小技巧 教你找到电脑中隐藏的入侵黑手

    3 查看Windows目录下的WIN.INI文件中开头的几行：[WINDOWS] load= ren=这里放的是启动Windows自动执行的程序，可以看看对比对比一下。

    4 查看Windows目录下的SYSTEM.INI文件中的这几行：[386Enh] device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如：device=c：\windows\system32\tianyangdemeng.exe（这里只是打个比方）

    5 查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序，如果有的话，它就放在C：\Windows\Start Menu\Programs\中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。

    6 在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项，你也许会问，前面不是说了吗？其实，这两种方法是不同的，你分别用这两个方法查看一下就会发现不同了，至于要说更深入点，说实在话，我也不知道。呵呵不要笑话，希望高手出来解答一下！

    7 查看注册表，在「开始」→「运行」中输入“REGEDIT”。

    先对注册表进行备份，才对注册查看。（一定要养成一个习惯，在修改木文件时，对自己没有把握的需要先进行备份）

    查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和Run项，看看有没有可疑的程序。

    查看 HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND，看看是否有。EXE文件关联的木马，正确值为"%1"%*查看 HKEY_CLASSES_ROOT\INFFILE\SHELL\OPEN\COMMAND，看看是否有。INF文件关联的木马，正确值为"SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOT\TXTFILE\SHELL\OPEN\COMMAND，看看是否有。TXT文件关联的木马，正确值为%SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1启动CMD，输入NETSTAT -AN 查看有没有异常的端口。