有的木马会修改系统内核文件植入激活程序，隔相当长的时间才触发。除非你事先有备份可以自动对比文件，否则排查工作量之大远超你迁移散落在系统各处的数据

不如备份数据，然后把系统做个镜像，下载下来。重做系统，启动，缺少哪个就在镜像文件里找，再上传上去

用 docker ，虚拟机好，环境分离

如一楼老哥所言，Linux 最大的问题就是被黑了之后难以自查。不像 windows 有 SFC 自查机制。

看一看有没有非个人目录可执行文件被包持有？没有的全删，有的删了之后把包重装。当然是用 pacstrap 操作。

pacman -Qkk 可以简单校验，你也可以通过 pacman -Qqn | pacman -S - 来重新安装所有软件包（前提是没装 AUR 里的，如果有点话可能得手动重装）

rootkit 删不干净的，数据备份出来重装吧
备份出来的数据都要查一查，js php 这种的可能被植入了脚本

重装显然比不重装方便多了

首先排除重要目录下非 pacman 管理的文件（ `/boot /etc /usr /var /opt`）当然有些文件是运行时生成或者 `pacman.hook` 生成的，注意辨别：

```
# fd | pacman -Qo - 1>/dev/null
```

有些目录例如 `/etc/ssl` 的可以在 fd 后面 -E 排除

然后用 paccheck 检查文件 sha256 防止篡改（`community/pacutils`）：

```
# paccheck --sha256sum 1>/dev/null
```

仔细检查一遍没啥问题就 OK 了。

赞同一楼，排查的工作量大于重建。

pacman -Syyuu $(pacman -Qq)
上面的命令可以重装目前所有安装的包 pacman 默认是即便安装了也重新安装的 所以不需要其他参数
不过还是重装好 因为如果不是包而是配置文件被加了料 你也不能全都覆盖掉吧 那和重装也没什么区别了

我会默认这个系统上的所有文件都被感染了。
我可能的解决方法是，用一个虚拟光盘或者 usb-live Archlinux 重启，挂载根分区后用 pacstrap 安装一个最小系统。然后 chroot 到这个系统下用 pacman 将所有的软件包都重装一遍。最后参考楼上诸位老哥譬如 MayKiller 的做法，再次排查一下非 pacman 生成的所有文件。

1. 要么就假装无视发生过继续用 ( 非常不推荐
2. 要么就狠心重装, 不然你朝思暮想, 夜不能寐, 不是亏了大的
3.下次把需要持久化的数据都集中起来, 或者把应用容器化, 这样出问题了直接保留数据原地重装, 速度快还省事

为了不想重装而去各种找蛛丝马迹, 属实是费力不讨好.