Narzędzia antywirusowe nie mogą wyczyścić zainfekowanych plików w folderze _Restore

Zastrzeżenie dotyczące zawartości wycofanych artykułów z bazy wiedzy

Ten artykuł dotyczy produktów, dla których firma Microsoft nie oferuje już pomocy technicznej. Dlatego jest on udostępniany „taki, jaki jest” i nie będzie już aktualizowany.

Symptomy

Po uruchomieniu programu antywirusowego może pojawić się raport wskazujący, że co najmniej jeden plik w folderach _Restore\Temp lub _Restore\Archive zawiera wirusa lub jest zainfekowany wirusem. Program antywirusowy może także informować o niemożności usunięcia wirusa z plików.

Przyczyna

Takie zachowanie może się pojawić, ponieważ funkcja Przywracanie systemu w systemie Windows Millennium Edition (Me) chroni wszystkie foldery i pliki w folderze _Restore na systemowej partycji systemu Windows Me. Ten folder wraz ze wszystkimi swoimi podfolderami stanowi magazyn danych, którego używa funkcja Przywracanie systemu, aby przywrócić system operacyjny komputera do poprzedniego, istniejącego wcześniej stanu.

Chociaż niektóre programy antywirusowe mają możliwość pracy z plikami, które zostały skompresowane lub zmagazynowane w formacie plików zip lub cab, funkcja Przywracanie systemu nie pozwala tym narzędziom na manipulowanie plikami wewnątrz magazynu danych. Magazyn danych jest chroniony w celu zachowania integralności danych, a funkcja Przywracanie systemu jest jedyną metodą, którą można zastosować, aby uzyskać dostęp do magazynu danych. Z tego powodu program antywirusowy nie może usunąć wirusa z plików znajdujących się w magazynie danych. Pliki w magazynie danych są nieaktywne i mogą być użyte jedynie przez funkcję Przywracanie systemu.

Rozwiązanie

W celu obejścia tego problemu należy zastosować odpowiednią metodę.

Użycie funkcji FIFO (First In First Out)

Procedura typu FIFO czyści najstarsze punkty przywracania, tak aby można było dodawać nowsze, bardziej aktualne punkty przywracania do magazynu danych. Procedura FIFO rozpoczyna się automatycznie, gdy rozmiar plików w magazynie danych osiągnie 90 procent maksymalnego rozmiaru magazynu. Funkcja Przywracanie systemu na początku czyści najstarsze pliki, dopóki pliki w magazynie danych nie będą zajmowały mniej niż 50 procent maksymalnego rozmiaru magazynu.

Na przykład jeśli maksymalny rozmiar magazynu danych wynosi 400 megabajtów (MB), 90 procent z tej wartości to 360 MB, a 50 procent to 200 MB. Jeśli po wyświetleniu właściwości folderu _Restore okaże się, że rozmiar magazynu danych wynosi 200 MB, to odpowiada on 50 procentom rozmiaru maksymalnego. W przypadku takiego dopasowania rozmiaru magazynu danych, aby wynosił on 200 MB, po kliknięciu przycisku Zastosuj rozpocznie się procedura FIFO.

UWAGA: Jeśli rozmiar magazynu danych zajmuje mniej niż 90 procent (180 MB) wartości minimalnej (200 MB), dopasowanie rozmiaru nie da efektu w postaci przeczyszczenia punktów przywracania. W takim scenariuszu należy rozważyć ostrożne zastosowanie jednej z metod opisanych w niniejszym artykule.


Wraz z upływem czasu magazyn danych przeczyszcza punkty przywracania za pomocą funkcji FIFO, gdy zostanie osiągnięty maksymalny rozmiar magazynu danych. Istnieje kilka scenariuszy, w których można zastosować funkcję FIFO do wyczyszczenia starszych punktów przywracania w celu zostawienia na komputerze nowszych punktów przywracania.

Metoda FIFO 1

Jeśli system został wyczyszczony i narzędzie antywirusowe znalazło podejrzane pliki jedynie w magazynie danych, nie jest wymagana żadna akcja. Dopóki wszystkie zainfekowane pliki nie zostaną usunięte w wyniku działania funkcji FIFO, narzędzie antywirusowe może informować o obecności zainfekowanych plików, do których nie można uzyskać dostępu, w magazynie danych.

