none
win7系统故障(文件丢失或中毒) RRS feed

  • 问题

  • win7系统里的“记事本”文件(*.txt文件)打开时显示是乱码,以前不是这样的,怀疑系统文件丢失或是中了毒,怎么办,还有一个现象就是,win7系统里IE临时文件夹里的固定的一些内容都删不掉,大约有200多兆,以前只有几个小的cookies文件,估计电脑是中了毒,重装系统太麻烦还要安装好多常用软件,我平时没有做系统还原点,不好还原到前期的一个时间点,好麻烦》》》
    2011年11月4日 2:38

答案

  • 不知之前通過 movefile 刪除的文件或目錄路徑是什麼?

    你有提到再次通過 movefile 刪除就刪不掉? 刪除的文件或目錄路徑是否與之前一致? 是如何確認沒有刪除成功的?

    如果你你只是通過 IE 瀏覽量那幾個網站的主頁, 並且沒有下載文件或觀看視頻的話, 應該不會一次就產生 200 多兆的文件. 這 200 多兆的內容可能是其他程序下載的, 你可以通過 msconfig 排查一下, 看是否存在某些同網絡相關的啟動項, 如果有先禁用, 觀察效果.

    另外對於木馬程序的話, 我個人覺得沒有必要通過下載 200 多兆的內容來隱藏自己, 你可以在通過更新到最新病毒庫的防病毒軟件對這些文件進行掃描, 確認沒有報告安全警告後將其拷貝到一個臨時文件夾或直接打開, 看看其中的內容, 這樣可以通過了解其內容, 來比較快捷的找出是由什麼軟件產生的, 以便於進行進行下一步處理.

    至於 takeown 和 icacls, 你可以通過 takeown /? 和 icacls /? 獲得其幫助信息. 至於用於修復計算機的 Windows PE, 需要在計算機啟動時, 按 F8 選擇修復計算機來進入, 在輸入管理員賬戶和密碼後, 會有看到一個命令提示符的圖標, 單擊後就可以進行操作了. 但是要執行這個方法需要按照前面描述的步驟一步步進行.


    Folding@Home

    2011年11月6日 15:58

全部回复

  • 記事本亂碼的話, 先通過記事本的 "格式" 菜單的 "字體" 菜單項, 重新選擇一下字體看能否正常顯示. 如果可以說明可能有部分字體損壞.
    同時你也可以通過控制面板的 "字體" 進行檢查.

    由於編碼識別的問題, 也也可能會記事本導致亂碼問題.

    IE 臨時文件夾的話, 先看看那些文件的權限是否運行當前用戶修改,

    你可以通過命令提示符並執行命令

    icacls "%localappdata%\Temporary Internet Files" /t | more

    此為默認路徑, 如果你的路徑不是默認的, 請進行修改.

    同時你也可以通過 handle 實用工具, 檢查一下那些不能刪除的文件(夾) 都是被哪些進程佔用?

    比如:

    handle internet | more

    handle 需要以管理員權限運行.

    Handle
    http://technet.microsoft.com/en-us/sysinternals/bb896655

     


    Folding@Home

     


    2011年11月4日 3:01
  • 非常感谢您的建议!虽然我都一一试过了,但还是没有什么效果。估计是先中了一种最新型的木马,联网的安全模式用360杀毒软件全盘扫描都没有发现(有点奇怪)。我已经可以肯定的是原来IE临时文件夹里至少有一个隐藏的名为“Content5”的文件(夹)被我误删掉了,因为我曾将系统默认的IE临时文件夹的位置改变了,想再手动删除那些破木马文件的,可是删不掉,后来我又将IE临时文件夹的位置变回默认位置,可是被移走的位置多出来两个隐藏的系统文件(夹),被我当木马给删掉了(恶梦开始了),那个文件夹的位置是我原来用迅雷下载东西的,之后我的迅雷就不好再下载东西到那个文件夹里了,提示“目标磁盘不可写入”的信息,只有改下载到桌面才行。而且win7系统里的“记事本”文件(*.txt文件)打开时显示是乱码,以前不是这样的,在安装一些软件时的提示框中也是乱码(晕)。写了这么多,不知道有没有写清楚,其实这个现象是三四天前刚有的,估计这种木马比较难找,或是伪装的很象一般的文件,但是对WIN7系统的破坏力却是很大的。这个木马病毒就在我的IE临时文件夹里,死死的占用了200多兆的空间,删也删不掉,现附图如下:

     

    2011年11月5日 3:53
  • 你好!

