发现电脑异常可能是感染病毒或恶意软件,需立即断网、进安全模式、多工具交叉扫描、手动清理持久化入口,并在PE环境底层查杀。
如果您发现电脑运行异常、弹出不明广告、浏览器主页被篡改、CPU占用持续过高或文件无故消失,则可能是感染了病毒或恶意软件。以下是彻底清除病毒和恶意软件的多种可行方法:
一、立即断开网络连接
切断网络可阻断病毒与C2服务器通信,防止敏感数据外泄及横向感染局域网内其他设备,是所有后续操作的前提。
1、点击任务栏右下角网络图标,选择当前Wi-Fi或以太网连接,点击“断开连接”。
2、若使用有线网络,直接拔掉主机端或路由器端的网线。
3、确认系统托盘中网络图标显示为“无Internet访问”状态。
重要提示:在完成全部查杀步骤前,严禁重新联网,否则可能导致二次感染或远程控制加剧。
二、进入安全模式启动系统
安全模式仅加载核心驱动与服务,绝大多数自启动型病毒、木马、勒索程序在此环境下无法加载,为手动排查与工具运行提供洁净环境。
1、按住【Shift】键不放,同时点击“开始”菜单中的“重启”选项。
2、系统重启后进入“选择一个选项”界面,依次选择“疑难解答”→“高级选项”→“启动设置”→“重启”。
3、再次重启后,按键盘【F4】键启用“安全模式”,或按【F5】启用“带网络连接的安全模式”(仅当需下载工具时启用)。
注意:如非必要,务必选择不带网络的安全模式,避免病毒利用网络通道逃逸或更新变种。
三、使用多款杀毒工具交叉扫描
单一杀毒引擎存在漏报风险,尤其对新型变种、加壳病毒或无文件恶意程序识别率有限;交叉使用不同厂商工具可显著提升检出覆盖度。
1、启动Windows安全中心,进入“病毒和威胁防护”,点击“检查更新”,待病毒库更新完毕后选择“全面扫描”并执行。
2、从另一台干净设备下载火绒安全工具箱安装包,拷入U盘(U盘须先在安全机上全盘查杀),在中毒机安全模式下安装并执行“全盘扫描”。
3、再下载Malwarebytes离线安装版(含最新Anti-Rootkit模块),安装后更新数据库,运行“Threat Scan”模式。
关键操作:每款工具扫描完成后均需执行“清除”或“删除”,不可仅隔离;隔离区须进入后逐一勾选并点击“永久删除”。
四、手动终止可疑进程并清理持久化入口
部分顽固病毒会伪装成svchost.exe、lsass.exe等系统进程,或通过启动项、服务、计划任务、注册表Run键实现开机自启,需人工定位并解除其驻留能力。
1、在安全模式下按【Ctrl+Shift+Esc】打开任务管理器,切换至“详细信息”选项卡,按“CPU”或“磁盘”排序,识别名称异常(如随机字符串、拼写错误)且资源占用偏高的进程。
2、右键可疑进程 → “打开文件所在位置”,若路径位于C:\Users\用户名\AppData\Local\Temp、C:\ProgramData\RandomFolder或非系统目录,立即结束该进程。
3、按【Win+R】输入msconfig,切换至“启动”选项卡,禁用所有非Microsoft签名的启动项;或使用火绒“启动项管理”一键识别高风险项目。
4、按【Win+R】输入regedit,导航至HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run与HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,逐条核对右侧数值数据,删除指向可疑路径的条目。
警告:修改注册表前必须先导出备份;删除前务必确认路径不含system32、dllcache等系统关键目录。
五、使用PE环境进行底层查杀与文件强制清除
当病毒已劫持系统进程、注入explorer.exe、禁用任务管理器或导致杀毒软件崩溃时,常规Windows环境已不可信,需借助预启动执行环境(PE)绕过系统层防护实施物理级清理。
1、在正常电脑上下载“微PE工具箱”或“CGI PE”制作工具,将ISO写入U盘生成可启动PE介质。
2、中毒电脑重启,按启动快捷键(如F12、ESC、F2)进入Boot Menu,选择U盘启动。
3、进入PE桌面后,运行“火绒64位离线版”或“AdwCleaner”,选择系统盘(通常为C:\)执行全盘扫描。
4、对扫描出的顽固病毒文件,使用PE内置“DiskGenius”或“Everything”定位其绝对路径,右键选择“权限修改”获取完全控制权后,执行Shift+Delete永久删除。
特别注意:PE中删除前需确认文件不在Windows\System32、drivers等合法系统路径下;删除后勿直接重启,应先清空回收站并检查Startup文件夹残留。
