实际上，删除工具是否真的是一个真正可行的选择，很大程度上取决于所讨论的恶意软件。所述工具是否有效取决于该工具的作者对原始恶意软件的了解程度及其作用。

为了说明我的观点，看看像 Autoruns 这样的东西。有很多方法可以让您选择的可执行文件在自动工具主要显示的 Windows 启动时运行，但其中只有两种是普通软件工程师的标准选择。恶意软件作者可以轻松地使用许多其他区域，甚至多个区域，在重新启动后变得更加持久。

接下来是对 Windows 注册表的损害。例如，.exe文件的处理实际上是由一个注册表项来表示的，所以如果你天真地撤销它，我可能会用它来破坏你的系统。对于其他常见的扩展名，例如 word 文档也是如此。问题变成了，删除工具的作者是否知道这些值在病毒感染之前是什么？该工具是否甚至可以检测到这些变化？我可以很容易地在这样的路径中隐藏一个重新安装的恶意软件可执行文件，例如一个插件加载到 Internet Explorer 中，或者类似的东西。

接下来是最难恢复的——如果所说的病毒开始践踏你拥有的各种文件怎么办？它完全有可能以这种方式修补部分窗口，或者你的用户数据和程序，存储自身的副本，这意味着你必须知道它这样做并搜索损坏的文件，或者扫描所有文件以查找有效负载. 如果它是自我修改的，那就更难了。如果触发了这些有效负载中的任何一个，则可能会进行重新安装。

最后一种情况是旧的rootkit，它可以隐藏清洁程序的感染。如果您努力尝试，您可以通过某种方式检测 Rootkit，但这非常重要。

在这个阶段我还应该指出，提供清洁/消毒您的计算机的网站对于任何恶意软件作者来说都是一个很好的攻击媒介。电子邮件将自己介绍为某某先生，他们碰巧想赠送 850,000 美元，这对大多数人来说显然是欺诈行为，但计算机以一种对普通家庭来说看起来合法的方式显示“警告，你有病毒”用户，在您知道之前，他们已经安装了“产品”。他们不一定有技术专长来实现这里的骗局。

我不相信上述清洁工具或服务，除非它们来自信誉良好的供应商。

当修理或修理某物的成本高于更换它的成本时，保险业使用“注销”一词。在我看来，除非您（非常）决心了解感染和恶意软件的行为。所以我很可能会注销安装。

也就是说，一些恶意软件相当简单，不会对系统造成尽可能严重的影响。在这种情况下，很可能只需要一个清除工具来清洁它。问题是知道它实际上只是一个简单的恶意软件。

进一步更新：基于 this.josh 的评论 - 我个人看到的许多恶意软件还没有先进到难以删除。但是，我在受感染的 PC 上看到的一个常见趋势是 PC 感染了多个恶意软件，它们都在做不同的事情。通常，一个单一的初始感染似乎通常完全是为了做到这一点。跟踪所有这些部分并推断它们是整体的一部分还是单独的实体以及它们是什么变体是一个耗时的过程，这使得全职恶意软件分析师一直受雇于不同的知名供应商。因此，我个人对您发现的“恶意软件删除”工具有两个问题：

• 他们的作者在删除恶意软件方面的经验是否与 Symantec、McAfee 等公司相同？
• 他们的作者是否有相同的时间来分析恶意软件？我知道如何使用反汇编工具，但我可以告诉你，从反汇编中找出一些东西的过程是一个需要大量时间来学习和完成的过程，即使你是专家也是如此。我知道，因为我不擅长它。

我很难相信看似“银弹”的解决方案。

显然，对此有一个警告 - 提供病毒清除程序（有时会发生）的知名公司可能会起作用并且不太可能是恶意的。这是关于您对工具作者的信任程度以及您对他们所说的人的确定程度做出判断。然而，我想说的是，众所周知，某些恶意软件能够禁用信誉良好的反恶意软件产品（尽管它并不常见），而且预防总是比治疗更可取。

将其与被盗相比，如果您曾经不幸发生过这种情况。有些东西显然是缺失的，比如电视。然而，要给出完整的缺失和不合适的清单是非常困难的——他们是拿走了 X，还是你把它留在了别人家？还是在车里？Y在哪里？这同样适用于恶意软件 - 对所造成的损害进行完整的描述是很困难的，尤其是就像小偷一样，每个恶意软件都是不同的。像小偷一样，恶意软件也有一些共同特征，比如针对自动运行方法，因此很明显存在入侵，但正如我所说，完全解释一切是很困难的。

这取决于机器的重要性。我知道其他人的说法不同，但对于我自己的机器，当我认为发生了一些有趣的事情时，我总是从头开始重新安装。鉴于 AV 扫描程序在任何一天只检测到大约 50% 的恶意软件（您的统计数据可能会有所不同，但无论如何都是不好的），我至少也会对删除工具有点怀疑。

如果您认为存在一定程度的“拥有”，也可以说它取决于恶意软件——尽管，鉴于坚定的攻击者似乎很容易从非特权帐户升级，我不确定我是否相信我自己的那个概念。

顺便说一句，您可能会考虑重新安装恶意软件可以访问的任何 VM 来宾。我也会更改已输入受感染计算机的密码，包括受感染主机的访客。

正如我所说，这个问题还有其他合理的答案，但除非该框非常低灵敏度，并且从未用于访问高灵敏度资源，否则我可能只是重新安装。

我的观点是，裸机就是它。我不相信删除工具可以全部搞定。这很容易证明。甚至美国国防部现在也使用只读媒体进行安全远程操作。他们的理论是，在每次安全交易之前重新启动。我完全同意并且多年来一直提倡这一点。

两者都不是安全的选择。

我们不需要谈论删除工具，它们有时可能会起作用，或者在特殊条件下（从干净的设备运行时）起作用。

但是您将恢复被感染的系统，因此至少还存在一个主要漏洞：您的系统及其应用程序或您的行为 - 可能两者兼而有之。