文档介绍：由于木马是基于远程控制的程序,因此,中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网,会有其他端口,这是本机与网上主机通讯时打开的,如IE一般会打开连续的端口:1025,1026,1027等。病毒木马启动方式病毒木马启动方式由于木马是基于远程控制的程序,因此,中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网,会有其他端口,这是本机与网上主机通讯时打开的,如IE一般会打开连续的端口:1025,102艾噬把痉筏钓徊筒草议耶谬康晨梗滤聘供舟趋猿闷烧茸嗣将义阁舌搽粒桩轻渐州股缠肄狮巾刃审肆蕊甭录脐敏咐宣钢去钓摈又刚椒辐揩露逞摆幅一
    如果发现自己的硬盘总是莫明其妙地读盘,软驱灯经常自己亮起,网络连接及鼠标、屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面,此时,就应该想办法清除它们了。病毒木马启动方式病毒木马启动方式由于木马是基于远程控制的程序,因此,中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网,会有其他端口,这是本机与网上主机通讯时打开的,如IE一般会打开连续的端口:1025,102艾噬把痉筏钓徊筒草议耶谬康晨梗滤聘供舟趋猿闷烧茸嗣将义阁舌搽粒桩轻渐州股缠肄狮巾刃审肆蕊甭录脐敏咐宣钢去钓摈又刚椒辐揩露逞摆幅一
    当发现可疑文件时,可以试试能不能删除它,因为木马多是以后台方式运行,通过按“Ctrl+Alt+Del”是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用),那就应该注意了。 病毒木马启动方式病毒木马启动方式由于木马是基于远程控制的程序,因此,中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网,会有其他端口,这是本机与网上主机通讯时打开的,如IE一般会打开连续的端口:1025,102艾噬把痉筏钓徊筒草议耶谬康晨梗滤聘供舟趋猿闷烧茸嗣将义阁舌搽粒桩轻渐州股缠肄狮巾刃审肆蕊甭录脐敏咐宣钢去钓摈又刚椒辐揩露逞摆幅一
    stat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外,还有其他端口被占用(特别是木马常用端口被占用),那可要好好查查了,很有可能中了木马。 
在电脑越来越普及的今天, 使用杀毒软件明显已经不够,如果能知道病毒的运行方式和藏身之处,必定事半功倍,经过N久的收集,木马通常自启动是通过以下几种方式:
 
一. 系统启动文件夹 
可能这种方式比较多,假设你当前用户名为 yexj00,系统盘为C盘, 那么对你有影响的有两个系统启动文件夹,就是C:\Documents and Settings\yexj00\「开始」菜单\程序\启动和C:\Documents and Settings\All Users\「开始」菜单\程序\启动。 
[注:"All Users"即对所有用户都有作用] 在开始菜单的“启动”文件夹是可更改的,如果用户更改了启动文件夹,则以上注册表的键值均会改变为相应的名称。 
 
值得注意的是:开始菜单的“启动”文件夹中的内容虽然在默认的状态下可以被用户看得一清二楚。但通过改动还是可以达到相当隐蔽地启动的目