我们运行 12 台 Dell Optiplex 755 台式计算机。它们都具有完全相同的硬件和软件,配置完全相同。因此,它们都是:
- 运行Windows XP
- 在同一网络上
- 拒绝访问互联网
- 运行 2011 年 11 月更新的 Windows 更新
- 运行的病毒定义截至 2011 年 11 月
今天有一台计算机报告磁盘空间不足 - 事实上,它报告说 80GB 的驱动器剩余空间不足 6GB。所有其他计算机的硬盘上都只有 64GB 的可用空间。
我检查了文件系统,发现只能找到文件系统上大概 6-7 GB 的数据,因此我运行了 WinDirStat,它报告说有一个 50 GB 的数据块标记为“未知”。
我做了研究并做了以下事情:
- 以管理员身份运行 WinDirStat,因此该应用程序可以访问所有内容
- 我检查了系统还原 - 它配置为仅使用最多 9GB 作为还原点。
- 卷影复制服务未运行,并设置为手动运行。
- Chkdsk 完成,没有错误。
这台计算机与生产中的其他计算机的唯一区别在于,这台计算机是最近部署的两台计算机之一(几个月前),用于替换因无关原因而发生故障的两台计算机。另一台计算机没有出现任何症状。
我们无法弄清楚这块无法访问的硬盘空间到底是什么,我们希望可以恢复它。任何帮助都将不胜感激。
答案1
当我读到这篇文章时,我想到三个明显的原因:
- root-kit:最好的办法是从干净的媒体(如 Linux Live CD)启动,然后使用在线病毒扫描程序扫描磁盘。即使扫描程序没有发现任何可疑内容,您也可能会在磁盘上看到一些非常大的文件或名称奇怪的文件夹,否则这些文件或文件夹在受感染的系统中是看不见的。
- 某种磁盘损坏,但 chkdsk 无法发现。您是否已经在启动期间(而不是在在线文件系统上)运行了 chkdsk?如果没有,请先尝试一下。(从 cmd 提示符运行 chkdsk c: /X 以强制进入启动时 chkdsk。)如果这也是干净的,则磁盘损坏问题似乎不太可能。
- 某种隐藏文件(如 ADS 流)完全失控。尝试清除 Internet Explorer 缓存。这里面充满了完全不可见的 ADS 流,有时会“失控”。SysInternals Suite 中有一个工具可以查找 ADS 文件。您也可以尝试一下。
答案2
检查 System32 文件夹中是否有垃圾内容。特别是查找从其他驱动器根目录复制的文件。
就我的情况而言,至少有两个驱动器的内容已从其根系统复制到我的 System32 文件夹中。
使用 WinDirStat 检查删除文件夹后知道不应该在那里,我发现“未知”的尺寸缩小了。
如果有人能帮忙弄清楚哪个这些文件不应该存在,这将有助于我的清理工作!
我已将此问题发布到 Microsoft 支持http://social.technet.microsoft.com/Forums/systemcenter/en-US/877b155a-9c66-4aa6-9c64-9efc2e787978/junk-content-in-system32?forum=w8itprogeneral