这是重点。
我设置Windows来显示所有隐藏的文件和受保护的操作系统文件,但即使在那之后,我的杀毒软件(卡巴斯基)仍然在“c:\ windows \ system32”上得到一个“.dll”文件,说这是一个“Hidden.Object ”。
我试图每次都find这个文件,但它不在那里。 于是我让其中一个开发人员创build一个服务,每隔5秒validation一次文件夹,如果find该文件,就会复制到另一个地方。
如果它复制到另一个具有相同名称和扩展名的地方,我仍然无法find另一个文件夹上的文件,但现在卡巴斯基已经find了这两个文件。 如果我保持相同的名称,但具有不同的扩展名,如“.temp123”,我仍然无法find该文件。 最后,我创build了一个空的文本文件,并使用与另一个文件名相同的名称进行重命名,文件也一样。
毕竟这个研究很明显,在这个特定的服务器上有这个相同名字的每一个文件都会被遮盖,这与文件扩展名无关。 我在另一台服务器上创build了一个具有相同名称的文件,没有任何反应,文件仍然没有问题。
我怎样才能find这种文件? 我怎么“摆脱”呢? 我怎么知道这个文件在做什么?
看起来像rootkit,从sysinternals套件http://technet.microsoft.com/en-us/sysinternals/bb897445使用rootkit启示器,或启动到救援模式(可能或不可能帮助)或启动另一个系统(例如从CD的Linux例如)或将磁盘插入另一台计算机
除了隐藏的文件,还有“ 受保护的操作系统文件 ”,你可以确保显示。 值得一试:
双击桌面上的“我的电脑”。
select“工具” – “文件夹选项”。
出现“文件夹选项”多选项卡式对话框时,select“查看”选项卡。
向下滚动到“隐藏受保护的操作系统文件(推荐)”,根据需要选中或取消选中该框。
点击“确定”closures对话框。