3、藏污纳垢的“System Volume Information”

　　System Volume Information"文件夹，中文名称可以翻译为"系统卷标信息"。这个文件夹里就存储着系统还原的备份信息。本来是备份系统状态的，但它也被病毒木马盯上了，成了它们的栖息地。因为该文件夹只有system权限，其他用户没有权限，所以就连某些杀毒软件对隐藏其中的病毒也无能为力。那如何来清理其中的病毒木马呢?

　　(1).手工清除。因为该文件夹是system权限，所有要打开它并进行清毒首先要获取权限。操作方法是：打开“我的电脑”执行“工具→文件夹选项→查看”，取消对“使用简单文件共享”和“隐藏受保护的操作系统文件”的勾选“确定”后进入磁盘根目录。比如C盘，右击“System Volume Information”文件夹选择“属性”在“安全”选项卡下，通过“添加→高级→立即查找”选择并添加当前用户，然后赋予其“完全控制”权限。最后进入才c:\System Volume Information就可以删除病毒木马了。(图5)

图5 System Volume Information

　　(2).系统方法。既然该文件是由“系统还原”引起的，如果已经做好了系统备份可以关闭“系统还原”那该文件夹就自动被删除。我们可以通过组策略来彻底关闭系统还原：在运行输入“gpedit.msc”，打开组策略编辑器，定位到“计算机配置→管理模板→系统→系统还原”，双击右边的“关闭系统还原”项选择“已启用”。然后继续定位到“计算机配置→管理模板→Windows组件→终端服务→windows Installer”双击右边的“关闭创建系统还原检查点”选择“已启用”即可。(图6)

图6 关闭系统还原