如何检测系统文件-如何识别电脑系统无效文件
1.教你如何识别电脑中病毒后的文件
2.电脑C盘的垃圾文件、已卸载的残留文件如何删除与识别?
教你如何识别电脑中病毒后的文件
,笔者在这里介绍几个识别病毒文件的方法,希望对大家有所帮助。 一、文件名 文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。 我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,比如雅虎上网助手,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。 还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。 当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。 还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。 二、文件时间 如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。 文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。 通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:\windows和c:\windows\system32,有时还有c:\windows\system32\drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。 当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。 三、位置 病毒木马喜欢呆的地方是系统文件夹,windows、windows\system32、windows/system32\drivers,还有c:\programfiles\internetexplorer/c:\programfiles\internetexplorer\plugin、c:\programfiles\commonfiles\miscrosoftshared,还有就是临时文件夹、IE缓存 首先临时文件夹c:\documentsandsettings\你的用户名\localsettings\temp和c:\windows\temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。 四、版本信息 检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。 文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。 版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。 除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个yourimagefilenameherewithoutapath有个debugger=ntsd-d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是debugger后面的文件,找到后连同注册表项一起删除。
电脑C盘的垃圾文件、已卸载的残留文件如何删除与识别?
在Windows操作系统在C盘空间不足的情况下,我们可以通过那些具体手段来增加C盘空间呢?\x0d\\x0d\ 1.打开“我的电脑”-“工具”-“文件夹选项”-“查看”-在“显示所有文件和文件夹”选项前打勾-“确定”\x0d\\x0d\2.删除以下文件夹中的内容:\x0d\\x0d\ x:\Documents and Settings\用户名\Cookies\下的所有文件(保留index文件)\x0d\\x0d\ x:\Documents and Settings\用户名\Local Settings\Temp\下的所有文件(用户临时文件)\x0d\\x0d\ x:\Documents and Settings\用户名\LocalSettings\TemporaryInternet Files\下的所有文件(页面文件)\x0d\\x0d\ x:\Documents and Settings\用户名\Local Settings\History\下的所有文件(历史纪录)\x0d\\x0d\ x:\Documents and Settings\用户名\Recent\下的所有文件(最近浏览文件的快捷方式)\x0d\\x0d\ x:\WINDOWS\Temp\下的所有文件(临时文件)\x0d\\x0d\ x:\WINDOWS\ServicePackFiles(升级sp1或sp2后的备份文件)\x0d\\x0d\ x:\WINDOWS\Driver Cache\i386下的压缩文件(驱动程序的备份文件)\x0d\\x0d\ x:\WINDOWS\SoftwareDistribution\download下的所有文件\x0d\\x0d\ 3.如果对系统进行过windoes updade升级,则删除以下文件:\x0d\\x0d\ x:\windows\下以 $u... 开头的隐藏文件\x0d\\x0d\ 4.然后对磁盘进行碎片整理,整理过程中请退出一切正在运行的程序\x0d\\x0d\ 5.碎片整理后打开“开始”-“程序”-“附件”-“系统工具”-“系统还原”-“创建一个还原点”(最好以当时的日期作为还原点的名字)\x0d\\x0d\ 6.打开“我的电脑”-右键点系统盘-“属性”-“磁盘清理”-“其他选项”-单击系统还原一栏里的“清理”-选择“是”-ok了\x0d\\x0d\ 7、在各种软硬件安装妥当之后,其实XP需要更新文件的时候就很少了。删除系统备份文件吧:开始→运行→sfc.exe /purgecache近3xxM。(该命令的作用是立即清除“Windows 文件保护“文件高速缓存,释放出其所占据的空间)\x0d\\x0d\ 8、删掉\windows\system32\dllcache下dll档(减去200?300mb),这是备用的dll档, 只要你已拷贝了安装文件,完全可以这样做。\x0d\\x0d\ 9、XP会自动备份硬件的驱动程序,但在硬件的驱动安装正确后,一般变动硬件的可能性不大,所以也可以考虑将这个备份删除,文件位于\windows\driver cache\i386目录下,名称为driver.cab,你直接将它删除就可以了,通常这个文件是74M。\x0d\\x0d\ 10、删除不用的输入法:对很多网友来说,Windows XPt系统自带的输入法并不全部都合适自己的使用,比如IMJP8_1 日文输入法、IMKR6_1 韩文输入法这些输入法,如果用不着,我们可以将其删除。输入法位于\windows\ime\文件夹中,全部占用了88M的空间。\x0d\\x0d\ 11、升级完成发现windows\多了许多类似$NtUninstallQ311889$这些目录,都干掉吧,1x-3xM\x0d\\x0d\ 12、另外,保留着\windows\help目录下的东西对我来说是一种伤害,呵呵。。。都干掉!\x0d\\x0d\ 13、关闭系统还原:系统还原功能使用的时间一长,就会占用大量的硬盘空间。因此有必要对其进行手工设置,以减少硬盘占用量。打开“系统属性“对话框,选择“系统还原“选项,选择“在所有驱动器上关闭系统还原“复选框以关闭系统还原。也可仅对系统所在的磁盘或分区设置还原。先选择系统所在的分区,单击“配置“按钮,在弹出的对话框中取消“关闭这个驱动器的系统还原“选项,并可设置用于系统还原的磁盘空间大小。\x0d\\x0d\ 14、休眠功能会占用不少的硬盘空间,如果使用得少不妨将共关闭,关闭的方法是的:打开“控制面板“,双击“电源选项“,在弹出的“电源选项属性“对话框中选择“休眠“选项卡,取消“启用休眠“复选框。\x0d\\x0d\15、卸载不常用组件:XP默认给操作系统安装了一些系统组件,而这些组件有很大一部分是你根本不可能用到
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。