這類病毒一般是以進程的方式運行，這類病毒一般是比較好被發現的。下邊先說下這類病毒，是在哪里啟動的。 1.注冊表 如果發現計算機有不名的進程和異常情況請在注冊表內下列地方進行核實找住可以的程序進行刪除： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/<br>Explorer/ShellFoldersStartup="C:/windows/start menu/programs/startup2.系統WIN.INI文件內 在 win.ini文件中，“run=”和“load=”是可能加載“木馬”程序的途徑，必須仔細留心它們。一般情況下，它們的等號后面什么都沒有，如果發現 后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上“木馬”了。當然你也得看清楚，因為好多“木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動件。也許你會問了我是XP系統啊 怎么沒有這個呢？不必擔心給你個正確的你參考下就知道有沒有可疑程序了。下邊就是正常的WIN.INI(XP)： ; for 16-bit app support[fonts][extensions][mci extensions][files][Mail]MAPI=1CMCDLLNAME32=mapi32.dllCMCDLLNAME=mapi.dllCMC=1MAPIX=1MAPIXVER=1.0.0.1OLEMessaging=1[MCI Extensions.BAK]aif=MPEGVideoaifc=MPEGVideoaiff=MPEGVideoasf=MPEGVideo2asx=MPEGVideo2au=MPEGVideom1v=MPEGVideom3u=MPEGVideo2mp2=MPEGVideomp2v=MPEGVideomp3=MPEGVideo2mpa=MPEGVideompe=MPEGVideompeg=MPEGVideompg=MPEGVideompv2=MPEGVideosnd=MPEGVideowax=MPEGVideo2wm=MPEGVideo2wma=MPEGVideo2wmv=MPEGVideo2wmx=MPEGVideo2wvx=MPEGVideo2wpl=MPEGVideo3.SYSTEM.INI文件中 在 system.ini文件中，在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個程序就是“木馬”程序，就是說你已經中“木馬”了。又會有人問了，我是XP系統怎么又不一樣呢？給你個正常的XP系統的 SYSTEM.INI，請大家可以參考下正常的SYSTEM.INI文件： ; for 16-bit app support[drivers]wave=mmdrv.dlltimer=timer.drv[mci][driver32][386enh]woafont=app936.FONEGA80WOA.FON=EGA80WOA.FONEGA40WOA.FON=EGA40WOA.FONCGA80WOA.FON=CGA80WOA.FONCGA40WOA.FON=CGA40WOA.FON4.在Config.sys內 這類加載方式比較少見，但是并不是沒有。如果上述方法都找不到的話，請來這里也許會有收獲的。 5.在Autuexec.bat內 這類加載方式也是比較少見，建議跟Config.sys方法一樣。 4和5的加載方式建議大家先必須確定計算機有病毒，并且上邊的方法都找不到后，最后來這里進行查找。 總結：這類病毒是比較容易暴露的，建議手動刪除時最好進入安全模式下，因為安全模式只運行WINDOWS必備的系統進程，EXE型病毒很容易暴露出來的，下邊附上一張WINDOWS安全模式的必須進程表： smss.exe Session Manager csrss.exe 子系統服務器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統服務 lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務) 產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務) ->netlogon svchost.exe 包含很多系統服務 !!!->eventsystem,(SPOOLSV.EXE 將文件加載到內存中以便遲后打印。) explorer.exe 資源管理器 (internat.exe 托盤區的拼音圖標) systemSystem Idle Process 這個進程是不可以從任務管理器中關掉的。這個進程是作為單線程運行在每個處理器上，并在系統不處理其他線程的時候分派處理器時間taskmagr.exe 就是任務管理器了