Антивірусній програмі не вдається очистити заражені вірусом файли з папки _Restore

Засіб блокування застарілого вмісту в KB
У цій статті описуються продукти, яким корпорація Майкрософт більше не надає підтримки. Тому ця стаття пропонується "як є" і більше не оновлюватиметься.
ОЗНАКИ
Звіт, складений за результатами запуску антивірусної програми, містить дані про те, що певні файли в папці _Restore\Temp або _Restore\Archive містять вірус або заражені вірусом. Крім того, видалити ці віруси за допомогою антивірусної програми не вдається.
ПРИЧИНА
Причина такої ситуації полягає в тому, що програма відновлення системи у Windows Millennium Edition (Me) захищає увесь уміст папки _Restore у системному розділі Windows Me. Ця папка та всі вкладені в неї папки є сховищем даних, за допомогою якого ця програма відновлює колишній стан системи.

У межах цього сховища програма відновлення системи не дозволяє антивірусним програмам обробляти архівні файли у форматі ZIP і CAB, навіть якщо вони можуть робити це у звичайних папках. Цей захист необхідний для забезпечення цілісності даних. Одержати доступ до даних бази можна лише за допомогою програми відновлення системи. Саме з цієї причини віруси не можуть бути вилучені засобами антивірусної програми. Файли в сховищі даних перебувають у неактивному стані й використовуються лише програмою відновлення системи.
РОЗВ'ЯЗАНН
Скористайтеся одним із можливих способів вирішення цієї проблеми.

Використання функції буфера (FIFO)

Функція буфера FIFO призначена для видалення старих точок відновлення, щоб у сховище даних можна було додати пізніші точки. Вона запускається автоматично, якщо сховище даних заповнюється до максимально допустимого рівня - на 90%. Видалення старих файлів відбувається доти, поки рівень заповнення стане не більшим, ніж 50%.

Наприклад, для бази даних, максимально допустимий розмір якої дорівнює 400 мегабайт (МБ), 90% складають 360 МБ, а 50% - 200 МБ. Якщо у властивостях папки _Restore зазначений поточний розмір сховища даних 200 МБ, це становить 50% від її максимального розміру. Якщо установити мінімально допустимий розмір бази даних 200 МБ, функція буфера FIFO буде запущена відразу після натискання кнопки Застосувати.

ПРИМІТКА. Якщо рівень заповнення бази даних менший 90% (180 МБ) від установленого значення (200 МБ), видалення старих точок відновлення здійснюватися не буде. Отже, слід чітко розуміти механізми дії методів, описаних у цій статті.

Видалення точок відновлення відбувається в порядку їхнього додавання за умови досягнення максимально припустимого значення розміру бази даних. Існує кілька ситуацій, коли функція FIFO використовується для видалення старих точок відновлення з метою збереження більш нових.

Функція буфера FIFO: спосіб 1

Немає потреби в яких-небудь діях, якщо антивірусна програма очистила систему й повідомляє про наявність підозрілих файлів лише в сховищі даних для відновлення. Таке повідомлення буде з'являтися доти, поки заражені файли не будуть вилучені за допомогою буфера FIFO.

Функція буфера FIFO: спосіб 2

Можна запустити функцію FIFO для видалення старих точок відновлення, вказавши інший розмір сховища даних. Щоб змінити розмір сховища даних за допомогою програми відновлення системи, виконайте такі дії.
 1. У властивостях папки _Restore знайдіть поточний рівень заповнення бази даних. Це необхідно для визначення доцільності описаних нижче дій. Якщо рівень заповнення бази даних менший 90% (180 МБ) від мінімально допустимого значення (200 МБ), видалення старих точок відновлення здійснюватися не буде. У цьому разі слід скористатися способом 1 або очистити базу даних вручну, дотримуючись вказівок розділу "Очищення бази даних вручну", наведеним нижче.
 2. Натисніть кнопку Пуск, виберіть пункт меню Настройка, а потім - пункт Панель керування.
 3. Двічі клацніть значок Система і відкрийте вкладку Швидкодія.
 4. Натисніть кнопку Файлова система.
 5. Установіть повзунок Місце на диску для відновлення системи на нижчий рівень і натисніть кнопку Застосувати.

  Зауважимо, що за допомогою повзунка Місце на диску для відновлення системи розмір бази даних може бути змінений до мінімально припустимого, максимально припустимого рівня або одного з проміжних значень. Зменшення розміру бази даних призводить до зниження значення, яке спричиняє запуск функції буфера FIFO. Щоб внесені зміни вступили в дію, можливо, доведеться перезавантажити комп'ютер.
 6. Натисніть кнопку OK, а потім знову OK, щоб закрити вікно Властивості системи.
 7. Запустіть антивірусну програму і переконайтеся, що сховище даних уже не містить заражених файлів. Якщо заражені файли залишилися, повторюйте описані дії до вилучення заражених файлів, кожного наступного разу установлюючи менший розмір бази даних.

  Зауважимо, що дані про точки відновлення, які залишилися, можна знайти в календарі програми відновлення системи.
 8. Після видалення заражених вірусом файлів установіть повзунок у попереднє (або інше необхідне) положення, закрийте поточне вікно, натиснувши кнопку OK, і перезавантажте комп'ютер.
Якщо навіть установка мінімального значення розміру бази даних не призводить до видалення заражених файлів, зачекайте, поки це станеться в порядку черговості (функція буфера FIFO: спосіб 1) або скористайтеся методом видалення всіх точок відновлення, описаним у розділі "Очищення сховища даних вручну" цієї статті.

Очищення сховища даних вручну

Для цілковитого та негайного видалення всіх заражених файлів із сховища даних необхідно відключити й повторно ввімкнути функцію відновлення системи.

ПОПЕРЕДЖЕННЯ. Виконання описаних нижче дій призводить до повного видалення всіх наявних точок відновлення. Не використовуйте цей метод, якщо в результаті можуть виникнути проблеми. Після повторного ввімкнення функції відновлення системи буде створена нова точка відновлення, і поновиться спостереження за системою.
 1. Натисніть кнопку Пуск, виберіть пункт меню Настройка, а потім - пункт Панель керування.
 2. Двічі клацніть значок Система і відкрийте вкладку Швидкодія.
 3. Натисніть кнопку Файлова система і відкрийте вкладку Виправлення неполадок.
 4. Установіть прапорець Вимкнути відновлення системи, натисніть кнопку Застосувати, потім зніміть прапорець Вимкнути відновлення системи, знову натисніть кнопку Застосувати, а потім - OK.
 5. Перезавантажте комп'ютер після появи відповідного запиту. Після перезавантаження комп'ютера буде вилучено вміст сховища даних, і засіб відновлення системи поновить спостереження за системою.
СТАН
Проте таку ситуацію передбачено.
ДОДАТКОВІ ВІДОМОСТІ
Папка _Restore захищена за замовчуванням, що запобігає використанню іншими програмами файлів, які містяться в ній. Ці файли неактивні й доступні лише програмі відновлення системи.

Програма відновлення системи не перевіряє файли на наявність вірусів. Комп'ютерні віруси найчастіше заражають файли з розширеннями СОМ і ЕХЕ (файли, спостереження за якими здійснює програма відновлення системи).

ПРИМІТКА. Після відновлення стану системи, у якому не використовувалося антивірусне програмне забезпечення, установіть його і видалите всі заражені файли.
cpy sr anti virus
Властивості

Ідентифікатор статті: 263455 – останній перегляд: 06/08/2006 13:08:24 – виправлення: 1.1

Microsoft Windows Millennium Edition

 • kbenv kbprb KB263455
Зворотний зв’язок