应先断网并进入安全模式,再运行Windows Defender脱机扫描,辅以KVRT等专业工具二次查杀,手动解除病毒文件锁定、清理注册表启动项,并执行sfc与DISM修复系统完整性。
一、断开网络并进入安全模式
断开网络可阻止病毒与C2服务器通信、下载额外载荷或横向传播;安全模式仅加载核心驱动与服务,大幅降低病毒活跃度,为后续清理提供可控环境。
1、点击任务栏右下角网络图标,选择“飞行模式”或右键对应连接后点击“断开连接”。
2、按下Win + R组合键,输入msconfig,回车打开系统配置。
3、切换至“引导”选项卡,勾选“安全引导”,单选“最小”,点击“应用”后重启电脑。
二、使用Windows Defender执行离线深度扫描
Windows Defender离线扫描在系统启动前运行,绕过正在运行的病毒进程,能有效检出并清除驻留内存或伪装成系统组件的Win32 Trojan变种。
1、重启进入正常系统后,打开“设置”→“更新和安全”→“Windows 安全”→“病毒和威胁防护”。
2、点击“扫描选项”,选择“Microsoft Defender 脱机扫描”,点击“立即扫描”。
3、系统将自动重启并进入脱机环境执行扫描,完成后再次重启。
三、部署专业应急清除工具进行二次查杀
专用应急工具内置行为分析引擎与最新威胁签名,针对Trojan.Win32家族具有高检出率与低误报率,尤其适用于反复感染场景。
1、下载KVRT(Kaspersky Virus Removal Tool)或Norton Power Eraser(NPE)官方最新版。
2、断网状态下以管理员身份运行该工具,允许其更新本地病毒数据库。
3、选择“全面扫描”模式,扫描完成后果断清除所有标为“Trojan.Win32.*”的项目。
四、手动定位并解除病毒文件锁定后删除
部分Win32 Trojan会通过DLL劫持或驱动级注入实现持久化,且常被系统进程占用导致常规删除失败,需借助解锁工具强制释放句柄。
1、下载轻量级Unlocker 1.9.2(仅数百KB,无捆绑软件)。
2、安装后重启资源管理器或直接进入C:\Windows\System32\目录,查找名称含随机字符的DLL文件(如a7x9b2.dll)。
3、右键该DLL文件→选择“Unlocker”→点击“解锁并删除”;同步进入C:\Windows\System32\drivers\,删除同名.sys驱动文件。
五、清理注册表中残留的启动项与服务项
病毒常通过注册表Run键、服务项或WMI事件订阅实现自启动,若未清除将导致每次开机即复活,必须逐项核查关键路径。
1、按Win + R输入regedit,以管理员权限打开注册表编辑器。
2、依次展开并检查以下路径,搜索可疑名称(如随机字符串、仿系统服务名):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
3、对确认为病毒添加的键值或子项,右键选择“删除”,操作前建议导出对应分支备份。
六、执行系统文件完整性修复与磁盘清理
病毒可能篡改或替换关键系统文件(如svchost.exe、dllhost.exe),同时遗留大量临时恶意缓存,需通过系统级命令恢复可信状态。
1、以管理员身份运行命令提示符,依次执行:
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
2、右键“此电脑”→“属性”→“系统保护”→“磁盘清理”→勾选“以前的Windows安装”和“临时Windows安装文件”。
3、点击“清理系统文件”,确认后执行删除。
