SiS001! Board - [第一会所关闭注册]

标题: [求助] 这个是病毒不? [打印本页]

作者: tubber 时间: 2010-3-14 21:57 标题: 这个是病毒不?

今天开电脑,不知道为什么每个盘都有一个是:System Volume Information 和另一个是:vod_cache_data 命名的文件夹是隐藏的想删除又删除不了.文件夹内没有文件的.

是病毒不?

急啊!

作者: xwddg 时间: 2010-3-14 22:08

不是的，应该是各个盘自己的系统文件之类的，有时候偶尔每个盘上都有的，是隐藏文件夹，储存的系统文件，删了就ok了，不想删也行

作者: heli0418 时间: 2010-3-14 22:17

第一个文件夹是系统还原用的。后一个是迅雷看看带的，没事不是毒。

作者: 978768977 时间: 2010-3-14 22:46

看起来不是病毒文件，用杀软检测一下试试。

作者: chanxinxiaoye 时间: 2010-3-14 22:52

全都不是病毒，你多心了，这些文件都是系统运行的正常文件，最好不要删除。保留着吧

作者: no90 时间: 2010-3-14 23:00

System Volume Information 文件夹是一个隐藏的系统文件夹，"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.
[编辑本段]产生原因和解决方案
　　1、空间不足问题：随着用户使用系统时间的增加，还原点会越来越多，导致硬盘空间越来越少，最后还要被警告“磁盘空间不足”.
　　2、病毒保护伞（安全问题）：由于NTFS的分区里该目录只有SYSTEM权限，导致杀毒软件没有权限查杀藏匿于该目录的病毒。
　　3、病毒保护伞（安全问题）解决方案：阻止“System Volume Information”文件夹的自动生成。（迄今为止没人能做到）
　　4、治标不治本的解决方案：可以打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有驱动器上关闭系统还原”的复选框。
[编辑本段]木马问题
　　“System Volume Information”文件夹里的NTFS木马（安全问题）
　　1、参考原理：
　　在一个NTFS分区里，把分区权限删到只剩EVERYONE权限，并只设一个“列出文件夹的目录”权限，其他复选框都去钩。在这种情况下，该分区是没有写权限的，照理说不会再自动生成“System Volume Information”文件夹。但是，无论你这么设置，该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。
　　2、木马原理：利用“System Volume Information”文件夹自动生成的原理，进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面，然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下，杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软，然后再脱壳解密启动木马，启用保护进程防止该目录被删。此类木马无法手工删除，杀软无权查杀，就算FAT32的分区也由于加密原因无法脱壳。
　　3、解决方案：阻止“System Volume Information”文件夹的自动生成。（至今为止没人能做到)
　　4、解决无法进入本文件夹的暂时方法:开始里点搜索。然后选择高级选项：搜索勾选搜索系统文件夹和隐藏文件。搜索范围是所有硬盘。点“开始搜索”。你会找到很多个同名文件夹“System Volume Information”。右击点选属性。然后点选权限（好像是这个，总之是上面中间的），然后添加自己的用户名，比如administrators，确定，好，现在你就可以浏览这个文件夹了，注意“System Volume Information”文件夹只能是隐藏属性，你可以在地址栏输入Ｄ：\System Volume Information来浏览，看看吧，很丰富呢，不知道杀毒软件可以杀毒了吗？
[编辑本段]处理方法
　　如何获得对“System Volume Information”文件夹的访问
　　使用 FAT32 文件系统的 Microsoft Windows XP Professional 或 Windows XP Home Edition
　　1、打开任意一个文件夹。
　　2、在“工具”菜单上，单击“文件夹选项”。
　　3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。
　　4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。
　　5、清除“使用简单文件夹共享（推荐）”复选框
　　6、单击“确定”。
　　7、在文件夹中双击“System Volume Information”文件夹以将其打开。
　　8、操作后建议选择“还原为默认值”点确定
　　在域中使用 NTFS 文件系统的 Windows XP Professional
　　1、打开任意一个文件夹。
　　2、在“工具”菜单上，单击“文件夹选项”。
　　3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。
　　4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。
　　5、清除“使用简单文件夹共享（推荐）”复选框
　　6、单击“确定”。
　　7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。
　　8、单击“安全”选项卡。
　　9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地帐户或域帐户）。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）
　　10、在文件夹中双击“System Volume Information”文件夹以将其打开。
　　在工作组或独立计算机上使用 NTFS 文件系统的 Windows XP Professional
　　1、打开任意一个文件夹。
　　2、在“工具”菜单上，单击“文件夹选项”。
　　在“查看”选项卡上，单击“显示所有文件和文件夹”。
　　3、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。
　　4、清除“使用简单文件共享(推荐)”复选框。
　　5、清除“使用简单文件夹共享（推荐）”复选框
　　6、单击“确定”。
　　7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。
　　8、单击“安全”选项卡。
　　9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）
　　10、在文件夹中双击“System Volume Information”文件夹以将其打开。
