我遇到一个问题,终端似乎无法正确记录事件,有时似乎无法通过网络进行通信。
该终端之前曾感染过病毒,该病毒似乎“玩弄”了标准用户配置文件中的默认组策略。虽然从表面上看,终端似乎工作正常,但我仍然有一种挥之不去的感觉,它还没有完全恢复到原来的样子。它是在公司使用旧版 AV 软件时,用户插入 USB 棒而感染的……通常是在更新前一周左右。
我已将事件日志配置为按要求覆盖,最大大小为 5056KB。我还尝试过:-
- 禁用事件日志服务并重新启动
- 更新 Windows\system32\config 目录中的 EVT 文件
- 重新启动事件日志服务并重新启动
- 清除服务 MMC 中的事件日志
- 在服务 MMC 中将过滤器重置为默认值
- 从服务器上的 CMD 窗口远程使用 EVENTCREATE 命令来强制事件创建事件。
有人知道该怎么做吗?我认为可能需要刷新“Windows\system32\config\SystemProfile”文件夹。我还考虑运行 Malwarebytes 之类的工具,但这可能会引起一些争议,因为系统需要尽可能长时间处于“正常运行时间”状态。我还想知道是否有人知道任何 Windows 管理工具,允许我控制事件日志记录选项或默认安全选项,以便我可以将其恢复到某种标准。
我试图避免的是完全重新映像终端。虽然这是一个选项,但如果不需要,我真的不想这样做。
在此先感谢任何人可能提供的任何建议。
答案1
首先,您可能会发现 ServerFault 提供了更好的支持,因为尽管所讨论的特定系统是客户端,但日志记录通常在服务器上使用更为广泛。
其次,除非您格式化系统并重新安装/重新镜像,否则您永远无法真正确定您已经摆脱了病毒。如果您知道确切的病毒,并且确定每个文件都已被删除并且每个更改都已撤销,那么我想您可以相当肯定它已经消失了;我假设您在这种情况下不是 100% 确定,因为您不知道该病毒是否会干扰系统日志记录和/或它做了哪些更改。