请教电脑高手 关于电脑里的可疑文件夹

最近发现电脑里有几个很可疑的文件夹

名字是RECYCLER 和 System Volume Information

这两个文件夹是隐藏的 电脑里C D E F G 盘里 都有

System Volume Information这个文件夹拒绝访问 无法删除

RECYCLER可进进去 但是删除后 没一会儿就又自动出现了

我用瑞星和360都进行过全盘杀毒之类的操作

没有发现病毒和木马

请问电脑高手

这是怎么回事？如何彻底的删除这两个可疑文件夹？

RECYCLER是回收站的系统隐藏文件夹，不必删除。

System Volume Information是系统还原的隐藏文件夹，关闭系统还原后，可以删除。该文件夹有时占用很多空间。

第一个不能删除，第二个关闭系统还原后，可以删除。

RECYCLER回收站的文件夹,用来装相应分区里暂时删除的文件

SYSTEM Volume Information系统还原文件夹,如果系统还原开着的话,该文件就会在系统设置改动之前备份相关要改动的设置,以便用户可以还原到相应变动之前的日期

系统隐藏文件 不用担心

RECYCLER的英文直译是“回收再利用”，它是windows操作系统中存放被删除文件的文件夹之一。 　　在Windows的NT架构的系统中，即Windows NT/2000/XP/2003，会为系统中的每位用户创建各自的回收站文件夹，如果分区文件系统是NTFS，则会保存在Recycler这个文件夹里，而不是Recycled文件夹，因此不用担心是病毒文件夹，它分别以每个用户的SID（用户安全标识符，用来代表用户，任何两个用户的标识符都不一样）做名字，就类似于“S-1-5-21-1364623040-634879670-1883500744-500”这样的文件名。这个文件夹是隐藏的受保护的系统文件夹，因此是不能删除的，即便删除了，它也会自动再创建，如果里面有病毒，把里面的文件删了就行，工具-文件夹选项-查看，把“隐藏受保护的操作系统文件”的勾打上，再选择“显示隐藏的文件夹和文件”，确定后就可以看见它了。 　　如何手动清除RECYCLER病毒 　　^[1][2][3]RECYCLER病毒传染力和免疫力极强，一般杀毒软件难以发现它并将其杀死！病毒特征：U盘传染可能性极大 　　症状： 　　在C:\Documents and Settings\Administrator\Local Settings\Temp目录下出现许多执行文件： 　　1iexplore.exe，32iexplore.exe，iexplore.exe等，“随机数字”+iexplore.exe命名的病毒文件，在c盘根目录下出现RECYCLER目录和Latent目录，删除后反复生成，RECYCLER有RECYCLER.dll,RX_DLL.dll,RECYCLER.exe,Latent目录下有：Latent.com，QQ.exe，QQ.dll，有时 　　C:\Program Files\Internet Explorer目录下有以上temp目录下提到的那些文件，难以删除。 　　解决方法： 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit删除 　　C:\WINDOWS\system32\userinit.exe,C:\Latent\Latent.com值后面的字“C:\Latent\Latent.com” 　　重启后删除RECYCLER目录和Latent目录及C:\Program Files\Common Files\Microsoft Shared\MSINFO\InfoMz.Ime。 　　（在注册表的这个位置，我的是 　　“C:\WINDOWS\system32\userinit.exe,C:\RECYCLER\RECYCLER.exe”，我就删除了“,C:\RECYCLER\RECYCLER.exe”；之后我有遇到了InfoMz.Ime文件在安全模式下也无法删除的情况，于是我找到了下面的办法） 　　在注册表编辑器里删除这两个位置: 　　1. HKEY_CLASSES_ROOT\CLSID\{F084FD46-EB63-4CC0-B814-99C16EE76BD1} 　　2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks右边的{F084FD46-EB63-4CC0-B814-99C16EE76BD1} 　　重启后可以删除:C:\Program Files\Common Files\Microsoft Shared\MSINFO\InfoMz.Ime

System Volume Information　　“System Volume Information”文件夹的分析

　　System Volume Information 文件夹是一个隐藏的系统文件夹，"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.

