Windows病毒和木马排查工具

工控系统越来越多被病毒软件和恶意木马攻击,造成很多工控系统运行缓慢,表现症状为操作缓慢,画面切换卡顿,历史曲线和操作面板调用卡顿,检查windows操作系统时候发现cpu并不是很高,内存占用也不多,但硬盘读写很疯狂。

今天剑工提供一个windows脚本工具,用来帮助工控用户检查windows系统关键项是否异常,脚本工具叫:windows check tools,文件名wct.bat

 首先下载wct.bat到c盘根目录下,然后在运行框中输入“cmd”,然后右键选择管理员运行。 

图片

 

 执行C:\>wct.bat

图片

 

会出现一个脚本提示bar,等待出现completed表示检查完毕,在c:\programdata下出现一个check文件夹 

图片

 

 Check文件夹下会自动生成以下几个文件。 

图片

 

打开dirs可以看到c盘下所有目录和文件,包括隐藏目录和文件 

图片

 

打开port可以看到本机打开的端口,同时显示链接的IP和端口 

图片

 

打开reg可以看注册表中隐藏的开机自启动项程序 

图片

 

打开schedle文件可以看到计划任务项目,可以检查有哪些执行程序被写入定期启动。 

图片

 

打开service可以看到windows所有服务项目,尤其关注state中显示running的项目 

图片

 

打开tasklist可以看到当前的widnows的内存中执行的程序,对内存的占用和PID会话名 

图片

 

打开user可以看到windows系统创建了哪些用户,如果出现不是你自己创建的用户,那就要注意了! 

图片

 

 最后查看application/system/security三项的事件记录,可以根据时间查看事件的顺序的内容 

图片

 

 

以上通过此脚本工具可以快速排查病毒/木马对windows系统的入侵。
 

对于如何安全清除这些木马和病毒,欢迎大家加入剑指工控技术群获取离线清除工具(不同的工控系统需要采用不同的清除工具,防止清除工具对工控系统产生不必要的删除和隔离)
 

入群,请联系如下美女管理员

图片