我在办公室的域中使用 Windows 7 PC。今天查看我的 c:/users 文件夹,我发现了 314 个文件夹,总计 131 GB。文件夹名称似乎是故意随机的,每个文件夹都包含完整的 Windows 配置文件。我们的技术支持团队不知道是什么原因造成的,但他们告诉我这会影响多台 PC。
经过一番努力,我能够删除除一个文件夹之外的所有文件夹(我必须使用 Unlocker 来释放它们并在重新启动时标记为删除。)我无法删除的文件夹有两个子文件夹由 c:\windows\system32\lsass.exe 打开
我对该盒子拥有管理员权限,但无法访问、删除或取得两个“凭据”文件夹的所有权。
我正在寻找任何线索以了解这里可能发生的是什么以及如何阻止它。
我花了很多时间在 Google 上,但得到的只是对 Sasser 蠕虫的模糊记忆。(原因不太可能。我们有最新的防病毒软件,lsass.exe 由 MS 签名,但我没有看到该蠕虫的任何签名文件。)
上次重启后,出现了一个具有匹配命名方案的新文件夹。
更新:非常感谢 arana 和 EMK。罪魁祸首可能是 Landesk。我们已经向 Landesk 技术人员提交了一张票。问题解决后,我会在这里发布解决方案。
答案1
答案2
“lsass.exe” 是本地安全身份验证服务器。它验证用户登录到您的 PC 或服务器的有效性。Lsass 生成负责为 Winlogon 服务验证用户的进程。这是通过使用身份验证包(例如默认的 Msgina.dll)来执行的。如果身份验证成功,Lsass 会生成用户的访问令牌,该令牌用于启动初始 shell。然后,用户启动的其他进程将继承此令牌。
我的驱动器上也有类似 3f8704I1d2943a84ef894ec6146346532 的文件夹。这些文件夹可能包含日志文件和/或 Microsoft 更新的“残留文件”。但我不确定您的文件夹是否如此。