　　“系统还原”及其优点

　　“系统还原”是Windows XP最实用的功能之一，它采用“快照”的方式记录下系统在特定时间的状态信息，也就是所谓的“还原点”，然后在需要的时候根据这些信息加以还原。还原点分为两种：一种是系统自动创建的，包括系统检查点和安装还原点；另一种是用户自己根据需要创建的，也叫手动还原点。在Windows XP系统中，我们可以利用系统自带的“系统还原”功能，通过对还原点的设置，记录我们对系统所做的更改，当系统出现故障时，使用系统还原功就能将系统恢复到更改之前的状态。

　　如何使用“系统还原”

　　1、开启“系统还原”

　　鼠标右击“我的电脑”，选择“属性”/“系统还原”选项卡，确保“在所有驱动器上关闭系统还原”复选框未选中，再确保“需要还原的分区”处于“监视”状态。

　　2、创建还原点

　　这里需要说明的是：在创建系统还原点时要确保有足够的硬盘可用空间，否则可能导致创建失败。设置多个还原点方法同上。

　　3、恢复还原点

　　打开“系统还原向导”，选择“恢复我的计算机到一个较早的时间”，点击“下一步”，选择好日期后再跟着向导还原即可。

　　需要注意的是：由于恢复还原点之后系统会自动重新启动，因此操作之前建议大家退出当前运行的所有程序，以防止重要文件丢失

　　“System Volume Information”文件夹产生的问题及解决方案

　　1、空间不足问题：随着用户使用系统时间的增加，还原点会越来越多，导致硬盘空间越来越少，最后还要被警告“磁盘空间不足”.

　　2、病毒保护伞（安全问题）：由于NTFS的分区里该目录只有SYSTEM权限，导致杀毒软件没有权限查杀藏匿于该目录的病毒。

　　3、病毒保护伞（安全问题）解决方案：阻止“System Volume Information”文件夹的自动生成。（今为止没人能做到）

　　4、治表不治本的解决方案：可以打开控制面板里的“系统属性”——“系统还原”选项卡上选中“在所有驱动器上关闭系统还原”的复选框。

　　“System Volume Information”文件夹里的NTFS木马（安全问题）

　　1、参考原理：

　　在一个NTFS分区里，把分区权限删到只剩EVERYONE权限，并只设一个“列出文件夹的目录”权限，其他复选框都去钩。在这种情况下，该分区是没有写权限的，照理说不会再自动生成“System Volume Information”文件夹。但是，无论你这么设置，该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。

　　2、木马原理：利用“System Volume Information”文件夹自动生成的原理，进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面，然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下，杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软，然后再脱壳解密启动木马，启用保护进程防止该目录被删。此类木马无法手工删除，杀软无权查杀，就算FAT32的分区也由于加密原因无法脱壳。

　　3、解决方案：阻止“System Volume Information”文件夹的自动生成。（至今为止没人能做到)

　　4、解决无法进入本文件夹的暂时方法:开始里点搜索。然后选择高级选项：搜索勾选搜索系统文件夹和隐藏文件。搜索范围是所有硬盘。点“开始搜索”。你会找到很多个同名文件夹“System Volume Information”。右击点选属性。然后点选权限（好像是这个，总之是上面中间的），然后添加自己的用户名，比如administrators，确定，好，现在你就可以浏览这个文件夹了，注意“System Volume Information”文件夹只能是隐藏属性，你可以在地址栏输入Ｄ：\System Volume Information来浏览，看看吧，很丰富呢，不知道杀毒软件可以杀毒了吗？

　　如何获得对“System Volume Information”文件夹的访问

　　使用 FAT32 文件系统的 Microsoft Windows XP Professional 或 Windows XP Home Edition

　　1、打开任意一个文件夹。

　　2、在“工具”菜单上，单击“文件夹选项”。

　　3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

　　4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

　　5、清除“使用简单文件夹共享（推荐）”复选框

　　6、单击“确定”。

　　7、在文件夹中双击“System Volume Information”文件夹以将其打开。

　　8、操作后建议选择“还原为默认值”点确定

　　在域中使用 NTFS 文件系统的 Windows XP Professional

　　1、打开任意一个文件夹。

　　2、在“工具”菜单上，单击“文件夹选项”。

　　3、在“查看”→“隐藏文件和文件夹”选项卡上，单击“显示所有文件和文件夹”。

　　4、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

　　5、清除“使用简单文件夹共享（推荐）”复选框

　　6、单击“确定”。

　　7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

　　8、单击“安全”选项卡。

　　9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。选择相应的帐户位置（本地帐户或域帐户）。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）

