【经典案例】云桌面系统异常中病毒影响排查

发布时间：2024-06-20

点击量：371

一、故障现象

云桌面虚机系统主要使用的还是win7或win10系统，日常使用场景场景虚机系统内出现有如下故障表现特征，源于系统中毒影响。

现象：

1、云桌面使用中卡顿卡死。

2、云桌面打开软件提示内存不足。

3、windows系统自动重启。

4、桌面图标或者软件文件状态异常，系统资源管理器目录下有异常的文件生成。
如图：

二、可能原因

1、云桌面虚机系统使用异常典型特征重点排查系统是否中毒。

三、排查步骤

步骤一：卡顿卡死/提示内存不足的云桌面，先排查云桌面分配的资源是否符合平常业务软件使用，特别是VDI桌面如果是分配4G，在正常使用的时候查看任务管理器打开的软件使用内存量总和是否达到了瓶颈：

a.任务管理器中正在使用的的软件内存加起来总和已经接近瓶颈：说明目前内存已经不满足业务要求，考虑给桌面扩容内存；

b.任务管理器中有其他异常的进程占用了内存，则可能有病毒程序在占用内存，可以进行病毒查杀；

Lsass.exe进程占用大量内存，可能云桌面中了勒索病毒，进行病毒查杀。

步骤二：window系统无法打开任务管理器的情况下，查看windows系统日志是否存在异常。

路径：我的电脑--》管理--》windows日志

比如：日志中有系统内存不足的报错，说明有程序占用内存导致的卡顿/软件提示内存不足，可以进行病毒查杀

步骤三：使用安全软件比如360安全卫士或360急救箱扫描查杀是否系统中毒。

急救箱链接：点击查看

（需要多次查杀，直到扫描无病毒）

步骤四：如果window系统会反复自动蓝屏重启，可以收集云桌面日志针对windows系统的蓝屏dmp文件进行分析。

如下图情况：如果蓝屏dmp文件解析引起蓝屏进程是函数srv!SrvOs2FeaToNt报错，则很可能系统中毒引发重启。

解决：杀毒并安装补丁，链接：点击查看

步骤五：排查云桌面虚机任务管理器查看句柄数是否过大。如果超过10w以上，且持续快速增大，且系统卡顿，基本判断系统中毒，可优先安装安全软件杀毒处理

四、信息收集

1、 确认故障现象，通过录像、拍照方式收集故障现象。

2、了解云桌面使用的模式：还原/个性/应用分发，有没开应用分层、还原模式个性化配置功能。

3、云桌面日志收集（优先rcdc页面上收集虚机日志，rcdc页面上无法收集云桌面日志则通过脚本方式收集）。

云桌面日志如下图收集：

日志脚本执行收集：拷贝脚本到虚机系统内，管理员权限执行生成文件夹，压缩发回来。

4、检查云桌面windows系统任务管理器cpu内存资源使用率是否异常，系统句柄数是否过大。

5、设置windows蓝屏设置触发系统蓝屏dump（通过附录说明，使用脚本设置，dmp文件手动收集）

五、总结与建议

1、云桌面卡顿卡死，内存不足的时候可以先查看任务管理器资源使用情况，第一时间排查出异常占用内存或者cpu的软件。有上外网或者可以允许接U盘的客户环境建议先进行杀毒。

如遇该故障情形无法定位解决的可点击链接转：售后闪电兔 处理

• •【经典案例】域用户自动登录失败提示用户名或密码错误

• •【经典案例】域用户自动登录失败提示用户名或密码错误

• •【经典案例】VDI终端或软客户端登陆虚拟机后闪退

• •【经典案例】VDI终端或软客户端登陆虚拟机后闪退

• •【经典案例】8082平台提示错误

• •【经典案例】8082平台提示错误

• •域用户自动登录失败提示：无法使用此凭据登录

• •域用户自动登录失败提示：无法使用此凭据登录

• •【经典案例】云桌面闪屏问题排查

• •【经典案例】云桌面闪屏问题排查