一位名为redrose 的用户提出了下面的问题：

　　“我正在把Windows NT4.0 SP6系统作为DNS和Web服务器来运行,这是一个已经被木马下载程序入侵的系统。我已经用AVG反病毒软件扫描和清理了服务器，但它却再次被感染。我还下载了一个木马猎人，它检测出了其他木马文件，并进行了删除和重命名处理。然而，问题似乎有愈演愈烈之势。每次我对服务器进行扫描时，AVG都会从同一位置检测并删除相同的Trojan文件。”

　　名为PeterMac 的用户回复道：

　　“新的特洛伊木马变得更聪明了。它们将安装自动运行的下载器，并且不会被反病毒软件发现，因为它们没有特殊的标示。特洛伊木马可以安装成为操作系统的一部分，只有在安全模式下才能将它们删除。为了清除你现在的系统感染，你需要准确地找到木马的位置，然后到主流的反病毒网站寻找最合适的处理方法。网络上的木马可能是致命的,它们通过许多途径进行传播,并在某些系统上不会显现出来。它们只是驻留在系统里，随时准备重新感染你好不容易才清理的系统。为了应付这种木马的爆发，你需要将所有系统与网络隔离开来，当你确定它们被清理干净了之后,才重启网络连接。”

　　名为Howard2nd的用户回复道：

　　“如果没有内部和外部的防火墙，这个问题可能很难解决。Windows将一些文件划归为受“保护”一类，并将从本地硬盘驱动器缓存恢复它们。木马知道这一点,并把它的引导加载程序放到这一类的某些文件中。虽然你删除受感染的文件，并重新启动了系统，但是Windows却恢复了这些受感染的文件，从而再次开始下载木马。”

　　“我们不知道您网络的规模，因而我们不知道问题的严重程度。将所有系统关闭，建立防火墙并将各设备一一进行恢复——很显然，所有这些操作是需要从服务器开始的。如果你在问题出现前有一个良好的备份，那就使用那个备份。如果是纯粹的数据备份（没有应用程序），那么我强烈建议在连接到Internet前安装好所有的补丁。记住，在连接到Internet前需要运行IIS Lockdown和URLScan。“

　　名为nerdking 的用户回复道：

　　“我们的网络也有类似的问题。虽然还没有一台服务器被木马攻击过，但一些客户机已经被攻击了。通常当你发现有一个问题并清除木马后，特洛伊木马所下载的恶意程序还在系统中进行破坏活动。不仅如此，它还会巧妙地进入注册表的不同部分，以便当你除掉其中的一个实例后，它又在下次系统重新启动时自动加载。

　　“下面是我如何使一台机器恢复到一个安全、稳定的环境的方法：首先，切断系统的网络，重新启动到安全模式，然后运行一次完整的病毒扫描。保持在安全模式下，运行间谍/恶意广告软件清扫程序，尽可能地清扫干净，并且每次扫描都重新启动到安全模式下进行。

　　“当间谍/广告软件清扫程序开始报告‘空’，运行Hijack This清理垃圾。小心使用这个程序。一旦什么东西被删除，它就再也找不回来了。当运行Hijack This时，谷歌是你最好的朋友。在删除之前，对任何有一丝怀疑的程序都Google一下，确认它到底是什么。和操作间谍/恶意广告软件清扫程序时一样，在每次运行Hijack This扫描后都重新进入安全模式，如此反复，直到Hijack This报告“清洁”为止。

　　“经过这一切，在正常模式下重新启动机器，并重复以上操作，直到系统中只剩下应该存在的程序。这是一个漫长的过程。”

　　名为George 的用户回复道：

　　看了清除恶意软件、特洛伊木马、间谍软件和恶意广告软件的几种方法后，似乎有人忽略了系统如何运行的常识。当我遇到了恶意软件爆发的情况，我会（1.）打开任务管理器，停止不必要的服务（“所有不需要的”服务），比如disk nag,、Windows office、CD刻录软件等等，有些不能被关闭，但大多数可以。对于NT系统，我通常可以把服务数目减少为16个，而在XP下开启21或22个服务是正常的。（2.）关闭服务后我打开注册表，删除Runonce下的所有非系统运行所必须的项目。记录那些删除后又出现的项目。最小化注册表并（3.）在控制面板中启动Internet选项。清除缓存页面，删除Internet临时文件，清除Cookies，并将Internet临时文件的大小设置为10 MB以下。这时是为各个空间设置安全控制的最佳时机。（4.）启动控制面板中的添加/删除程序。卸载那些不属于系统的程序。定位到program file并删除你不想要的文件，然后重复上述步骤1和步骤2。（5.）开启资源管理器并删除没有被卸载掉的文件及目录和注册表、浏览器、任务管理器中的多余项。（6.）在非网络连接的状态下重新启动到安全模式，重复步骤1到步骤5。（7.）重新启动系统到正常模式，看问题是否已经消失；如果没有的话，请重装系统。