　　10、在文件夹中双击“System Volume Information”文件夹以将其打开。

　　在工作组或独立计算机上使用 NTFS 文件系统的 Windows XP Professional

　　1、打开任意一个文件夹。

　　2、在“工具”菜单上，单击“文件夹选项”。

　　在“查看”选项卡上，单击“显示所有文件和文件夹”。

　　3、清除“隐藏受保护的操作系统文件(推荐)”复选框。当系统提示您确认是否更改时，请单击“是”。

　　4、清除“使用简单文件共享(推荐)”复选框。

　　5、清除“使用简单文件夹共享（推荐）”复选框

　　6、单击“确定”。

　　7、在文件夹中右键单击“System Volume Information”文件夹，然后单击“共享和安全”。

　　8、单击“安全”选项卡。

　　9、单击“添加”，然后键入要向其授予该文件夹访问权限的用户的名称。通常，这是您登录时使用的帐户。单击“确定”，然后再次单击“确定”。（提示：建议键入Everyone这个账户，意思是所有账户均有权限）

　　10、在文件夹中双击“System Volume Information”文件夹以将其打开。

　　注意：现在，Windows XP Home Edition 的用户可以在正常模式下访问 System Volume Information 文件夹。

　　方法适用范围

　　Microsoft Windows XP Home Edition及 Microsoft Windows XP Professional Edition

　　如何关闭“系统还原”

　　(一)、用“系统还原选项卡”

　　1、在“我的电脑”图标上点右键，选择属性

　　2、选择系统还原选项卡

　　3、将“在所有驱动器上关闭系统还原”打勾确定后即可

　　4、关闭“系统还原”后，就可以将该驱动器根目录下的“System Volume Information”文件夹删除。

　　(二)、用“组策略”

　　运行输入,gpedit.msc找开组策略->管理模块->系统->系统还原-"关闭系统还原"的属性查看还原功能是否被关闭,如果启动或未设置选择关闭就可以了。

　　如何删除“System Volume Information”文件夹

　　1、关闭“系统还原”

　　2、获得对“System Volume Information”文件夹的访问

　　3、NTFS的分区里该目录只有SYSTEM权限，需要将您登录时使用的帐户（或将EVERYONE账户）的权限设为完全控制才能删除。

　　4、删除“System Volume Information”文件夹

　　如何获得对 System Volume Information 文件夹的访问

　　右击我的电脑／属性／系统还原项／选“关闭所有还原”，再删除system Volume Information文件夹。或　我的电脑／任何盘符／工具／文件夹选项／查看／还原默认值。

　　（注：change.log是系统更改日志，主要监看各个盘区的变化，不是病毒）

　　"System Volume Information" 的删除

　　一般情况下C：/System Volume Information这个文件夹是无法访问的，需要加NTFS权限

　　1.我的电脑-工具-文件夹选项-查看-关闭隐藏受保护的操作系统文件(推荐)-隐藏文件和文件夹 选择显示所有文件和文件夹

　　2.查看C：/System Volume Information的属性,会多出一个安全选项-添加-高级-立即查找-双击你目前的用户名-确定. (如果看不见安全选项

　　:我的电脑-工具-文件夹选项-查看-关闭简单共享)

　　3.回到C：/System Volume Information的属性-安全选项-把权限里的完全控制点上

　　4.这时候你就可以进入C：/System Volume Information了,里面有什么,痛快的删掉它~!,.

　　彻底删除"System Volume Information"

　　1.在运行,输入"gpedit.msc"／（组策略）程序／ 计算机配置／管理模板／系统／系统还原／右边，关闭系统还原，双击打开它，启用。

　　2,在运行,输入"gpedit.msc"／（组策略）程序／计算机配置／管理模板／windows组件／终端服务／windows Installer／在右边会有一个"关闭创建系统还原检查点"双击打开它,选择启用。

　　运用cacls命令赋予当前用户完全控制权限后即可删除“System Volume Information”文件夹

　　命令如下：

　　cacls "c:\System Volume Information" /g everyone:f

　　以上是赋予所有用户对c盘System Volume Information文件夹的完全控制权限，可以删除了

　　命令详解请在命令提示符下输入:　cacls /?