——ePras服务器(Windows版)病毒感染后数据挽救处理全过程
当时发现中毒的时候,情况已不妙:有种病毒专删电脑上的执行程序,已无法进入ePras程序,我的第一反映就是“麻烦大了”!首先想到的就是要做异机备份:由于需备份的报表数据太多(有几G),U盘太小,移动硬盘又没有,只有联网共享备份(后来证明这样做是错误的);然后重装ePras程序,能暂时用,为保险起见,按专业通过ePras程序导出再备份一整套*.gzip文件至D盘;由于原瑞星杀毒程序失去了监控,只能卸载重装瑞星杀毒软件,由于版本较老没多大用,从网上升级,就有病毒发作,升级被中止,没成功;这样重复了几次,中毒越来越重,后来输入序列号都输入不完,病毒就会中断升级程序,更加无法升级......两个小时后,IE上网不了,其它任何程序都运行不了,本机宣布全面瘫痪:想恢复系统却发现原GHOST的备份文件也被病毒删除,只能重装系统。同网的6台电脑也相继出现同样症状,同时发现做了异机备份的正常电脑也出现中毒症状,形势相当严峻(照这样情况发展下去,全网16台电脑将有全军覆没的危险。)。同时,农业普查等各专业都等待进机......刚上任的局长对我虽然满怀信心,可我心里真是没底,尤其是对数据挽回只有1成把握,危害这么严重的病毒除了那次“尼姆塔”病毒,还真没遇到过,心里直发毛。
后果断采取措施:重装系统,购买最新的2007版瑞星软件安装、杀毒、升级、杀毒。当时,查杀出700多个病毒,重启、再杀毒,直到没有病毒为止,并且发现ePras文件夹是感染重症区。重装其它应用程序,装ePras程序时,注意与原来的安装路径一致,运行ePras程序,ePras数据全部都有并正确。至此,服务器数据终于保住了,数据挽救成功。
借了一个移动硬盘,用克隆的方法,把其它7台电脑,恢复,经过近一周的升级等善后处理,我局全部电脑及网络终于恢复正常。
经验和教训:1、杀毒软件要不断更新;2、备份要作异机备份;3、一旦发现中毒,就不要与发生数据交换,以免传染;4、U盘拷贝前后注意杀毒(经查罪魁祸首是通过U盘没杀毒就拷贝文件感染了“尼姆亚”又称“熊猫烧香”病毒)。