如何看NPE（Norton Power Eraser）报告中的bad文件？？？？？？？？

白玉箫

有日志么 上传到网盘 给链接

linyinlu

我很好奇那个所谓的bad文件到底有多bad，楼主能够将报告导出吗？导出以后然后上传到云盘

fank123

白玉箫 发表于 2014-9-3 13:15
有日志么 上传到网盘 给链接

我想知道的是寻找bad文件的方法

上传日志好像没必要吧

fank123

linyinlu 发表于 2014-9-3 14:20
我很好奇那个所谓的bad文件到底有多bad，楼主能够将报告导出吗？导出以后然后上传到云盘

呵呵，我也不知道那个所谓的bad文件在哪

NPE有个勾选 Show only bad files，但我勾选了也没用

报告全部就是介样子，2万多行，没有一处高亮，报告最后的结论也差不多

<File_Information>
<Path>
c:\users\\appdata\roaming\microsoft\internet explorer\quick launch\shows desktop.lnk
</Path>
<FileVersion><></FileVersion>
<ProductVersion><></ProductVersion>
<ProductName><></ProductName>
<Company><></Company>
<Copyrights><></Copyrights>
<MD5>9A79C9E1AD63ED2E7932536570775B9F</MD5>
<SHA256>
20BADD15197EF7F52351C378A6B9204863CC114DBE1034BF86180E7E74810F86
</SHA256>
<FileSize>290</FileSize>
</File_Information>
<SideEffects Count="1">
<File>
C:\Users\\appdata\roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk
</File>
</SideEffects>
</Desktop_Shortcut>

linyinlu

fank123 发表于 2014-9-4 13:09
呵呵，我也不知道那个所谓的bad文件在哪

NPE有个勾选 Show only bad files，但我勾选了也没用

如果从这个报告的内容上看，lnk文件通常都不会作为一个病毒来看待，因为其本身只是一个指向到实际文件的链接而已。
在Win7系统下，没有找到C:\Users\AppData文件夹，但是报告中所提到的快捷方式位于C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch下。



这个快捷方式是直接指向你的桌面位置。
打开该文件夹下的desktop.ini，其文件内容为：

[LocalizedFileNames]
Shows Desktop.lnk=@%SystemRoot%\system32\shell32.dll,-10113
Window Switcher.lnk=@%SystemRoot%\system32\shell32.dll,-10114

所以，如果该快捷方式有问题的话，你最好查看下desktop.ini是否将链接指向其他文件，链接地址是否正确或者系统目录下shell32.dll是否包含病毒。

综上所述，我认为如果你不放心的话，这个文件可以删除；再重新手动创建一个同文件名同地址的快捷方式出来。

fank123

linyinlu 发表于 2014-9-4 14:08
如果从这个报告的内容上看，lnk文件通常都不会作为一个病毒来看待，因为其本身只是一个指向到实际文件的 ...

感谢热心解答，提供思路！

我复制的这小段报告，只是其中的一个文件检测结果 ，并不是哪个bad文件。

我的意思是：报告全部就是介样子，2万多行 ，没有高亮，没有一处 bad 显示， 根本无找bad文件，NPE看来是不想提供查询方法。


NPE貌似是将文件遂个与白名单核对MD5和SHA256，对破解类软件误杀较多。


呵呵，感觉您没用NPE么？

linyinlu

fank123 发表于 2014-9-5 17:10
感谢热心解答，提供思路！

我复制的这小段报告，只是其中的一个文件检测结果 ，并不是哪个bad文件。

是的，我没有用过，N360装了有4-5年了，从来没用过。可能因为自己比较有防护意识，从来没有中过病毒，不过流氓倒是装过不少
而且我觉得NPE的宗旨是仅仅匹配系统文件或者是已知的安全文件，所以，对于某些第三方的文件都会采取不信任的态度去处理，这就会带来较多的误报。
另一方面，我认为通常只有在病毒感染了系统文件，而系统盘中有较多的重要文件不能格式化磁盘——重装系统时我才会使用NPE去处理。而在现在，软件安装在D盘，重要文件存放在E盘而且又有移动硬盘和网盘双重备份的年代，几乎不会用到。

对于报告中提到的bad文件却并没有在报告中找到任何蛛丝马迹的情况来看，我认为有几种可能：
1. 这个文件本身已损坏或者文件本身在使用中，NPE无法读取或进行处理。虽然NPE查到了该文件，但是却无法通过路径或文件名显示。
2. 这个文件由于很bad，所以NPE在处理时就直接将其删除了。而在报告生成时却没有找到该文件，即先杀再生成报告，而报告系统却没有找到该文件，最终导致显示的路径和文件名为空。
3. 由于硬盘有逻辑坏道导致NPE在处理过程中仅仅查到的是这个文件的碎片而导致无法显示。

fank123

linyinlu 发表于 2014-9-5 21:48
是的，我没有用过，N360装了有4-5年了，从来没用过。可能因为自己比较有防护意识，从来没有中过 ...

在其他电脑上应用NPE扫描，什么问题都没有发现，但勾选 Show only bad files，还是出来几万行的报告，估计是NPE的bug,也许它根本就不提供bad files的路径。

linyinlu

@fank123
事实上，我现在认为所谓的"show only bad files"其实只是在扫描过程中对所有文件的一个信任度检查过程，并且我认为这与Norton Insight是一样的。
简单来说，就是NPE查到所有可能的不被信任的文件，在提交到网络进行检查时，发现该文件是可以被信任的。因此，虽然报告系统会如实的反映NPE的扫描过程，但是由于在对文件的信任度检查时没有发现任何的“不受欢迎的外来者”，所以，最终的报告根本无法提供所谓“bad file”的信息，就像前面以lnk文件为例子一样。
当然，我并不排除这也是NPE的某个bug，毕竟它的宗旨就是要查到所有不被信任的文件

ELOHIM

用一下命令行：findstr