對于常見的木馬病毒，可通過以下方法找出木馬病毒文件并進行清除：

一、注冊表清除

利用注冊表加載運行如下所示的注冊表位置是木馬的藏身之處：

HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”開頭的鍵值。

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。

HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。

在System.ini中啟動，System.ini位于Windows的安裝目錄下，其“boot”字段的Shell=Explore.exe是木馬的隱蔽加載場所，木馬通常的做法是將該句變為Shell=Explore.exe，注意這里的Window.exe就是木馬服務端程序。

三、啟動命令

在Win.ini中啟動，在Win.ini的“Windows”字段中有啟動命令“load=”和“run=”，在一般情況下“=”后面是空白的，如果后面跟著程序，內有可能是木馬。

四、修改文件關聯

修改文件關聯是木馬常用手段，比如說下沉情況下TXT文件的打開方式為Notepad.exe文件，但一旦中了文件關聯木馬，則TXT文件的打開文件就會被修改為用木馬程序打開。

五、在Autoexec.bat和Config.sys中加載運行

在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載一般都需要控制用戶與服務端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽，容易被發現。所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心。

六、在Winstart.bat中啟動

Winstart.bat具有系統特殊性，也是一個能啟動并被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成，在執行了Win .com并加載了一些驅動程序之后開始執行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行。

七、反復感染木馬的文件

實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起，上傳到服務端覆蓋原文件。這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會安裝上去。如綁定到系統文件，那么每一次Windows啟動均會啟動木馬。