           非常确定地告诉你,IE缓存文件在使用时是删不掉的。你可以通过IE属性对Cookie&缓存进行清理。

    祝你好运~


    学习并不是人生的全部。但,既然连人生的一部分——学习也无法征服,还能做什么呢?(The study certainly is not the life complete. But, since continually life part of-studies also is unable to conquer, what butalso can make?)
    2011年11月5日 4:16
  • 顯示亂碼的話, 先記錄下來記事本中的字體設置中的"字體", 能否在控制面板的 "字體" 文件夾中正常預覽?
     
    安裝軟件遇到亂碼, 確認一下該軟件的語言同你系統的語言是否一致.
     
    也請確認
     
    控制面板 - 區域和語言 - "管理" 選項卡 - 非 Unicode 程序的語言
     
    與你系統語言一致.

    對於你懷疑臨時文件夾存在木馬, 那麼請同下面方法嘗試進行排查:

    1. 運行並打開當前用戶的 Internet Explorer 的 Internet 選項
    2. 勾選位於 "常規" 選項卡 - "瀏覽歷史記錄"  - "退出時刪除瀏覽歷史記錄(W)" 複選框, 並通過
        單擊 "刪除(D)..." 按鈕, 確保 "Internet 臨時文件" 複選框被勾選
    3. 單擊 "確定" 按鈕保存設置, 但不要退出 Internet Explorer.
    4. 通過

    Internet 選項 - "常規" 選項卡 -  "瀏覽歷史記錄" - "設置(S)..." 按鈕 - Internet 臨時文件和歷史記錄設置 - "查看文件(V)" 按鈕

    通過複製彈出的 Windows Explorer 地址欄來獲得臨時文件夾地址.

    5. 運行命令提示符並執行命令

    cd /d "之前複製到臨時文件夾地址"

    為了保證此命令正確執行, 請在地址前後務必使用半角雙引號將地址括起來.

    6. 接著執行命令

    cd Content.IE5

    7. 然後執行命令

    dir /a-d/b/s | find /i /v /c ""

    此命令返回位於 Content.IE5 中所有子目錄中的文件數目.

    8. 關閉所有 Internet Explorer 窗體

    9. 再次執行命令

    dir /a-d/b/s | find /i /v /c ""

    這時返回的數目應比之前少.

    10.這時你可以執行命令

    dir /a-d/s/o-s/p

    查看此時還剩哪些文件. 如果返回文件為 desktop.ini, index[1].rss, index.dat, 且文件大小不是太大,  則說明應不存在惡意軟件.

    當然為了安全起見, 你可以執行下面的命令, 將這些文件複製到你的桌面的一個臨時文件夾中去, 然後打包, 並上傳到在線掃描網站進行掃描.

    mkdir %userprofile%\desktop\ietmp

    此命令在當前用戶的桌面新建一個 ietmp 文件夾

    然後執行命令

    for /f "tokens=*" %f in ('dir /a-d/b/s') do @xcopy /s/e/h/r/k/y "%f" "%userprofile%\desktop\ietmp"

    此命令將臨時文件夾下的所有文件複製到 ietemp 文件夾中.
    如果在複製過程中, 某個文件不能複製並報錯, 那麼你可以將這個文件的地址記錄下來, 然後通過另一個管理員用戶將這個文件複製出來, 然後壓縮並打包.
    如果另一個管理員用戶也無法訪問該文件, 那麼這個文件可能比較可疑, 你可以通過 movefile 實用工具將其刪除, 或者通過 Windows 7 自帶的修復計算機的 Windows PE 環境奪取該文件的訪問權

    movefile 下載地址:
    http://technet.microsoft.com/en-us/sysinternals/bb897556

    奪取文件訪問權
    takeown /f "文件路徑" /a
    icacls "文件路徑" /grant users:(f)
    並通過 move/xcopy 移動到一個新的位置, 然後重新登錄系統後, 對其進行壓縮打包.
    需要注意的是, 在 PE 環境, 系統盤符不是 C:.

