作者：棋玉

windows 中毒迹象一般都表现在服务，进程和启动项里，参考如下步骤排查：

1.运行msconfig，查看启动项。

2.任务管理器查看进程，查看》选择列，勾选命令行。

以命令行排序，查看是否有异常路径和进程。

3.查看是否有异常服务（主要从服务名称和可执行文件的路径来判断）。

以下是具体案例分析：

案例1：

重启后卡在“正在应用scripts策略”

排查：

1.开机按F8 进入安全模式，可以正常启动，查看是否配置了开机或者登陆脚本，本案例并没有配置脚本。
（gpedit.msc>计算机配置》windows设置>脚本 和 用户配置>windows 设置>脚本）

2.尝试禁用三方服务和启动项，重启仍然卡住。
https://support.microsoft.com/zh-cn/help/929135/how-to-perform-a-clean-boot-in-windows

3.安全模式没问题 说明肯定是三方问题，把三方服务和启动项禁用没有用，就说明大概率不是正常三方应用的问题。查看服务，发现有很多命名异常的服务，查看服务属性>可执行文件的路径，可以看到是创建了计划任务。

这些异常服务信息基本可以确认服务器已经中毒。

案例2：

windows激活失败，报错如下

排查：

1.查看software protection 是运行中状态（其实这个报错并不是指software protection 服务没启动，如果是software protection未启动，报错码应该是0x80070422）

2.google 查看80070426 多是跟补丁安装有关，查看windows update 服务未启动，尝试启动失败。
查看windows update 属性，依存关系不对，而且 systems服务对应一个异常进程。