作者:棋玉
windows 中毒迹象一般都表现在服务,进程和启动项里,参考如下步骤排查:
1.运行msconfig,查看启动项。
2.任务管理器查看进程,查看》选择列,勾选命令行。
以命令行排序,查看是否有异常路径和进程。
3.查看是否有异常服务(主要从服务名称和可执行文件的路径来判断)。
以下是具体案例分析:
案例1:
重启后卡在“正在应用scripts策略”
排查:
1.开机按F8 进入安全模式,可以正常启动,查看是否配置了开机或者登陆脚本,本案例并没有配置脚本。
(gpedit.msc>计算机配置》windows设置>脚本 和 用户配置>windows 设置>脚本)
2.尝试禁用三方服务和启动项,重启仍然卡住。
https://support.microsoft.com/zh-cn/help/929135/how-to-perform-a-clean-boot-in-windows
3.安全模式没问题 说明肯定是三方问题,把三方服务和启动项禁用没有用,就说明大概率不是正常三方应用的问题。查看服务,发现有很多命名异常的服务,查看服务属性>可执行文件的路径,可以看到是创建了计划任务。
这些异常服务信息基本可以确认服务器已经中毒。
案例2:
windows激活失败,报错如下
排查:
1.查看software protection 是运行中状态(其实这个报错并不是指software protection 服务没启动,如果是software protection未启动,报错码应该是0x80070422)
2.google 查看80070426 多是跟补丁安装有关,查看windows update 服务未启动,尝试启动失败。
查看windows update 属性,依存关系不对,而且 systems服务对应一个异常进程。
