最近我发现一个进程正在删除硬盘上的大量文件,于是我开始尝试捕获该进程。以下是我的发现:
- 它会随机删除文件,但一旦启动,它会悄无声息地删除数百个文件/数十 GB,并且删除的文件不会出现在回收站中,所以我无法恢复它们。它不会删除所有文件。例如,在一个文件夹中,它会删除所有以 AM 开头的子文件夹,而以 NZ 开头的文件夹则保留下来。
- 但是,每次删除时,它只会从我的 Google Drive 文件夹和备份文件夹中删除(文件夹名称是
BACKUP) - 它不是每天都会删除。我的观察是它大约每 3-7 天删除一次,我怀疑这是随机间隔
- 当我的计算机关闭数小时后再次打开时,就会发生这种情况。
- 很有意思我设法使用 Directory Monitor 捕获了删除操作。首先,它捕获了由
C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE用户“NT AUTHORITY\SYSTEM”执行的删除操作。这是用于 Intel(R) Thunderbolt 控制器驱动程序的 DELL 驱动程序。我立即停止了 Intel Thunderbolt 控制器进程,然后删除仍在继续,但进程是*C:\Program Files (x86)\Google\Drive\googledrivesync.exe(用户是我的名字),然后我停止了 Google Drive 程序,然后删除仍在继续,但进程是C:\Windows\explorer.exe(用户是我的名字)。然后我关闭了所有文件资源管理器窗口,最后删除停止了。 - 我使用 Windows Defender 和 AVG Antivirus 执行了全面扫描,没有发现病毒。
我尝试使用绝对干净的映像(这是出厂映像)恢复系统,然后我必须安装所有软件才能使 PC 能够工作,然后几天后再次发生删除。在第一次出现此病毒之前,我安装的最新软件是适用于 Windows 的 Docker,以及一些戴尔驱动程序更新,它们都是从官方网站下载的。
有人知道这是什么病毒吗?
来自 Directory Monitor 的一些日志:
===first process (Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE)===
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original\User Guide\PDF *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Wacom\PenTablet_499-6.exe *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
===second process (googledrivesync.exe)===
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\design.png *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Function list.gdoc *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Group_full.gslides *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
===third process (explorer.exe)===
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\burden-299864.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\Millennial-FOT-1.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\HongKong19.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
===根据@'TECHIE007 的有关 BACKUP 文件夹的附加信息========
BCKUP 文件夹只是一个普通文件夹,用于存储我的硬件驱动程序和系统映像,以用于系统恢复。它存储在 X:\BACKUP 中。X: 驱动器是一个存储我所有数据的硬盘。有以下文件夹:X:\BACKUP... X:\DATA... X:\MEDIA...
我会定期将整个 X: 驱动器复制到外部硬盘作为备份。
我有一个 C:驱动器,它是 SSD,仅用于系统和已安装的软件。
同时,为了便于移植,X: 中的每个文件夹在 C: 中都有一个符号链接,例如,我有 C:\BACKUP,它是指向 X:\BACKUP 的符号链接,C:\MEDIA 链接到 X:\MEDIA 等等。
我还注意到,当 BACKUP 文件夹中的所有文件被删除时,C:\BACKUP 符号链接也会被删除,但文件夹 X:\BACKUP 仍然存在,只是内容为空。所以我认为恶意软件实际上是删除了 C:\BACKUP*.* 而不是 X:\BACKUP,并且在删除 C:\BACKUP 中的所有文件后,恶意软件会删除文件夹 C:\BACKUP,而这只会删除符号链接,所以这就是为什么 X:\BACKUP 文件夹仍然存在且内容为空的原因。
希望这有助于找到新的线索。
答案1
更新:戴尔已承认其驱动程序安装程序会删除用户文件。他们已将该驱动程序列入黑名单,以确保不会将其分发到其他系统。对于已经遇到此问题的用户,祝您好运,希望您能找回文件。
包括我在内的很多人都遇到了这个问题。这似乎与每天运行的 Dell Thunderbolt 驱动程序安装程序有关。我运行了 Sysinternals Process Monitor 跟踪,证明该驱动程序安装程序执行了所有删除操作。
我不太清楚为什么它只删除特定文件夹中的文件,但这是我最重要的文件夹,我总是在文件资源管理器中打开它。也许驱动程序和文件资源管理器之间存在某种交互。
您可以在戴尔线程中找到更多详细信息。http://en.community.dell.com/support-forums/software-os/f/4997/t/20017763
我已经在那里发布了我的发现的相当完整的分析,但它正在等待戴尔版主,因此我在下面附上了一份副本。
我也是,在过去 5 个工作日内(我记得第一次发生是在 2017 年 8 月 17 日星期四),它反复删除了一个包含 10K 多个文件的文件夹,我每天都必须从备份中恢复这些文件。这真是浪费我的时间。
我对文件消失感到非常恼火,于是我运行了 SysInternals 进程监视器跟踪,并且我发现这个驱动程序安装程序正在忙乱,这个过程遍历 c:\data\dropbox 下的文件并将其全部删除!
我不知道为什么安装程序每天都在运行。另外,为什么只删除 c:\data 下的这个文件夹而不删除 c:\data 下的其他文件夹也不清楚。我唯一能想到的就是我在文件资源管理器中始终打开这个文件夹。
其他人也报告了类似的问题,请参阅 病毒/可疑进程通过各种进程名称删除许多文件夹和文件
我查看了系统上运行的各种戴尔更新实用程序的更新(为什么这么多)。Dell Command Update 的历史记录和活动日志未显示它们执行了任何操作。
该安装程序由戴尔公司签名,我已经用病毒扫描程序检查过,没有任何问题。
Dell 支持助手显示“由 PC_Doctor 提供支持”,这解释了驱动程序路径中的 PCDR,因此我猜测这会安排每日更新。但是,显示的父进程(启动驱动程序安装程序的进程)的进程 ID 不是当前正在运行的进程,因此我无法确定是什么启动了此安装程序。
有人知道这个驱动程序安装程序的日志文件在哪里吗?我查看了 %temp% 和 c:\windows\temp,但那里没有与时间戳匹配的内容。
Windows 事件日志每天显示以下内容
系统事件日志条目(每天随机时间,事件 ID 7045)
系统中安装了一项服务。
服务名称:PCDSRVC{3B54B31B-D06B6431-06020200}_0 - PCDR 内核模式服务辅助驱动程序 服务文件名:c:\program files\dell\supportassist\pcdsrvc_x64.pkms 服务类型:内核模式驱动程序 服务启动类型:需求启动 服务帐户:
也
开始 Windows 安装程序事务:C:\ProgramData\dell\drivers\Chipset_Driver_8J86F_WN32_15.3.39.250_A01\setup.msi。客户端进程 ID:16568。
我很高兴删除这个有问题的文件,但我担心它会再次删除文件。由于无法追踪它删除了什么,随着时间的推移,越来越多的文件将从我的系统中消失。
很明显谁是错的,现在戴尔需要承担责任并解决这个问题。我正在支付高级支持费用,并将联系我的戴尔支持代表。