(本文适用于云服务器，虚拟主机可以直接参考第三种操作)

　　首先，守护神快速找到挂马文件(云服务器)

　　在云服务器访问：https://www.hws.com/soft/kill/,点击下载软件，下载地址：https://d.hws.com/free/HwsKill.zip,下载解压操作界面如下图所示：

选择“自定义查杀”  后出现如下界面：

选择站点所在路径 ，如下图 D:\wwwroot\testweb\wwwroot  ，点击 “开始扫描”

若存在异常挂马文件 ，则在下图列表会显示具体的文件名和挂马类型等信息，双击条目可查看具体挂马内容：

另外，右键点击相关条目，参照下图“打开文件路径”和“打开日志”，将操作记录作为日志文件查看。确认是异常文件后，可以直接删除异常文件。

到目前为止，通过守护神杀云工具扫描清理异常文件的过程已经结束，但守护神无法找到所有挂马文件和内容，这并不意味着所有挂马的内容都已清理

清理挂马的文件或内容并不意味着网站是完全安全的。您需要联系程序开发人员检查程序漏洞以进行修复，或者下载最新版本的程序升级以提高程序安全性

如果没有技术人员处理程序问题，并且无法下载最新版本的程序，您可以使用360 document guard监视文件修改操作

 2、360 文档卫士监视文件修改以防止重新挂起

 360 文档卫士下载地址：http://weishi.360.cn/wendangweishi.html    ，下载安装后的程序运行界面如下图所示：

前文中，通过护卫神云查杀工具扫描出来php后缀的挂马文件 ，打开360文档卫士，点击设置 ，在下图界面 自定义规则中 添加 *.php 后缀格式 ，点击保存 

如下图 ，之前通过护卫神扫描出站点中存在Trojan.php 挂马文件，且进行删了操作 ，操作时间在5月14日的凌晨0：41，

在安装360文档卫士之后 ，见下图 ，监控到在 5月14日下午13：50 再次生成了一个Trojan.php文件 ，准确定位到了文件路劲及文件名称 ，以及创建时间 ，可直接删除掉异常文件即可 ，以使站点恢复到之前的状态；也可通过生成时间，对站点日志进行核实，看相关时间段访问的php文件，以协助找到后门文件 。

三、护卫神远程查木马文件（主要针对虚拟主机）

护卫神除了满足服务器上使用外，还可如下图填写ftp连接信息对虚拟主机进行扫描。

选择远程查杀 ，点击 “选择ftp” 添加ftp链接信息:

若扫描出异常文件，处理方式和前文“自定义查杀” 一致。