Windows病毒和木马排查工具

工控系统越来越多被病毒软件和恶意木马攻击，造成很多工控系统运行缓慢，表现症状为操作缓慢，画面切换卡顿，历史曲线和操作面板调用卡顿，检查windows操作系统时候发现cpu并不是很高，内存占用也不多，但硬盘读写很疯狂。

今天剑工提供一个windows脚本工具，用来帮助工控用户检查windows系统关键项是否异常，脚本工具叫：windows check tools，文件名wct.bat

首先下载wct.bat到c盘根目录下，然后在运行框中输入“cmd”，然后右键选择管理员运行。

执行C:\>wct.bat

会出现一个脚本提示bar，等待出现completed表示检查完毕，在c:\programdata下出现一个check文件夹

Check文件夹下会自动生成以下几个文件。

打开dirs可以看到c盘下所有目录和文件，包括隐藏目录和文件

打开port可以看到本机打开的端口，同时显示链接的IP和端口

打开reg可以看注册表中隐藏的开机自启动项程序

打开schedle文件可以看到计划任务项目，可以检查有哪些执行程序被写入定期启动。

打开service可以看到windows所有服务项目，尤其关注state中显示running的项目

打开tasklist可以看到当前的widnows的内存中执行的程序，对内存的占用和PID会话名

打开user可以看到windows系统创建了哪些用户，如果出现不是你自己创建的用户，那就要注意了！

最后查看application/system/security三项的事件记录，可以根据时间查看事件的顺序的内容

以上通过此脚本工具可以快速排查病毒/木马对windows系统的入侵。

对于如何安全清除这些木马和病毒，欢迎大家加入剑指工控技术群获取离线清除工具（不同的工控系统需要采用不同的清除工具，防止清除工具对工控系统产生不必要的删除和隔离）