故障现象:
客户反映客户现场出现工控机无理由内存占用飚高。重启计算机后程序运行正常内存和cpuz占用正常。在运行一段时间之后内存和cpu占用都会升高,再过一段时间报计算机内存不足,程序无法运行,需要从新启动。
检查:
查看任务管理器,浏览器占用cpu高。因为客户程序是web应用,怀疑网络问题,查看资源监视器tcp连接 大量有程序(程序名称不一定)在扫描本地局域网的445端口,也有些工控机大量连接外网随机ip445端口
处理:
安装客户提供的趋势杀毒软件,先杀一遍病毒。全盘扫描完成后果然报了不少病毒。重启工控机依然报病毒。可见病毒并未清除干净。继续处理。
445端口是windows文件共享服务。在cpu占用高的计算机上关闭server服务。cpu占用立即下降,一段时间后内存占用和网络连接数量都下降。说明已经找到了问题点。
百度445端口发现可能是永恒之蓝勒索病毒,后检查c:\windows目录发现存在 mssecsvc.exe mssecsvr.exe qeriuwjhrf tasksche.exe,查看windows服务发现mssecsvc2.0 mssecsvc2.1 这样可以确定存在永恒之蓝病毒无疑了。
使用下面脚本清除病毒,在病毒发作前避免计算机被加密。
1 sc stop snmpstorsrv 2 sc config snmpstorsrv start= disabled 3 sc delete snmpstorsrv 4 sc stop mssecsvc2.0 5 sc stop mssecsvc2.1 6 sc config mssecsvc2.0 start= disabled 7 sc config mssecsvc2.1 start= disabled 8 sc delete mssecsvc2.0 9 sc delete mssecsvc2.1 10 del /a:s C:\Windows\mssecsvc.exe 11 del /a:s C:\Windows\mssecsrv.exe 12 del /a:s C:\Windows\tasksche.exe 13 del /a:s C:\Windows\qeriuwjhrf 14 del /a:s C:\Windows\System32\MarsTraceDiagnostics.xml 15 del /a:s C:\Windows\System32\snmpstorsrv.dll 16 rd /s C:\Windows\AppDiagnostics 17 reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\snmpstorsrv /va /f 18 pause
至此,问题处理完成,趋势扫描后也不在报告病毒。
