③在Autoexec.bat和Config.sys中加载运行 　　
    但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。
　　
    ④在Winstart.bat中启动 　　
    Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 　　

    ⑤启动组 　　
    木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup=C:\windows\start menu\programs\startup。

    ⑥*.INI 　　
    即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。 　　

    ⑦修改文件关联 　　
修改文件关联是木马常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，“冰河”就是通过修改 HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C: \Windows\Notepad.exe %1”改为“C:\Windows\System\SYSEXPLR.EXE %1”，这样一旦双击txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是txt文件，其它诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command 主键，查看其键值是否正常。 　　

    ⑧捆绑文件 　　
    实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，并上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。当发现可疑文件时，你可以试试能不能删除它，因为木马多是以后台方式运行的，通过按Ctrl+Alt+Del是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了（提示正在被使用）那就应该注意了。 　　

    四、手工清除 　　
    如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在机器里，此时就应该想办法清除这些家伙了。那么如何清除木马而不误删其他有用文件呢？当通过上述方法找到可疑程序时，可以先看看该文件的属性。文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。 　　

    首先查进程，检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉后，然后再看看原来怀疑的端口还有没有开放（有时需重启），如果没有了那说明你对了，再把该程序删掉，这样你就手工删除了这匹木马了。如果该木马改变了TXT、EXE或ZIP等文件的关联，应把注册表改过来，如果不会改，可将注册表改回到以前的就可以恢复文件关联，可通过在DOS下执行scanreg/restore命令来恢复注册表，不过这条命令只能恢复前五天的注册表（这是系统默认的）。此举可轻松恢复被木马改变的注册表键值，简单易用。 

    束语：在木马横行的今天，有多少网民的财产受到了损害，又有多少杀毒软件显得那么苍白无力，这一切都源自于木马来得太快，杀毒软件的病毒库更新总是在风雨之后。这里提醒用户在使用电脑时一定要当心非法程序的木马植入。