1、检查系统的账户

进入系统后右键计算机 -> 管理 -> 查看本地用户和组，

（1）先在用户选项中禁用所有的异常账号

（2）然后到组中，从administrators组以及users组中，删除所有的非administraor的用户

2、检查异常服务

运行中输入msconfig回车

（1）检查启动项

将所有的异常启动项禁用（不勾选）

根据命令的位置找到病毒文件，执行脚本等。如果执行的启动项是批处理文件可以打开查看下，看一下他在系统中添加了什么东西，根据代码在注册表中删除对应的项，根据代码内容判断下是否注册表被篡改。最后再删除异常文件。

（2）检查所有非微软的服务

在msconfig中，切换到服务选择卡，勾选“隐藏所有microsoft服务”，然后将显示出来的服务进行一下过滤。

如有异常服务，根据服务名称，打开services.msc，找到对应服务，先停止掉。

然后根据服务中exe程序路径，到对应路径下删除木马病毒文件。

最后进入cmd输入sc delete 服务名，删除病毒服务。

有多个异常服务的就重复上面的操作步骤。

3、检查计划任务

开始菜单——管理工具——计划任务，点开Microsoft查看下有无异常的计划任务，如果有先不要删除，先查一下计划任务中执行的脚本，程序等根据路径去磁盘中删除源文件，然后再删除，删除病毒文件最后再删除计划任务

4、检查异常文件

先打开文件夹管理中的隐藏文件显示。然后检查C盘及windows目录下的可疑文件，可按照时间排序，根据经验筛查一下，按照时间排序后注意查看近期有修改的exe，bat，msi等文件。

需要重点排查的目录有

C:\Windows

C:\$Recycle.Bin

C:\Windows\System32

C:\Users\Administrator （以及其他账户目录）

如果发现有文件存在运行，但是路径下找不到，可能是被隐藏了

 

5、检查系统的应用

打开服务器任务管理器，

（1）先按照cpu排序，查看下经过上述处理后还有无占用cpu极高的进程，找到路径结束掉，并且删除对应的exe等执行程序。

（2）再按照进程名称排序，查看下有无异常进程，比如svchost.exe 有无名称类似（比如svchsot.exe）的或者64位系统下有svchost.exe*32 这样的进程。

（3）按照用户名排序，查看下Administrator及其他普通用户的执行进程

6、检查sqlserver作业

部分黑客可能在sqlserver中建立作业，如果服务器安装了sqlserver，登录mssql管理器，查看sqlserver代理——作业中有无被添加异常的作业，查看下作业中执行的操作，根据操作内容在服务器内删除相应的异常文件，最后一部删除作业，

7、安装杀毒软件

安装云锁全盘扫描，避免手工检测中没有检查到的问题，对高危网站进行目录权限设置，取消上传目录执行脚本权限。

8、重装系统

如果中毒非常严重，导致资源管理器无法加载，或者系统核心文件损坏，只能重装系统，重装后对D盘进行一次杀毒检查。