　　注意：现在，Windows XP Home Edition 的用户可以在正常模式下访问 System Volume Information 文件夹。
　　方法适用范围
　　Microsoft Windows XP Home Edition及 Microsoft Windows XP Professional Edition
　　如何删除“System Volume Information”文件夹
　　1、关闭“系统还原”
　　2、获得对“System Volume Information”文件夹的访问
　　3、NTFS的分区里该目录只有SYSTEM权限，需要将您登录时使用的帐户（或将EVERYONE账户）的权限设为完全控制才能删除。
　　4、删除“System Volume Information”文件夹
　　如何获得对 System Volume Information 文件夹的访问
　　右击我的电脑／属性／系统还原项／选“关闭所有还原”，再删除system Volume Information文件夹。或　我的电脑／任何盘符／工具／文件夹选项／查看／还原默认值。
　　（注：change.log是系统更改日志，主要监看各个盘区的变化，不是病毒）
　　"System Volume Information" 的删除
　　一般情况下C：/System Volume Information这个文件夹是无法访问的，需要加NTFS权限
　　1.我的电脑-工具-文件夹选项-查看-关闭隐藏受保护的操作系统文件(推荐)-隐藏文件和文件夹选择显示所有文件和文件夹
　　2.查看C：/System Volume Information的属性,会多出一个安全选项-添加-高级-立即查找-双击你目前的用户名-确定. (如果看不见安全选项
　　:我的电脑-工具-文件夹选项-查看-关闭简单共享)
　　3.回到C：/System Volume Information的属性-安全选项-把权限里的完全控制点上
　　4.这时候你就可以进入C：/System Volume Information了,里面有什么,痛快的删掉它~!,.
　　彻底删除"System Volume Information"
　　1.在运行,输入"gpedit.msc"／（组策略）程序／计算机配置／管理模板／系统／系统还原／右边，关闭系统还原，双击打开它，启用。
　　2,在运行,输入"gpedit.msc"／（组策略）程序／计算机配置／管理模板／windows组件/ windows Installer／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。
　　运用cacls命令赋予当前用户完全控制权限后即可删除“System Volume Information”文件夹
　　命令如下：
　　cacls "c:\System Volume Information" /g everyone:f
　　以上是赋予所有用户对c盘System Volume Information文件夹的完全控制权限，可以删除了
　　命令详解请在命令提示符下输入:　cacls /?
[编辑本段]系统还原介绍
　　“系统还原”及其优点
　　“系统还原”是Windows XP最实用的功能之一，它采用“快照”的方式记录下系统在特定时间的状态信息，也就是所谓的“还原点”，然后在需要的时候根据这些信息加以还原。还原点分为两种：一种是系统自动创建的，包括系统检查点和安装还原点；另一种是用户自己根据需要创建的，也叫手动还原点。在Windows XP系统中，我们可以利用系统自带的“系统还原”功能，通过对还原点的设置，记录我们对系统所做的更改，当系统出现故障时，使用系统还原功就能将系统恢复到更改之前的状态。
　　如何使用“系统还原”
　　1、开启“系统还原”
　　鼠标右击“我的电脑”，选择“属性”/“系统还原”选项卡，确保“在所有驱动器上关闭系统还原”复选框未选中，再确保“需要还原的分区”处于“监视”状态。
　　2、创建还原点
　　这里需要说明的是：在创建系统还原点时要确保有足够的硬盘可用空间，否则可能导致创建失败。设置多个还原点方法同上。
　　3、恢复还原点
　　打开“系统还原向导”，选择“恢复我的计算机到一个较早的时间”，点击“下一步”，选择好日期后再跟着向导还原即可。
　　需要注意的是：由于恢复还原点之后系统会自动重新启动，因此操作之前建议大家退出当前运行的所有程序，以防止重要文件丢失　
　　如何关闭“系统还原”
　　(一)、用“系统还原选项卡”
　　1、在“我的电脑”图标上点右键，选择属性
　　2、选择系统还原选项卡
　　3、将“在所有驱动器上关闭系统还原”打勾确定后即可
　　4、关闭“系统还原”后，就可以将该驱动器根目录下的“System Volume Information”文件夹删除。
　　(二)、用“组策略”
　　运行输入,gpedit.msc找开组策略->管理模块->系统->系统还原-"关闭系统还原"的属性查看还原功能是否被关闭,如果启动或未设置选择关闭就可以了。
vod_cache_data　　这个其实是迅雷看看的原因，并不是病毒。迅雷相对于flashget来说，速度非常快。主要是因为迅雷的p2sp技术，但是这个也通常被人们认为是盗链技术。anyway，如果只是用“不管白猫黑猫，会抓老鼠就是好猫”来说，迅雷可以说是下载速度最快的软件了。
　　vod_cache_data文件夹会在某个盘的根目录产生，删除之后使用迅雷看看后又会生成。现在只有一个“眼不见为净”的方法。就是转移这个文件夹的默认生成目录。将它改到C:\Documents and Settings\All Users\Application Data\vod_cache_data\ 目录下而已。
　　下面是详细的解决办法，新建一文本文档。复制下面“-------------------------------”之间的内容（不包括“----------------------------------------”）到文本文档中。
　　----------------------------------------------------------------------
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd]"Cache"="C:\\Documents and Settings\\All Users\\Application Data\\vod_cache_data\\"
　　------------------------------------------------------------------------
　　保存之后，修改后缀名为reg。
　　双击，确认添加进注册表。
　　这样以后迅雷看看就会在C:\Documents and Settings\All Users\Application Data\vod_cache_data\ 缓存你看过的电影。原来的那个vod_cache_data文件夹需要你手动删除。
　　这样只是换了一个目录而已，迅雷看看还是会将缓存存在你的电脑里。这个缓存据说也会上传。
　　如果你不想这样，只有经常清理这个文件夹里面的文件。
　　如果你觉得他在你的根目录建立文件夹可以接受的话，完全可以不管。因为这个文件夹并不是病毒，只是迅雷看看生成的一个用来存放文件的文件夹而已。