    11. 這時你就可以將 ietmp 直接壓縮打包, 然後上傳到諸如

    http://virscan.org/

    等在線掃描網站進行掃描.


    Folding@Home
    • 已编辑 repl 2011年11月5日 7:15
    2011年11月5日 7:13
  • 非常感谢阁下对本人所遇问题的不倦引导和解答,使我非常感动!

    显示乱码的问题,正如阁下所预料到一样,我发现是“控制面板 - 區域和語言 - ‘管理’ 選項卡 - 非 Unicode 程序的語言”设定与我系统的语言不一致所致(其实原来肯定不是这样的,因为我买的是华硕的笔记本自带正版win7系统的,第一次开机时设置好了就应该不会变的,而且就是几天前刚刚才改变的,真有点奇怪),现在我已经重新设定并彻底解决了,谢谢!

    另外一个关于IE临时文件夹里有怀疑是木马程序的文件并且删不掉的问题 ,我干脆先直接用了阁下推荐的 movefile 工具直接将IE临时文件夹里清空后(确实是一个很有实效的工具软件),但是当我再一次重启电脑并上网浏览了正常的几个网页后(百度主页、搜狐主页、新浪主页),我发现原先被我怀疑是木马程序的那些破文件又奇迹般的回到了IE临时文件夹里(依然是坚挺的200多兆,一分不多也一分不少,还是那么大),并且这一回当我再用 movefile 工具就删不掉了(这个木马程序也太流氓了)。 不过,我还是要谢谢您推荐给我的这么好的 一个工具,确实很有帮助,恢复了我的一些信心(目前我正被一个流氓软件所困扰着,虽然不会很大的影响我正常使用win7系统,但是还是有那么点小小的影响我使用心情的,所以我想在不重新安装系统的条件下攻克它,当然这还需要阁下您的鼎力相助才行),谢谢!

    我对程序还很陌生,还在小心翼翼的摸索中,在此顺便想请教阁下一个比较菜鸟的问题:就是如何才能进入win7自带的win pe环境,还有阁下之前所提“夺取文件访问权”的两条命令符 takeown /f "文件路徑" /a 和 icacls "文件路徑" /grant users:(f) 在win pe环境里是在哪里输入的。

    对于阁下的解答,我将不胜感激。

    2011年11月6日 15:02
  • 不知之前通過 movefile 刪除的文件或目錄路徑是什麼?

    你有提到再次通過 movefile 刪除就刪不掉? 刪除的文件或目錄路徑是否與之前一致? 是如何確認沒有刪除成功的?

    如果你你只是通過 IE 瀏覽量那幾個網站的主頁, 並且沒有下載文件或觀看視頻的話, 應該不會一次就產生 200 多兆的文件. 這 200 多兆的內容可能是其他程序下載的, 你可以通過 msconfig 排查一下, 看是否存在某些同網絡相關的啟動項, 如果有先禁用, 觀察效果.

    另外對於木馬程序的話, 我個人覺得沒有必要通過下載 200 多兆的內容來隱藏自己, 你可以在通過更新到最新病毒庫的防病毒軟件對這些文件進行掃描, 確認沒有報告安全警告後將其拷貝到一個臨時文件夾或直接打開, 看看其中的內容, 這樣可以通過了解其內容, 來比較快捷的找出是由什麼軟件產生的, 以便於進行進行下一步處理.

    至於 takeown 和 icacls, 你可以通過 takeown /? 和 icacls /? 獲得其幫助信息. 至於用於修復計算機的 Windows PE, 需要在計算機啟動時, 按 F8 選擇修復計算機來進入, 在輸入管理員賬戶和密碼後, 會有看到一個命令提示符的圖標, 單擊後就可以進行操作了. 但是要執行這個方法需要按照前面描述的步驟一步步進行.


    Folding@Home

    2011年11月6日 15:58