Антивирусните инструменти не могат да изчистят инфектирани файлове в папката _Restore

Отказ от отговорност за оттеглено съдържание на БЗ

Тази статия е написана за продукти, за които Microsoft вече не предлага поддръжка. Ето защо тази статия се предлага „както е“ и вече няма да бъде актуализирана.

СИМПТОМИ

При използване на антивирусна програма е възможно да получите отчет, отбелязващ, че един или повече файла в папките _Restore\Temp или _Restore\Archive съдържат или са инфектирани с вирус. Освен това антивирусната програма може да информира за невъзможността за премахване на вируса от файла или файловете.

ПРИЧИНА

Тази ситуация възниква, тъй като функцията "Възстановяване на системата" (System Restore) в Windows Millennium Edition (Me) защитава всички намиращи се в папката _Restore на системния дял на Windows Me папки и файлове. Тази папка и всички нейни подпапки са място за съхранение на данни, използвано от функцията "Възстановяване на системата" за възстановяване на предишно състояние на операционната система на компютъра.

Въпреки че някои антивирусни програми са способни да работят с компресирани или записани във файлов формат .zip или .cab файлове, функцията "Възстановяване на системата" не позволява на тези програми да манипулират подобни файлове в рамките на хранилището на данни. Хранилището на данни е защитено с цел предпазване на целостта на данните и единственият начин да получите достъп до него е чрез функцията "Възстановяване на системата". Поради това антивирусните програми не са в състояние да премахнат вирус от файл или файлове, намиращи се в хранилището на данни. Файловете в хранилището на данни са неактивни и могат да се използват единствено от функцията "Възстановяване на системата".

РАЗРЕШЕНИЕ

Използвайте подходящ метод, за да избегнете това ограничение.

Използвайте функцията First In First Out (FIFO)

FIFO отстранява най-старите точки за възстановяване, за да може към хранилището на данни да се добавят нови и по-актуални точки. Функцията се задейства автоматично, когато обемът на файловете в хранилището на данни достигне 90 процента от максималния му капацитет. Функцията "Възстановяване на системата" първо изтрива най-старите файлове, докато заеманият от тях обем не спадне до максимум 50 процента от максималния размер на хранилището на данни.

Например, ако максималният размер на хранилището на данни е 400 мегабайта (MB), 90% от този обем е 360 MB, а 50% - 200 MB. Когато хранилището на данни заема 200 MB (според информацията, показвана при преглед на свойствата на папката _Restore), това е 50 процента от максималния му размер. Ако настроите размерът на хранилището да е равен на минимум 200 MB, FIFO се задейства веднага при натискане на "Приложи" (Apply).

ЗАБЕЛЕЖКА: Ако хранилището на данни е с размер под 90 % (180 MB) от минималната стойност (200 МВ), промяната на размера не оказва никакво влияние върху изтриването на точките за възстановяване. При този сценарий трябва внимателно да обмислите използването на описаните в тази статия методи.


С течение на времето при достигане на максималния си размер хранилището на данни премахва точки за възстановяване въз основа на принципа FIFO. Съществуват няколко сценария, при които FIFO може да се използва за отстраняване на по-стари точки за възстановяване с цел съхраняване на по-новите точки на компютъра.

FIFO Метод 1

Не е необходимо да се предприемат никакви действия, ако антивирусният софтуер е изчистил системата и отчита наличието на подозрителни файлове само в хранилището на данни. Докато всички инфектирани файлове се обработят на базата на FIFO, антивирусният инструмент може да продължава да съобщава за наличието на заразени файлове в хранилището на данни, към които не може да осъществи достъп.

FIFO Метод 2

Можете да накарате функцията FIFO да премахва по-старите точки за възстановяване от хранилището на данни чрез промяна на неговия размер. За да промените размера на хранилището на данни с помощта на функцията "Възстановяване на системата":

 1. Вижте свойствата на папката _Restore, за да определите количеството данни в хранилището на данни. Това се прави с цел да прецените целесъобразността на изпълнението на описаните в тази стъпка действия (тоест дали те ще имат влияние върху хранилището на данни). Ако хранилището на данни използва по-малко от 90 % (180 MB) от минималната стойност (200 МВ), е възможно този метод да не окаже никакво влияние върху изтриването на точките за възстановяване. Ако се използват по-малко от 90 процента от хранилището на данни, даже при минималните настройки трябва да използвате FIFO Метод 1 или метода "Ръчно изтриване на хранилището на данни" ("Manually Purge the Data Store"), описан по-нататък в тази статия.
 2. Щракнете върху "Старт" (Start), посочете "Настройки" (Settings) и щракнете върху "Контролен панел" (Control Panel).
 3. Щракнете двукратно върху "Система" (System), след което щракнете върху раздела "Производителност" (Performance).
 4. Натиснете върху "Файлова система" (File System).
 5. Нагласете плъзгача System Restore disk space use ("Дисково пространство, използвано от функцията "Възстановяване на системата"") така, че да сочи по-ниска приблизителна стойност, след което натиснете Apply ("Приложи").

