未知问题导致客户端机器瘫痪、病毒或巧合

未知问题导致客户端机器瘫痪、病毒或巧合

如果这个问题应该由 SuperUser 而不是 ServerFault 来处理,我很抱歉。请让我迁移问题,而不是发火。

在一个月的时间里,我有 2 台 Windows 台式机在网络上出现故障,一台是 Windows 7,另一台是 Windows 8,它们位于一个由 6 台机器组成的网络中,其中 PDC 和 Azure 中的另一个 DC 与虚拟 Azure 网络上的几台其他机器一起。

这些机器是 2 年前的华硕 I7 4 核 8 处理器,32GB 内存,固态硬盘主磁盘。这些机器正在开发商店中运行,因此每个人都安装了所有东西。发生故障的 2 台机器正在运行本地 sql 服务器(还有一个 mysql 和 postgress)。

第一个出现故障,我们把崩溃归咎于 SSD 磁盘。但崩溃的某些方面让我的头脑中响起了一些警示灯,但由于开发人员忙得不可开交(试图让网络恢复正常),什么也没发生。

好的,然后我的机器的主系统磁盘 (SSD) 已经满了,我决定运行磁盘清理实用程序来清理系统文件。我注意到我的系统文件有 192 GB,没多想就运行了它。几个小时后,我开始从机器中听到奇怪的声音,并启动了任务管理器……文件未找到错误!直接进入 system32,瞧,除了文件系统锁定的文件外,没有其他文件。

尝试下载病毒扫描程序,但由于 UAW exe 不见了,因此无法安装。设法下载了恶意软件扫描程序(无需安装),但并没有给我任何有关这种情况的充分理由。我去了另一台 Windows 7 机器,并设法将所有 system32 文件复制到我的文件系统。我本打算进行保存重启,并将文件手动复制到 system32,并希望它能运行(我有一个最后期限),但这当然行不通,引导扇区不见了。

卷影副本文件夹不见了,还原点也消失了。所以我不得不全新安装它。磁盘没有报告任何错误。

我扫描了网络,在 PDC 上发现了一个隐藏的服务(rootkit)。但我不知道有哪种病毒会造成这种破坏。

所以最后的问题是。

SSD 磁盘崩溃能造成这样的后果吗?如果不能,什么样的病毒能造成这种损害。

编辑

我知道网络被入侵了,需要重新安装。但问题是客户端是否因为病毒而宕机,或者这可能是 SSD 磁盘崩溃或 Windows 更新失败(这是公司老板对这一切的回答,他只想删除 rootkit 然后继续。)

答案1

正如您已经写的,看来您的 SSD 确实已损坏或即将损坏。

拥有 SQL 数据库和几乎已满的 SSD 可能会导致 SSD 质量快速“下降”。

对于这种事情,最好至少要有一些预期的值,就是检查 SSD 的 SMART 值。

一些重要的值是“磨损均衡计数”和“不可纠正错误计数”

根据您的 SSD,理论上您可以在一个单元上进行大量(10000 次甚至更多)重复写入,但当所有数据仍在使用并且垃圾收集只能回收部分单元时,这种情况可能比您想象的要快。

当然,SSD 的控制器通常会处理这个问题,但只是在过去 1-2 年里,控制器才得到了显著的改善。

基本登顶:

SSD 坏了。

建议:将操作系统 + 应用程序拆分到至少 2 个独立的磁盘/SSD 上,获取一些 raid 以防止停机,并且永远不要忘记备份。

答案2

我认为你可能有点难以理解……

首先,不再有 PDC,而且这个概念早已不复存在。阅读有关 FSMO 角色的信息。

如果您在其中一个 DC 上发现了 rootkit,则需要将其升级并创建一个新的!您还需要进行根本原因分析并找出它是如何到达那里的,因为如果您不这样做,它将继续发生。您应该从 DS 备份中恢复,但是如果您没有备份,您可以随时在删除和修复受感染的 DC 之前向域添加新的 DC。在这种情况下,不要试图删除病毒;遗漏某些东西的代价非常高,并且持久性机制以后可能会导致随机问题。

也许您的机器宕机是域管理员感染病毒的结果;也许不是。您似乎对此一无所知。但是,重建已加入受感染域的 PC 永远不是一个坏主意,您可以从至少其中一台开始。但也许这只是巧合。无论如何,由于您像计算机爱好者一样在少于 10 人的网络上尝试微观管理系统性能和删除病毒,因此您可能明白为什么这是糟糕的系统管理员做法。

值得注意的是,访问速度慢并不是 SSD 故障的常见症状。此外,从您提到的任何原因来看,宕机可能是真的,但对我来说,最突出的是,您的安全似乎完全被破坏了。从铺路开始。

相关内容