前阵子，在服务器的 C 盘上存在一个“installed.exe”，引起了我的警觉。

    它的创建时间是在早上的 7 点多，按常理，这个时间点是没有人会去操作服务器的。很明显，服务器已经中毒了。
    既然是病毒，一定会有启动项。检查“程序”→“启动”，没有任何东西。
    既然不在启动项里，那么一定在注册表里。检查注册表，定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，果然存在几个可疑项：

    可以确定的是“wmiex.exe”，另外两项待观察。
    检查计划任务，“控制面板”→“性能和维护”→“任务计划”，发现三个可疑的计划任务：

    由此可以确定前面注册表中那几项都是病毒，可以删除。
    删除这三个计划任务，同时删除前面注册表的那三项。
    永恒之蓝病毒的端口是445，检查端口：

    杀掉这两个进程：

    打开任务管理器，检查这两个进程是否已成功结束。
    在 C:\TEMP 目录下还存在几个病毒文件：

    全部删除。同时，删除以下几个病毒文件：

    注意，C:\WINDOWS\temp 目录下还有两个可疑文件：mkatz.ini 和 m.ps1，由于创建的时间点和病毒文件的时间点接近，直接删除。同理，C:\WINDOWS\system32\drivers 目录下还有一个文件 taskmgr.exe 也要删除。注意，这几个文件都是隐藏文件。
    最后，以下两个文件删不掉：

    可以进 WinPE 删除。当然，我这里采取最简单的方法，安装火绒安全软件。


    很快就抓住这两个文件并删除了。至此，永恒之蓝病毒已经被清除。当然，如果不放心的话，可以用火绒安全软件进行全盘查杀。