實在是受益不少
感謝大大的分享
讓小弟的知識增加啊 (貧知 = =")
只是有幾個地方還望大大指點啊
1.win.ini跟system.ini都沒有像文中的run= or shell=之類的 這樣因該也沒問題吧
2.註冊表內的木馬數值刪除後 你說有可能會被木馬自動回復
所以要記下木馬的名字何目錄 然後從ms-dos下刪除 只是ms-dos下找的到嗎?
怎操作呢?

以上由不知無術的小弟想了解一下
(有時後腦筋打結 真是難過啊)

代為回答:
1.win.ini跟system.ini都沒有像文中的run= or shell=之類的 這樣因該也沒問題吧
A: 此兩個檔案 一般來說 是不會出現run= or shell=之類的 若沒有才是正常

2.註冊表內的木馬數值刪除後 你說有可能會被木馬自動回復
所以要記下木馬的名字何目錄 然後從ms-dos下刪除 只是ms-dos下找的到嗎?
怎操作呢?
A:註冊表內的值 若發現被注入 可以由他所對應的路逕去找 如: C::\WINDOWS
若可以直接刪除他即可 但大都有免殺保護 必須使用 KILLBOX 之類軟體 來查殺
樓主之文中說 到 MS-DOS 中去 也是一法 因為如此該病毒無法執行進行保護
就可以直接刪除 關於使用 MS-DOS 法 可以建立 DOS 開機片或 模擬 DOS 選單來使用
但需要一點程度 建議 直接使用 KILLBOX 之類軟體 比較方便

原來如此
在下明白了
感謝大大的指點迷津啊
一些必要手段如果沒知道一點 到時後只能自助時
還真的會怕呢

您所說的木馬觀念沒錯, 但Ad-aware是一種掃AD-ware(廣告軟體)、Trojan(木馬)和蠕蟲(worm)的軟體, 並非一種木馬.
當下看到標題以為在解析Ad-aware的掃毒程序
以下是整理過的移除木馬程序, 不過就像upside大說的Killbox是一個很好用的強制移除檔案軟體
善用工具和ctrl+F也是很重要的工作

開啟登錄編輯程式
     備份原來的登錄設定
           使用匯出功能將檔案備份
     修改登錄
           木馬程式啟動資料的四個機碼
                 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
                 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
                 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
           檔案關聯的木馬移除
                 文字檔案關聯
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
                       HKEY_CLASSES_ROOT\txtfile\shell\open\command
                       正確關聯資料：%SystemRoot%\system32\NOTEPAD.EXE %1
                 可執行檔案關聯
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
                       HKEY_CLASSES_ROOT\exefile\shell\open\command
                       正確關聯資料："%1"%*
                 幫助檔案關聯      
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command
                       HKEY_CLASSES_ROOT\hlpfile\shell\open\command
                       正確關聯資料：%SystemRoot%\winhlp32.exe %1
                 p.s.無法開啟檔案的原因：有一些木馬程式關連了可執行程式，所以移除其主程式以後，所有的執行檔將無法執行。
                                      為避免這種情形發生，應該先開啟登錄編輯器並修改登錄，再移除木馬主程式。
修復登錄資料
     這個步驟是假設你在手動移除不成功時的補救方法，例如將正常的檔案關聯破壞，或者造成無法上網。這時匯入之前備份的登錄檔再繼續研究修改。
     首先開啟regedit，然後選擇匯入剛剛備份的檔案。
修復系統配置檔案
     木馬通常會修改三個系統配置：Autoexec.bat、System.ini、Win.ini。移除木馬時必須也移除這些內容，否則Windows在啟動的時候會出現Error Messenge
     方法有兩種：
           使用【系統公用設定程式】編輯系統配置檔案(Windows 2000沒有系統供用設定程式，可將Msconfig複製過來就可以進行設定)
                 執行msconfig，將SYSTEM.INI頁籤裡面，[boot]取消勾選確定即可。
           使用【文字編輯】編輯系統配置檔案
                 開啟system.ini，將[boot]下的文字移除存檔即可。
中斷木馬正在執行的處理程序或重新啟動電腦
     中斷：使用裝置管理員將程序中斷
刪除木馬的主程式或還原系統檔案
     一些比較進階的木馬程式並不會以獨立的方式出現，會附加在系統檔案上，因此有時候使用者會誤殺而造成系統問題，所以這個時候只好使用
     【Windows檔案保護】。執行『sfc.exe /scannow』，他會搜尋被修改過的系統檔案，然而必須放入當初安裝的Windows光碟才可以進行。