  Имайте предвид, че можете да използвате плъзгача System Restore disk space use ("Дисково пространство, използвано от функцията "Възстановяване на системата"") за избор на минималното или максимално пространство, което да бъде отделено за хранилището на данни или стойност помежду им. Намаляването на стойността на плъзгача променя стойностите, при които се задейства FIFO. За да могат промените да влязат в сила, може да се наложи да рестартирате компютъра.
 6. Натиснете OK и пак OK, за да затворите свойствата на системата.
 7. Използвайте антивирусния софтуер, за да сканирате компютъра с цел да проверите, дали инфектираните файлове са били премахнати от хранилището на данни. В случай, че все още има заразени файлове в хранилището, повторете предишните стъпки и намалете размера на хранилището на данни, докато инфектираните файлове не изчезнат от него.

  Можете също така да използвате календарната страница на инструмента "Възстановяване на системата" (System Restore), за да видите датите на най-старите налични точки за възстановяване.
 8. След като премахнете инфектираните файлове от хранилището за данни с помощта на този метод, върнете плъзгача към първоначалното или друго подходящо положение, след което натиснете OK, за да затворите всички отворени прозорци, и рестартирайте компютъра.
Ако в хранилището на данни все още има инфектиран файл, след като сте нагласили размера на хранилището да е равен на минималния размер, можете да изчакате този файл да бъде обработен в последователността FIFO (FIFO Метод 1) или да използвате описания по-долу в тази статия метод Manually Purge the Data Store ("Ръчно изтриване на хранилището за данни"), за да премахнете всички съдържащи се на вашия компютър точки за възстановяване.

Manually Purge the Data Store ("Ръчно изтриване на хранилището за данни")

За да премахнете незабавно и изцяло инфектирания файл или файловете в хранилището на данни, деактивирайте и пак активирайте функцията "Възстановяване на системата" (System Restore).

ПРЕДУПРЕЖДЕНИЕ: Изпълняването на описаните по-долу стъпки ще премахне изцяло всички точки за възстановяване от хранилището за данни. Не използвайте този метод, ако това ще предизвика проблеми. При повторното активиране на функцията "Възстановяване на системата", тя ще създаде нова точка за възстановяване, след което ще продължи да наблюдава работата на компютъра.

 1. Щракнете върху "Старт" (Start), посочете "Настройки" (Settings) и щракнете върху "Контролен панел" (Control Panel).
 2. Щракнете двукратно върху "Система" (System), след което щракнете върху раздела "Производителност" (Performance).
 3. Щракнете върху "Файлова система" (File System), след което щракнете върху раздела "Отстраняване на неизправности" (Troubleshooting).
 4. Поставете отметка в квадратчето Disable System Restore ("Деактивирай възстановяването на системата"), натиснете Apply ("Приложи"), след което щракнете пак в квадратчето Disable System Restore ("Деактивирай възстановяването на системата"), за да премахнете отметката в него, натиснете повторно Apply ("Приложи"), последвано от OK.
 5. Рестартирайте компютъра, когато се появи съобщение с подкана за това. При рестартирането на компютъра хранилището за данни се прочиства и функцията "Възстановяване на системата" започва пак да наблюдава системата.

СТАТУС

Това поведение е обусловено от дизайна на системата.

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Папката _Restore е защитена по подразбиране, което предотвратява използването или манипулирането на файлове в тази папка от страна на различни програми. Докато се намират в хранилището на данни, тези файлове са неактивни и не се използват от никакви помощни програми, освен от "Възстановяване на системата" (System Restore).

Функцията "Възстановяване на системата" не е предназначена за откриване или сканиране на вирусни инфекции или действията им. Повечето компютърни вируси търсят или атакуват файлове с разширения, като .exe или .com. Това са типовете данни, които се следят от функцията "Възстановяване на системата".

ЗАБЕЛЕЖКА: Ако възстановите предишно състояние на компютъра, при което на него не е имало антивирусен софтуер, ще трябва да инсталирате такъв, след което да изчистите всички възстановени файлове, които са инфектирани.
Свойства

ИД на статията: 263455 – Последен преглед: 8.06.2006 г. – Редакция: 1

Обратна връзка