故障现象:
客户反映客户现场出现工控机无理由内存占用飚高。重启计算机后程序运行正常内存和cpuz占用正常。在运行一段时间之后内存和cpu占用都会升高,再过一段时间报计算机内存不足,程序无法运行,需要从新启动。
检查:
查看任务管理器,浏览器占用cpu高。因为客户程序是web应用,怀疑网络问题,查看资源监视器tcp连接 大量有程序(程序名称不一定)在扫描本地局域网的445端口,也有些工控机大量连接外网随机ip445端口
处理:
安装客户提供的趋势杀毒软件,先杀一遍病毒。全盘扫描完成后果然报了不少病毒。重启工控机依然报病毒。可见病毒并未清除干净。继续处理。
445端口是windows文件共享服务。在cpu占用高的计算机上关闭server服务。cpu占用立即下降,一段时间后内存占用和网络连接数量都下降。说明已经找到了问题点。
百度445端口发现可能是永恒之蓝勒索病毒,后检查c:\windows目录发现存在 mssecsvc.exe mssecsvr.exe qeriuwjhrf tasksche.exe,查看windows服务发现mssecsvc2.0 mssecsvc2.1 这样可以确定存在永恒之蓝病毒无疑了。
使用下面脚本清除病毒,在病毒发作前避免计算机被加密。
1 sc stop snmpstorsrv 2 sc config snmpstorsrv start= disabled 3 sc delete snmpstorsrv 4 sc stop mssecsvc2.0 5 sc stop mssecsvc2.1 6 sc config mssecsvc2.0 start= disabled 7 sc config mssecsvc2.1 start= disabled 8 sc delete mssecsvc2.0 9 sc delete mssecsvc2.1 10 del /a:s C:\Windows\mssecsvc.exe 11 del /a:s C:\Windows\mssecsrv.exe 12 del /a:s C:\Windows\tasksche.exe 13 del /a:s C:\Windows\qeriuwjhrf 14 del /a:s C:\Windows\System32\MarsTraceDiagnostics.xml 15 del /a:s C:\Windows\System32\snmpstorsrv.dll 16 rd /s C:\Windows\AppDiagnostics 17 reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\snmpstorsrv /va /f 18 pause
至此,问题处理完成,趋势扫描后也不在报告病毒。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析