作者: 99tnt 时间: 2010-3-14 23:22

看来要学的东西很多很多啊，千万不可以放松

作者: sxf474228473 时间: 2010-3-14 23:29

这个不是病毒,请楼主不要乱删除文件.万一删错.系统瘫痪那就麻烦了.请使用专业杀毒软件

作者: wuweimin 时间: 2010-3-14 23:34

System Volume Information 文件夹是一个隐藏的系统文件夹，"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.
vod_cache_data
　　这个其实是迅雷看看的原因，并不是病毒。迅雷相对于flashget来说，速度非常快。主要是因为迅雷的p2sp技术，但是这个也通常被人们认为是盗链技术。
vod_cache_data文件夹会在某个盘的根目录产生，删除之后使用迅雷看看后又会生成。

作者: bleachone 时间: 2010-3-14 23:36

System Volume Information是系统文件别删
vod_cache_data是迅雷看看的缓存文件嫌占地方就删了

作者: binbin5588 时间: 2010-3-14 23:48

不是病毒，不要害怕，是一些系统文件而已。

作者: smalltwo2222 时间: 2010-3-14 23:56

不是病毒
“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息。

作者: 303775847 时间: 2010-3-14 23:59

后一个是迅雷看看带来的，没什么问题，楼主可以放心

作者: tubber 时间: 2010-3-15 01:27

不是病毒就好!
不过感觉怪怪的.本来没有的东西,突然出现.让人不安!!

