feng 发表于 2020-8-30 15:22:07

关于最近客户端回写量增大,客户机C盘空间持续占用问题

本帖最后由 feng 于 2020-8-30 16:21 编辑

问题现象:网吧客户机的回写量异常增大,客户机c盘的空间也在持续占用,直至空间完全占用。
问题截图:


排查过程:
1.远程到网吧之后,直接让给了一台客户机查看,发现是什么都不做的情况下客户机c盘的空间就一直处于写入占用状态;
2.使用工具查看发现是一个Synaptics的进程一直在回写导致客户机的回写量很大;
3.客户机c盘持续占用的用笨办法一一排查,通过修改日期去一一的看文件夹占用,最后通过层层查看发现也是这个Synaptics的文件夹一直在写入数据,路径是在C:\ProgramData里面(这个文件夹是隐藏的,需要在查看里面设置下);

4.问题就很清晰了,就是这个程序捣的鬼,然后通过Procmon监控发现这个Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe,并通过写入注册表的方式实现自启动的,确认是个病毒无疑了(这里之后也百度了下 https://blog.csdn.net/skystephens/article/details/104901398,https://baijiahao.baidu.com/s?id=1664050363121583217&wfr=spider&for=pc,这里就有对这个病毒感染情况、特性以及危害有详细的描述);

解决方法:
当确定问题之后,那么处理方法相信大家都知道了,
第一:首先这个病毒是感染了镜像系统,可以尝试在超级下先删除病毒的自启动项;再删除病毒本体及复制体文件及文件夹,需要注意的是不要试图去点击运行任何文件;当然这个方法是不能保证能完全查杀病毒的;
第二:直接更换新的镜像包,重新做包,以防万一服务器上也可抽时间查杀下病毒,这个是最有效的方式。

页: [1]
查看完整版本: 关于最近客户端回写量增大,客户机C盘空间持续占用问题