现在明白为什么不能暴力卸载并删除了么？
　　 暴力卸载并删除后，如果是静态加载的，那注册表中仍然会留下加载项，每次开机或相关程序运行时仍然会偿试加载该模块，如果多了，会导至系统运行变慢。
　　 如果是动态加载的，那你卸载并删除的仅仅是模块木马，注入程序却仍然留在你的机器上。如果此木马设计的比较合理，那它应该是有模块文件备份的，这样，当你再次开机时，会发现，你暴力删除的模块文件又重新回到了你的机器上，你永远删不干净。如果此木马设计的不合理或比较狠毒，那就只有上帝和木马的制造者才知道会发生事情了～～ -_-!
　　
　　 即然不能暴力删除，那找到后应该如何呢？与进程一样，抄下模块文件的路径与名字，然后，开始下一步的检查，暂时不要理它。
　　
　　 即然说到了无进程木马，那就不得不说“线程注入型木马”，进程注入型的木马注入到进程中的是一个模块，也就是说，必须有一个模块文件的存在，这样我们可以找到这个模块并通过对其文件进行签名验证来找出注入木马；而线程注入型的木马，注入到进程中的却只是一段代码，是没有文件存在的，虽然可以查看每个进程的各个线程，但想发现并找出哪一个线程是木马的，不能说绝不可能，但也几乎是不可能的了，能找出的是非常高的高人，绝不是我～看看下面的第二张图，是EXPLORER.exe的线程列表，能看出什么么？
　　 （顺便说一句，那张图是ProcessExplorer的截图，非常非常出名且非常非常好用的进程管理工具，在这里可以下载：www.sysinternals.com ）
　　 那对这种线程注入型的木马又怎么办呢？
　　 幸好，线程注入型的木马也需要有一个注入程序来配合，我们找出线程很难，但找出他的注入程序就好办多了。
　　 现在，无论你是否找到了可疑的模块或线程，我们都要开始下一步的检查，启动项检查！