Metoda FIFO 2

Można uruchomić funkcję FIFO w celu usunięcia starszych punktów przywracania z magazynu danych przez zmianę rozmiaru magazynu danych. Aby zastosować funkcję Przywracanie systemu w celu dopasowania rozmiaru magazynu danych:

 1. Wyświetl właściwości folderu _Restore, aby określić ilość danych faktycznie znajdujących się w magazynie. Wykonaj tę czynność, aby sprawdzić, czy zastosowanie danej metody będzie miało jakikolwiek wpływ na magazyn danych. Jeśli dane zajmują mniej niż 90 procent (180 MB) wartości minimalnej (200 MB), ta metoda może nie mieć żadnego wpływu na przeczyszczenie punktów przywracania. Jeśli dane zajmują mniej niż 90 procent magazynu danych, nawet przy minimalnych ustawieniach należy wziąć pod uwagę możliwość użycia metody FIFO 1 lub metody ręcznego czyszczenia magazynu danych przedstawionej w dalszej części tego artykułu.
 2. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
 3. Kliknij dwukrotnie aplet System, a następnie kliknij kartę Wydajność.
 4. Kliknij przycisk System plików.
 5. Przesuń suwak Miejsce na dysku niezbędne do przywrócenia systemu, aby odpowiednio zmniejszyć ilość miejsca na dysku, a następnie kliknij przycisk Zastosuj.

  Należy zwrócić uwagę, że za pomocą suwaka Miejsce na dysku niezbędne do przywrócenia systemu można określić minimalną ilość miejsca na magazyn danych, ilość maksymalną lub rozmiar pomiędzy tymi wartościami. Przesunięcie suwaka w celu zmniejszenia wartości powoduje zmianę, która wyzwala funkcję FIFO. Aby zmiany odniosły skutek, może być konieczne ponowne uruchomienie komputera.
 6. Kliknij przycisk OK, a następnie kliknij przycisk OK, aby zamknąć okno właściwości systemu.
 7. Użyj narzędzia antywirusowego do przeskanowania komputera w celu upewnienia się, że zainfekowane wirusem pliki zostały wyczyszczone z magazynu danych. Jeśli w magazynie danych nadal znajdują się zainfekowane pliki, powtórz powyższe kroki i zmniejsz rozmiar magazynu danych, dopóki nie zostanie on oczyszczony z zainfekowanych plików.

  Należy zauważyć, że na stronie z kalendarzem w oknie narzędzia Przywracanie systemu można sprawdzić, jak odległe w czasie punkty przywracania zostały wyczyszczone.
 8. Po wyczyszczeniu zainfekowanych plików z magazynu danych przy użyciu tej metody przesuń suwak w oryginalne lub dostosowane do potrzeb położenie, kliknij przyciski OK, aby zamknąć wszystkie otwarte okna, a następnie ponownie uruchom komputer.
Jeśli po zmianie rozmiaru magazynu danych na rozmiar minimalny nadal znajduje się w nim zainfekowany plik, można albo poczekać, aż zostanie on przetworzony i usunięty przy użyciu metody FIFO (metoda FIFO 1), albo rozważyć możliwość użycia metody ręcznego czyszczenia magazynu danych opisanej w dalszej części tego artykułu w celu usunięcia wszystkich punktów przywracania na komputerze.

Ręczne czyszczenie magazynu danych

Aby całkowicie i natychmiastowo usunąć zainfekowany plik z magazynu danych, należy wyłączyć, a następnie ponownie włączyć funkcję Przywracanie systemu.

OSTRZEŻENIE: Wykonanie poniższych kroków spowoduje całkowite usunięcie wszystkich punktów przywracania z magazynu danych. Nie należy stosować tej metody, jeśli może to być przyczyną problemów. Po ponownym włączeniu przywracania systemu funkcja ta utworzy nowy punkt przywracania, a następnie wznowi monitorowanie komputera.

 1. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
 2. Kliknij dwukrotnie aplet System, a następnie kliknij kartę Wydajność.
 3. Kliknij przycisk System plików, a następnie kliknij kartę Rozwiązywanie problemów.
 4. Kliknij, aby zaznaczyć pole wyboru Wyłącz przywracanie systemu, kliknij przycisk Zastosuj, kliknij, aby wyczyścić pole wyboru Wyłącz przywracanie systemu, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
 5. Po pojawieniu się monitu uruchom ponownie komputer. Po ponownym uruchomieniu komputera magazyn danych będzie przeczyszczony, a funkcja Przywracanie systemu rozpocznie monitorowanie systemu.

Stan

Takie zachowanie jest zgodne z projektem systemu.

Więcej informacji

Domyślnie folder _Restore jest chroniony i uniemożliwia programom korzystanie ze znajdujących się w nim plików lub manipulowanie nimi. Pliki pozostają nieaktywne w magazynie danych i nie są używane przez żadne narzędzia oprócz funkcji Przywracanie systemu.

Funkcja Przywracanie systemu nie została zaprojektowana pod kątem wykrywania infekcji wirusami lub skanowania ich aktywności. Większość infekcji wirusowych wyszukuje i atakuje pliki z rozszerzeniami exe lub com. Są to typy plików monitorowane przez funkcję Przywracanie systemu.

UWAGA: W przypadku przywrócenia komputera do stanu, w którym nie było używane narzędzie antywirusowe, należy je zainstalować i wyczyścić wszystkie przywrócone pliki, które były zainfekowane.
Właściwości

Identyfikator artykułu: 263455 — ostatni przegląd: 02.10.2004 — zmiana: 1

Opinia