1
如果每次都会自动生成,说明是被其他文件释放出来的,
释放他的文件文件一般隐藏在系统的WINDOWS/SYSTEM32文件夹下面
你显示系统隐藏的文件和文件夹,然后查看这几个目录
C:/; C:/WINDOWS/; C:/WINDOWS/SYSTEM;c:/windows/system32 按照日期方式排序 ,建议用一些第三方的监测软件,如冰刃, 超级兔子 ,HijackThis ,smartassistant.exe 之类的,对隐藏文件和异常文件的发现很有帮助,
这样你就能看到日期就在最近的,一些非系统带的EXE或者dll文件
清除这些垃圾文件(最好在安全模式下),如果不能直接删除,使用killbox软件来帮你删除
注册表的HKEY-LOCAL-MACHINE/MICROSOFT/WINDOWS/RUN ,RUNONCE,等等
2
c:/windows/system32/syspolicy
用记事本打开C:/Autoexec.bat还有C:/Windows/winstart.bat。
3
另外[HKEY LOCAL MACHINE/Software/classes/exefile/shell/open/command/]键值也可能用来加载木马,比如把键值修改为“X:/windows/system/ABC.exe "%1"%”。
4
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders],键名为Startup。
5
系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/]下查看的可疑主键。