从轨道上对其进行核弹。确保它一旦被破坏就消失的唯一方法就是将它完全吹走。还原检查点仅有助于解决配置问题，病毒可以更改以前的配置或以在还原后仍然存在的方式安装自身。如果它只是广告软件，那么删除可能就足够了，但病毒可能非常狡猾。

完全摆脱它可能是可能的，但在大多数情况下，它会比 nuking 和重建花费更多的时间（几天），尤其是在保留定期备份的情况下。

编辑：正如奥列格所指出的那样。如果您从计算机上的隐藏分区重新映像，则该映像也可能已被感染。BIOS（或硬件中的其他固件）也有可能在极少数情况下被感染，在这种情况下，您正在寻找一个主要的皮塔来摆脱它。幸运的是 99.99%（我的近似值），它还不是硬件驻留。

核弹是强制性的。话虽如此，我并没有抹去旧的形象；我将数据文件保存在某个地方，以便在经过适当检查后复活。例如，我不销毁邮箱；我扫描它们以查找看起来像可执行文件的附加文件，当发现干净时，我将它们放回联机状态。

对于基本操作系统及其所有二进制文件，清理火焰是规则。无论如何，重新安装机器要快得多......

与重新映像或重新安装机器相比，监控以确保恶意软件被完全删除需要更多的时间、精力和技能。

防病毒软件主要是设计为反应性的，并且会检测初始感染。恶意软件将下载新变种以保持领先于检测，因此您无法确定 AV 删除了所有错误代码并修复了配置更改。

理论上，rootkit 可以控制您看到的一切（黑客帝国风格），因此您在运行受感染的机器时无法确定任何事情。我见过“隐藏”恶意软件流量的 rootkit，因此它在同一主机上不可见。

一种解决方案是运行离线差异并检查修改后的二进制文件和设置。您仍然需要管理类似于备份的常规快照。但是，为什么不重新映像和恢复备份的数据呢？

这取决于您正在处理的感染类型。如果您的 bios 或固件被恶意程序修改，重新安装可能无法正常工作。虽然很少见，但有可能。

根据我的经验，通过将大多数用户限制在用户空间、拒绝 USB 驱动器安装或至少禁用自动运行或代码执行（只读安装）来寻求正确处理权限。拥有安全的二进制文件或所需应用程序的来源，例如在安全的中央存储库中找到，或者尽可能将关键机器和进程转换为更安全的操作系统，例如 OpenBSD，它具有很多安全性（更好的权限方案、组等灵活的日志记录方案等）开箱即用。

需要注意的重要一点是，任何连接到网络的机器都将面临风险。定期备份数据，尽可能避免使用不安全的浏览器插件，例如 flash、java 和 silverlight/moonlight。

对员工进行适当的流程培训。不要相信用户，而是让他们做他们的工作。

如果机器确实被感染并且您必须重新安装，至少有一个 PXE 或网络引导安装以减少停机时间。