作者:棋玉
windows 中毒迹象一般都表現在服務,程序和啟動項裡,參考如下步驟排查:
1.運作msconfig,檢視啟動項。
2.任務管理器檢視程序,檢視》選擇列,勾選指令行。
以指令行排序,檢視是否有異常路徑和程序。
3.檢視是否有異常服務(主要從服務名稱和可執行檔案的路徑來判斷)。
以下是具體案例分析:
案例1:
重新開機後卡在“正在應用scripts政策”
排查:
1.開機按F8 進入安全模式,可以正常啟動,檢視是否配置了開機或者登陸腳本,本案例并沒有配置腳本。
(gpedit.msc>計算機配置》windows設定>腳本 和 使用者配置>windows 設定>腳本)
2.嘗試禁用三方服務和啟動項,重新開機仍然卡住。
https://support.microsoft.com/zh-cn/help/929135/how-to-perform-a-clean-boot-in-windows3.安全模式沒問題 說明肯定是三方問題,把三方服務和啟動項禁用沒有用,就說明大機率不是正常三方應用的問題。檢視服務,發現有很多命名異常的服務,檢視服務屬性>可執行檔案的路徑,可以看到是建立了計劃任務。
這些異常服務資訊基本可以确認伺服器已經中毒。
案例2:
windows激活失敗,報錯如下
1.檢視software protection 是運作中狀态(其實這個報錯并不是指software protection 服務沒啟動,如果是software protection未啟動,報錯碼應該是0x80070422)
2.google 檢視80070426 多是跟更新檔安裝有關,檢視windows update 服務未啟動,嘗試啟動失敗。
檢視windows update 屬性,依存關系不對,而且 systems服務對應一個異常程序。