首页 › IT技术› 热点问题 › 查看内容

关于最近客户端回写量增大，客户机C盘空间持续占用问题

热点问题 3453 0 2020-8-31 14:41

问题现象：网吧客户机的回写量异常增大，客户机c盘的空间也在持续占用，直至空间完全占用。问题截图：排查过程: 1.远程到网吧之后，直接让给了一台客户机查看，发现是什么都不做的情况下客户机c盘的空间就 ...

问题现象：网吧客户机的回写量异常增大，客户机c盘的空间也在持续占用，直至空间完全占用。
问题截图：
QQ截图20200830145200.png

排查过程:
1.远程到网吧之后，直接让给了一台客户机查看，发现是什么都不做的情况下客户机c盘的空间就一直处于写入占用状态；
2.使用工具查看发现是一个Synaptics的进程一直在回写导致客户机的回写量很大； QQ截图20200830161839.png

3.客户机c盘持续占用的用笨办法一一排查，通过修改日期去一一的看文件夹占用，最后通过层层查看发现也是这个Synaptics的文件夹一直在写入数据，路径是在C:\ProgramData里面（这个文件夹是隐藏的，需要在查看里面设置下）；
QQ截图20200830145224.png

4.问题就很清晰了，就是这个程序捣的鬼，然后通过Procmon监控发现这个Synaptics“将自己拷贝至 C:\ProgramData\Synaptics\Synaptics.exe，并通过写入注册表的方式实现自启动的，确认是个病毒无疑了（这里之后也百度了下 https://blog.csdn.net/skystephens/article/details/104901398，https://baijiahao.baidu.com/s?id=1664050363121583217&wfr=spider&for=pc，这里就有对这个病毒感染情况、特性以及危害有详细的描述）；

解决方法：
当确定问题之后，那么处理方法相信大家都知道了，
第一：首先这个病毒是感染了镜像系统，可以尝试在超级下先删除病毒的自启动项；再删除病毒本体及复制体文件及文件夹，需要注意的是不要试图去点击运行任何文件；当然这个方法是不能保证能完全查杀病毒的；
第二：直接更换新的镜像包，重新做包，以防万一服务器上也可抽时间查杀下病毒，这个是最有效的方式。