我在 Windows 7 启动时收到一条奇怪的警告信息。
它最近才启动,并说我的电脑上有一个名为 的文件有问题C:\Program。它还说重命名C:\Program 1可以解决这个问题。确切地说,
文件名警告
您的计算机上有一个名为“C:\Program”的文件或文件夹,它可能会导致某些应用程序无法正常运行。将其重命名为“C:\Program 1”可以解决此问题。您想现在重命名它吗?
(重命名)(忽略)
我截取了这个对话框的屏幕截图:
到目前为止,我已经说过,在我知道它是什么之前,不要重命名它。
该文件在记事本中的样子如下:
4 ›˜ýÒc?¾Bº3Ldgk/Œ$Oð½ ñ½ ½ÛéÕŽÄl( ò½ ê¢ñ6£b( ó½ ;¿¤¸îX ( ô½ ÞÞµkæ (
这些是该文件的常规属性:
我在网上找不到任何和我遇到同样问题的人,我想请教一下是否要保留、重命名或删除此文件。我也想知道它是什么。
答案1
将文件上传到使用多种防病毒程序扫描文件的网站。免费提供此类服务的网站包括:
- 病毒总数- 现归 Google 所有。目前使用 56 个防病毒程序扫描上传的文件。
- Jotti 的恶意软件扫描
- 扫描
如果它是恶意软件,这些网站上使用的防病毒程序之一很有可能会识别出该恶意软件。一旦您知道防病毒供应商为该恶意软件命名的名称,您就可以在线搜索该名称以获取有关其功能的更多信息。
如果它是恶意软件,仅仅删除文件或重命名它可能不足以清除系统中的恶意软件。可能还有其他文件和Windows 注册表您可能需要删除与恶意软件相关的设置。即使该文件对于恶意软件的运行至关重要,某些恶意软件仍包含“复苏器”代码,如果您尚未清除恶意软件的其余部分,该代码将简单地重新创建或下载您删除的任何所需文件。
因此,您需要使用防病毒/反间谍软件扫描您的系统。我在下面列出了一些我用来扫描受感染系统的免费防病毒/反间谍软件程序。由于您的系统上现在没有防病毒软件,因此不会与现有的防病毒软件发生任何冲突。
注意:免费版的防病毒/反间谍软件程序通常不执行实时扫描。也就是说,它们仅在您手动启动扫描时才扫描系统。如果您已有防病毒软件,那么这是更好的选择,因为它减少了系统上多个防病毒程序之间发生冲突的可能性,如果每个访问的文件都由多个防病毒程序扫描,则系统速度会大大降低,我甚至见过这种情况导致系统无法使用。但是,您应该在清除系统上的任何恶意软件后,安装一个可以实时扫描系统的防病毒程序。您应该使用一些软件不断监控系统中的恶意软件,以防止感染。
因此我建议首先使用上述程序的免费版本。在清除所有恶意软件后,您可以购买上述程序或其他防病毒程序的实时扫描版本。
您可能需要使用上述多种方法扫描系统,因为有时防病毒供应商 A、B、C 和 D 尚未遇到恶意软件 X,但防病毒供应商 E 的软件知道恶意软件 X 并可以根除它。但对于恶意软件 Y,防病毒软件 E 可能不知道它,但 B 和 D 可能遇到过它,因此有它的病毒签名并知道如何根除它。
您还可以使用以下方法扫描系统Rootkit检测软件,用于查找善于隐藏自身的恶意软件。我在下面列出了一些免费的 rootkit 检测程序。
我喜欢能够从现场 CD,这样通常用于启动系统的操作系统在扫描时就不会运行。许多防病毒供应商都提供免费的 Live CD,您可以将其用于此类目的。我使用过的一些包括:
我相信我曾经在某人的系统上看到过您所描述的被恶意软件感染的情况,但我记不起当时负责的恶意软件的名称。
如果你将其上传到 VirusTotal,并且它使用的所有防病毒程序都没有将该文件标记为潜在不安全,那么它可能是无害的。你可以在校验和该文件的校验和,正如 Scott 在他的评论中所建议的那样。校验和是通过数学计算确定的,它应该为文件生成一个唯一的数字。两个不相同的文件可能具有相同的MD5校验和,但这种情况不太可能发生。还有其他类型的校验和,例如通过安全哈希算法。
如果你将文件上传到病毒总数,点击文件详细信息扫描文件后,单击“开始”选项卡。查找 MD5 值,然后在线搜索该值。这样,您可能会找到更多信息。例如,如果您无意中将某个操作系统文件或与系统上的某个程序关联的文件移动/重命名为该文件,则 MD5 校验和可能会显示,如果您在线搜索校验和并发现它与某个程序 abcd.exe 相关联,那么您可能无意中重命名了 abcd.exe。或者至少您可以了解该文件的原始用途。文件详细信息选项卡还可能为您提供有关您上传的文件内容的其他信息,例如,是否在文件中找到任何发布者或版权信息。
如果你将文件上传到Jotti 的恶意软件扫描,它会显示 MD5 和SHA-1文件的校验和以及文件的类型。例如,如果文件是可执行程序,则可能会显示“PE32 可执行文件(控制台)Intel 80386,适用于 MS Windows”作为类型。扫描还会显示 MD5 和 SHA1 校验和以及文件类型。如果您没有找到与 MD5 哈希匹配的内容,也可以搜索 SHA-1 哈希。
您还可以使用在线哈希加密站点。您可以选择其他哈希选项,例如 SHA-256 或 SHA-512,然后上传文件,让站点通过单击转换文件按钮。然后,您可以对十六进制它提供的价值。
Scott 建议采用这种方法的原因是,如果您发现的文件也存在于其他系统中,则很有可能其他人已计算了该文件的校验和,并将该校验和以及有关该文件的更多详细信息发布在网上的某个地方。如果您的系统上的文件是唯一的,您将找不到任何东西,但如果不是,您可能能够通过该方法找到有关它的更多信息。
对于二进制文件,您还可以查找“字符串",即人类可读的文本,在文件中使用微软的 Sysinternals 程序字符串。这是一个从命令提示符运行的工具。例如,您可以使用以下命令:
C:>strings "C:\Program" > examine.txt
这将导致字符串程序在文件“C:\Program”中搜索人类可读的文本,并将其找到的内容存储在文件examine.txt中。使用记事本打开文件examine.txt。您可能会在其中找到一些文本,这些文本提供了有关文件来源的线索。例如,您可能会看到公司名称甚至版权信息,例如“Copyright (c) 1997 Microsoft Corp.1”您甚至可以看到一个URL。或者您可能看不到任何可以帮助您猜测文件来源的信息。但这是您可以执行的另一项检查。
如果您没有发现有关该文件的任何可疑内容,那么只需重命名或删除它可能是安全的,但要查看它是否重新出现,例如,它是否会在当天晚些时候或重新启动后再次出现。