目前市面上中小网站大概有60-70%都是用的windows系统，windows服务器经常出现被黑的情况，本文主要对这个现象，进行一些快速的排查和木马病毒手工清理。针对中毒不是很严重的服务器，尚可操作的情况来说，部分服务器被黑很严重的只能考虑重装系统了。我以用途最广的windows2008服务器来作为示例。（windows2003建议弃用，目前微软已经停止更新，有很多漏洞，非常容易被黑）以下：

1、检查系统的账户
通过vnc或者远程桌面登录后查看到有异常账户常见的如admin$

进入系统后右键计算机 -> 管理 -> 查看本地用户和组，
（1）先在用户选项中禁用所有的异常账号

（2）然后到组中，从administrators组以及users组中，删除所有的非administraor的用户

2、检查异常服务
运行中输入msconfig回车

（1）检查启动项
将所有的异常启动项禁用（不勾选）

根据命令的位置找到病毒文件，执行脚本等。比如这个是增加admin$异常账户的vbs脚本。

批处理文件可以打开查看下，看一下他在系统中添加了什么东西，根据代码在注册表中删除对应的项，根据代码内容判断下是否注册表被篡改。
 
这里检查注册表没有被修改，实际上是一段添加并且隐藏admin$的代码。
最后再删除异常文件。

（2）检查所有非微软的服务
在msconfig中，切换到服务选择卡，勾选“隐藏所有microsoft服务”，然后将显示出来的服务进行一下过滤。

如有异常服务，根据服务名称，打开services.msc，找到对应服务，先停止掉。

然后根据服务中exe程序路径，到对应路径下删除木马病毒文件。
 
最后进入cmd输入sc delete 服务名，删除病毒服务。

有多个异常服务器的就重复上面的操作步骤。
3、检查计划任务
开始菜单——管理工具——计划任务，点开Microsoft查看下有无异常的计划任务

如果有先不要删除，先查一下计划任务中执行的脚本，程序等

根据路径去磁盘中删除源文件，然后再删除

删除病毒文件后再删除计划任务

4、检查异常文件
先打开文件夹管理中的隐藏文件，如图设置

检查C盘及windows目录下的可疑文件，可按照时间排序，根据经验筛查一下，类似隐藏文件，按照时间排序后会发现近期有修改，删除他们。

需要重点排查的目录有
C:\Windows
C:\$Recycle.Bin
C:\Windows\System32
C:\Users\Administrator （以及其他账户目录）
如果发现有文件存在运行，但是路径下找不到，可能是被隐藏了，遇到类似情况现象是：
（1）可尝试通过takeown /f 文件/目录名 重新获得管理员权限,可显示出来
（2）直接在资源管理器中输入文件路径:d:\wwwroot\test\wwwroot\sgg.asp可以通过编辑器等打开内容
则服务器可能被装了easy file locker 这个软件,锁定,隐藏了目录文件,一般黑客安装该软件会设置密码，无法卸载。

可尝试以下方式: 

1、查询服务状态： sc qc xlkfs 

2、停止服务： net stop xlkfs 

3、删除服务： sc delete xlkfs 

4、删除系统目录下的如下文件 

c:\WINDOWS\xlkfs.dat 

c:\WINDOWS\xlkfs.dll 

c:\WINDOWS\xlkfs.ini (编辑此文件,可以做成批处理快速删除所有挂马的所有目录,然后再删除此文件) 

c:\WINDOWS\system32\drivers\xlkfs.sys

改写为rd /s /q 路径，保存为bat执行即可批量删除。

5、检查系统的应用
打开服务器任务管理器，
（1）先按照cpu排序，查看下经过上述处理后还有无占用cpu极高的进程，找到路径结束掉，并且删除对应的exe等执行程序。
（2）再按照进程名称排序，查看下有无异常进程，比如svchost.exe 有无名称类似（比如svchsot.exe）的或者64位系统下有svchost.exe*32 这样的进程。

（3）按照用户名排序，查看下Administrator及其他普通用户的执行进程

 其中64位系统中带*32的这种一定注意检查下，比如这个进程不是很熟悉，查看是system启动的，可能被黑，右键转到服务查看下对应服务。

找到对应的exe程序，按照上面异常服务的处理流程，停止服务，删除exe，删除服务 

如果发现有异常进程但是无法找到源文件的情况可以使用工具Procmon，下载后打开，可以看到进程访问的文件，从而判定病毒文件位置

开始/停止进程跟踪  屏幕自动滚动 清除屏幕内容 筛选器 如果服务器进程较多,会比较卡,打开软件后,先点击停止进程跟踪,停止屏幕自动滚动,清除屏幕内容 再点击筛选器,设置好筛选器以后再点击开启跟踪以及屏幕自动滚动等

比较常用的是跟踪进程pid,path

6、安装杀毒软件
使用杀毒软件对D盘和C盘进行全面的查杀，避免手工检测中没有检查到的问题。

7、重装系统

如果中毒非常严重，导致资源管理器无法加载，或者系统核心文件损坏，只能重装系统，重装后对D盘进行一次杀毒检查，我建议如果发现中毒了，都备份重要数据到D盘进行重装，这样最保险。