工作中时刻要解决用户问题，用户的问题如下

这个病毒一个小时定时复制到C盘，安全软件可以查杀，但是生成这个文件的程序找不到

遇到这种问题，凭借用户所说的肯定是无法判断到底是怎么回事，首先让用户上传日志

然后用户发来一条日志

病毒防护,文件实时监控,发现病毒Virus/Almanahe.a!src, 已处理

操作进程：System
病毒路径：C:\setup.exe
病毒名称：Virus/Almanahe.a!src
病毒ID：A79AB283EE7EA771
操作结果：已处理

这一条日志，其实包含的点已经很多了，通过这条日志就能解决用户的问题，下面我们来进行分析

首先看报毒名：

Virus/Almanahe.a!src

主类型是感染型病毒，我们要回忆感染型病毒有哪些特性，比如说会感染文件，有蠕虫特性等等

再看操作进程：system

是system，不是system.exe，说明是含有0环权限的系统进程，那操作进程是system，基本就是有两个可能。

操作文件的是本机的驱动程序

操作请求是SMB共享

如果没有分析过Almanahe感染型病毒，我们可以搜索下

从上图可以得知这个病毒会通过共享传播

以上，基本把事件整理清楚了，大致就是其他机器上感染了Almanahe感染型病毒，通过爆破共享将文件复制到同一局域网下的机器上，因此才会导致用户产生的重复报毒情况。

这时，就可以给用户一个回复：

通过报毒日志看出Almanahe感染型病毒是从共享传过来的，可以使用安全软件设置ip协议控制，阻止入站139，445端口，看看是哪台机器重复访问本机共享，找到后可以使用全盘查杀清除病毒