7楼的回答让我感觉好像是病毒!
呵呵

作者: nowords 时间: 2010-3-15 01:33

这事NTFS卷信息文件，想删也可以，改权限就行，不过还会自动建立的。

作者: dp88 时间: 2010-3-15 12:27

绝对的系统文件，不要乱删啊，也不耽误你事，整那么干净有啥用

作者: fuckavmm 时间: 2010-3-15 12:58

系统自带文件，你隐藏了就好了，用作系统还原的，楼主不必害怕。

作者: 该用户已匿名 时间: 2010-3-15 13:00

不是病毒，是储存还原点信息的文件夹
楼主可以放心
如果觉得看着不爽，直接删除就行

作者: realplayerbo 时间: 2010-3-15 13:24

这是一个缓存文件不要紧的检查一下是否有些软件或程序设成开机启动了
关掉再删除就可以了

作者: noveaint 时间: 2010-3-15 13:30

这个是系统的文件夹，还有后面那个是你看PPS之类的东西的缓存

作者: awpawp521 时间: 2010-3-15 13:32

系统分区磁盘信息文件和缓冲文件，没有事的，想删除未必删的掉

作者: jaychowxie 时间: 2010-3-15 13:34

这个不是病毒来的。如果删掉了的话，就麻烦了！好象是一些系统文件来的》

作者: wwmusic 时间: 2010-3-15 14:01

又学到了东西，我的电脑上也有这样的目录，谢谢了。

作者: NLK383271524 时间: 2010-3-15 14:11

好像是系统的文件吧楼主你用杀毒软件查杀一下

作者: hrainst 时间: 2010-3-15 15:10

系统视频文件备份文件夹隐藏就行了不用删

作者: 凌波丽 时间: 2010-3-16 13:22

http://www.virscan.org/
把文件上传上去看看吧，然后根据结果就能判断了

作者: 无语的 时间: 2010-3-17 13:01

应该不是的吧。楼主千万别乱删了，对电脑不太懂的就这么无奈

作者: iiss1956 时间: 2010-3-17 13:06

不怎么象病毒你自己去杀杀看就可以了不用着急

作者: 8246521 时间: 2010-3-19 13:24

不是病毒，楼主可以用杀毒杀下，这些东西最好不要乱删除，小心造成系统崩溃。

作者: qq645516996 时间: 2010-3-20 11:30

"System Volume Information" 的删除
一般情况下C：/System Volume Information这个文件夹是无法访问的，需要加NTFS权限
1.我的电脑-工具-文件夹选项-查看-关闭简单共享
2.查看D：/System Volume Information的属性,会多出一个安全选项-添加-高级-立即查找-双圾你目前的用户名-确定.
3.回到D：/System Volume Information的属性-安全选项-把权限里的完全控制点上
4.这时候你就可以进入D：/System Volume Information了,里面有什么,痛快的删掉它~!,.
彻底删除"System Volume Information"
1.在运行,输入"gpedit.msc"／（组策略）程序／计算机配置／管理模板／系统／系统还原／右边，关闭系统还原，双击打开它，启用。
2,在运行,输入"gpedit.msc"／（组策略）程序／计算机配置／管理模板／windows组件／终端服务／windows Installer／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用

作者: d4g 时间: 2010-3-20 15:43

System Volume Information 是系统还原的文件夹，系统自带的，不过建议关闭掉系统还原，因为病毒会藏身在里面，

作者: mdonghb 时间: 2010-3-20 18:27

不是病毒楼主可以不打开隐藏文件这样看起来会干净些

作者: danielone 时间: 2010-3-20 18:36

用杀毒软件检查测试一下吧。这样最直接的了

作者: hxc66 时间: 2010-3-20 18:51

不是病毒，电脑里很多文件都不能乱删的，还是用优化软件优化删除比较保险，弄不好就要系统崩溃。

作者: sex040401 时间: 2010-3-20 20:26

7楼的真实让我学到了不少啊，特别是关于病毒入住回收站导致还原C盘还是无法清理电脑病毒的后果，这下完全明白了，还原C盘（即重装系统）之前进入WinPE系统，将各个分区下的System Volume Information全部删除，然后直接还原C盘，相信这样做之后绝对没有遗留的病毒了吧。

作者: wsad1201 时间: 2010-3-21 02:54

System Volume Information这个管理声卡的默认系统文件
vod_cache_data这个是流媒体播放器的缓冲(如ppstream)

作者: 阿超超 时间: 2010-3-21 07:30

不是病毒，不影响使用的，既然是隐藏的，你就把它不显示不就好了

作者: lfoeeqy 时间: 2010-3-21 07:49

这种一般都是隐藏文件夹，储存的系统文件。一般还是不要删的好。还是照旧隐藏。

作者: pop101 时间: 2010-3-26 14:47

vod_cache_data文件夹会在某个盘的根目录产生，删除之后使用迅雷看看后又会生成。现在只有一个“眼不见为净”的方法。就是转移这个文件夹的默认生成目录。将它改到C:\Documents and Settings\All Users\Application Data\vod_cache_data\ 目录下而已。

欢迎光临 SiS001! Board - [第一会所关闭注册] (https://cn.1huisuo.net/bbs2/)