碼也登陸不進(jìn)本地計(jì)算機(jī)。當(dāng)然要是你知道該木馬的通用密碼，那就另當(dāng)別論了。還有，要是該木馬的客戶(hù)端程序沒(méi)有提供卸載木馬的功能，那么該方法就沒(méi)什么用了。當(dāng)然，現(xiàn)在多數(shù)木馬客戶(hù)端程序都是有這個(gè)功能的。

　　2、手工刪除木馬

　　不知道中的是什么木馬、無(wú)登陸的密碼、找不到其相應(yīng)的客戶(hù)端程序、......，那我們就手工慢慢來(lái)刪除這該死的木馬吧。

　　用msconfig打開(kāi)系統(tǒng)配置實(shí)用程序，對(duì)win.ini、system.ini和啟動(dòng)項(xiàng)目進(jìn)行編輯。屏蔽掉非法啟動(dòng)項(xiàng)。如在win.ini 文件中，將將[WINDOWS]下面的“run=xxx”或“l(fā)oad=xxx”更改為“run=”和“l(fā)oad=”；編輯system.ini文件，將 [BOOT]下面的“shell=xxx”，更改為：“shell=Explorer.exe”。

　　用regedit打開(kāi)注冊(cè)表編輯器，對(duì)注冊(cè)表進(jìn)行編輯。先由上面的方法找到木馬的程序名，再在整個(gè)注冊(cè)表中搜索，并刪除所有木馬項(xiàng)目。由查找到的木馬程序注冊(cè)項(xiàng)，分析木馬文件在硬盤(pán)中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目錄下）。啟動(dòng)到純MS-DOS狀態(tài)（而不是在Windows環(huán)境中開(kāi)個(gè)MS-DOS窗口），用del命令將木馬文件刪除。如果木馬文件是系統(tǒng)、隱藏或只讀文件，還得通過(guò)“attrib -s -h -r”將對(duì)應(yīng)文件的屬性改變，才可以刪除。

　　為保險(xiǎn)起見(jiàn)，重新啟動(dòng)以后再由上面各種檢測(cè)木馬的方法對(duì)系統(tǒng)進(jìn)行檢查，以確保木馬的確被刪除了。

　　目前也有一些木馬是將自身的程序與Windows的系統(tǒng)程序進(jìn)行了綁定（也就是感染了系統(tǒng)文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到運(yùn)行，木馬也就啟動(dòng)了。這種木馬可以感染可執(zhí)行文件，那就更象病毒了。由手工刪除文件的方法處理木馬后，一運(yùn)行 Explorer.exe，木馬又得以復(fù)生！這時(shí)要?jiǎng)h除木馬就得連Explorer.exe文件也給刪除掉，再?gòu)膭e人相同操作系統(tǒng)版本的計(jì)算機(jī)中將該文件 Copy過(guò)來(lái)就可以了。