使用杀毒软件和防火墙，有时并不能发现和清除病毒木马文件。其实，使用系统自带的安全工具，往往可以出奇制胜发现和清除隐藏很深的病毒文件。例如，运行“gpedit.msc”程序，在组策略窗口中点击“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”项，在右侧窗口双击“审核账户管理”项，在弹出窗口中选择“成功”和“失败”项，启用针对账户的审核策略。

以后如果怀疑黑客侵入了本机，并创建了非法账户，可以运行“eventvwr.msc”程序，在事件查看器窗口左侧选择“安全性”项，在右侧窗口中检查“审核成功”时间，根据账户信息的变动情况，就可以发现非法账户的踪迹。例如，根据事件记录信息，在审核事件中发现建立了名为“adminuser”账户，并在很短的时间内将其提升到Administrators组中，经过一段时间后该账户被删除，但是管理员并没有建立和使用过该账户，因此该账户一定是黑客侵入本机后建立起来的，为的是使用本机开启的终端服务。当黑客渗透完成后，将该账户删除来隐藏踪迹。根据这一线索，果然在系统中发现了黑客预设的DLL木马，虽然其经过免杀处理，还是被管理员发现并清除了。

为了从底层侵入系统，很多病毒喜欢将自身伪装成驱动文件来逃避用户的监控，因为驱动加载的级别优先级最高，而且在安全模式下照样可以运行，就造成了驱动级别的病毒很难清除的局面。其实，利用系统提供的设备管理器程序，有时可以简单直接地发现驱动型病毒的踪迹。例如，在设备管理器窗口中点击菜单“查看”→“显示隐藏的设备”项，可以显示所有处于隐藏状态的设备。在设备列表中的“非即插即用驱动程序”节点下可以显示本机中所有的驱动型软件的服务程序，在其中仔细观察，不难发现不法程序的身影。例如，装载其中找到名为“supervga”的可疑驱动，双击该驱动项，在其属性窗口中的“驱动程序”面板中点击“停止”按钮，终止其运行。在“启动类型”列表中选择“已禁用”项，让其无法跟随系统启动。点击“驱动程序详细信息”按钮，可以发现与之关联的驱动文件的具体的路径信息。例如“C:Windowssystem32driversupervga.sys”，可以进入WinPE环境，将其彻底删除。

此外，如果本机开启了远程桌面服务，为了防止别人随意连接对系统造成威胁，可以使用系统自带的防火墙对其进行拦截。例如，在Windows 7中已经提供了功能强悍的防火墙，可以在防火墙设置界面左侧点击“入站规则”项，在右侧窗口中的“入站规则”栏中双击“远程桌面”项，在打开窗口中的“常规”面板中选择“只允许安全连接”项。在“用户和计算机”面板中勾选“只允许来自下列计算机的连接”项，点击“添加”按钮，添加值得信任的主机。勾选“只允许来自下列用户的连接”项的，点击“添加”按钮，将值得信任的账户添加进来。这样，不符合添加的用户无法连接本机的远程桌面，这在很大程度上避免了本机遭黑客入侵的可能性。