PC Ekspert Forum - View Single Post - Brisanje virusa iz System Volume Information foldera

DaTzar · 02.01.2008., 16:57

Ovaj post nije poziv u pomoć, već ga stavljam zato, kako bi možda i nekog drugog riješilo virusa do kojeg je teško doć i izbrisat bez nešto malo dodatnog poznavanja windows-a. Nije komplicirano, ali teško su uvijek svega sjetit sam. Naime, neki tvrdovratni virusi mogu se ponekad naći u folderu System Volume Information i svaki pokušaj bilo kojeg antivirus programa da taj virus izbriše ili makne u karantenu, neuspješan je, jer ''System Volume Information'' zaštiteni je folder i windows-i blokiraju svaki pokušaj dostupa do njegovog sadržaja. U tom folderu kojeg ima svaki disk i svaka njegova particija, zapisuju se podaci koji su potrebni pri vračanju sistema nekoliko koraka u natrag (system restoration points) u slućaju da u sistemu napravimo neke korake s kojima kasnije nismo zadovoljni. Ako se u takvom folderu nađe spyware, adware, trojanac ili neki drugi virus, ne preostaje drugo nego izbrisati ga ručno, jer vračanje sistema u natrag često nije dobro riješenje, pogotovo ako nismo sigurni kojeg datuma je infekcija stigla na disk, a vračanjem sistema gubimo i podatke koji su možda toliko važni da ih jednostavno ne želimo izgubiti. Uz to gubimo i svaki ''update'' i velika je mogućnost da se neki programi više neće odazivati pravilno.

U slijedećih nekoliko rijećenica objasnit ću svoj primjer koji sam imao tek nedavno:

Već 2 god. kao antivirus i firewall koristim BitDefender i jako sam zadovoljan njime. Krenuo sam s BitDefender-om 9 Professional Plus, a sad imam instaliran BitDefender 2008 Total Internet Security s valjanom licencijom, pa tako i redovito primam update-ove. Istina, da taj program nešto malo uspori računalo jer skenira baš svaku datoteku koju kliknem i svaki program kojeg otvaram, ali na račun toga, zaštita koju nudi je odlična. Uz to imam instaliran i Ad-Aware 2007, SpyBot i Windows Defender, koje isto tako redovito update-am. Budući da imam ADSL s neograničenim upload-om i download-om 0-24h, internet koristim vrlo često, pa isto tako često i skeniram disk i redovito brišem adware, spyware, tracking cookies i tu i tamo koji virus. To uvijek radim po redu: najprije pokrenem Ad-Aware na ''full scan'' i brišem sve što nađe. Zatim pokrenem SpyBot-a za slućaj ako je Ad-Aware nešto izostavio. Na kraju još jednom sve skeniram s BitDefenderom na ''deep system scan'' i ako je još uvijek ipak neka infekcija ostala, BitDefender to riješi i PC je čist k'o suza.

Tako je bilo 2 godine, sve do nedavno...
Jedan od diskova koji koristim kao backup disk i na njega trpam filmove, glasbu i programe koje skinem s net-a, počeo se čudno ponašati.L Filmove na njemu ponekad je otvaralo, a ponekad i ne, a događale su se i ostale bezvezne stvari, pa sam ga krenuo skenirati, najprije s Ad-Aware-om. Prema kraju skeniranja tog diska s Ad-Aware-om, javio se i BitDefender (iako u tom trenutku nije skenirao na full, bio je uključen kao i uvijek i skenirao je u pozadini). Ispisao je, da je na disku nađen virus Adware.Gator.C i to u folderu H:\System Volume Information\_restore{F3D43099-79FB-4E26-945E-DRP802}\A0080334.exe(VISE Installer o)èGain_Trickler.exe

Važno: Ispišite si kompletan redak lokacije virusa, kako bi ga kasnije što lakše našli!!!!

Ad-Aware u tom slućaju nije našao ništa, a ovo što je našao BitDefender sigurno nije datoteka koju upotrebljava Ad-Aware za svoj rad, jer Ad-Aware i BitDefender imam instalirane na sasvim drugom disku. Uz to, svaki pokušaj da s BitDefenderom izbrišem taj file ili ga prenesem u karantenu, bio je uzalud, jer je BitDefenderjavljao kako nema pristupa do te datoteke- pristup zabranjen. Problem- virus je još tu!

Dakle, kako izbrisati nešto što se izbrisati ne da i do čega je zabranjen pristup?? Evo riješenja:
Ako imate Windows XP Home Edition, morate pokrenuti vaš PC u safe mode-u i logirati se kao administrator koji ima pristup do svih datoteka i opcija, tj, puni, neograničeni pristup.

Ako imate Windows XP Professional, morate pokrenuti vaš PC u safe mode-u i logirati se kao administrator koji ima pristup do svih datoteka i opcija, tj, puni, neograničeni pristup. Nakon toga, potrebno je onemogučiti Simple File Sharing. Pod default-om Windows XP Professional koristi ''Simple File Sharing'' kada računalo nije u zajedničkoj domeni.

Resetirajte i pokrenite Windows-e u Safe mode-u: StartàTurn Off Computer/ShutdownàRestart
Dok se PC restart-a, stisnite tipku F8 toliko puta, dok se ne pojavi Safe Mode ekran. Odaberite Safe Mode i stisnite Enter. Logirajte se s računom (account-om) koji ima Administrativna prava, kako biste dobili potpuni dostup svemu na tom PC-u.

1.) Otvorite Windows Explorer
2.) U Tools menu-ju kliknite Folder Options
3.) U View tab-u kliknite Show hidden files and folders
4.) Vrijedi za oboje Windows-e (Home & Professional): Očistite polje Hide protected operating system files (Recomended). Kliknite Yes kad vas pita za potvrdu promjene postavke.
5.) Vrijedi za Windows XP Professional: Očistite polje Use Simple File Sharing (Recomended)
6.) Kliknite OK
7.) Odaberite disk na kojem je zaražena datoteka i kliknite na njega. Zatim desnim gumbom kliknite na njegov System Volume Information i lijevim gumbom na Properties.
8.) Kliknite Security tab (U normalnom mode-u windows-a ova opcija nije dostupna, zato to radimo u safe mode-u).
9.) Kliknite Add i u donjem trećem redu utipkajte ime svojeg računa (account) s kojim ste se logirali u Windows Safe Mode. Možete i prepisati neku rijeć iz gornjeg (1.) reda, npr.: Group Kliknite OK, Apply i opet OK.
10.) 2x kliknite na System Volume Information diska na kojem je zaražena datoteka i taj folder se napokon otvara!

U nastavku opet ću objasniti postupak brisanja na vlastitom primjeru:

Kad sam napokon otvorio taj ''zabranjeni'' folder, preostalo je još samo locirati infekciju i izbrisati ju. Jer sam prethodno ispisao lokaciju zaražene datoteke koju mi je javio BitDefender, ja sam svoj virus našao ovdje: H:\System Volume Information\{F3D43099-79FB-4E26-945E-DRP802}\RP802\A0080304.exe
Izbrisao sam datoteku A0080304.exe i ispraznio Recycle Bin.
Zatim sam opet kliknuo StartàTurn Off Computer -->Restart
Za povratak iz Safe Mode-a u normalan rad Windows-a nakon restart-a nije potrebno ništa osim malo pričekati, Windows-i se podignu u normal mode sami od sebe. Yeeee

Da budem siguran kako virusa više nema, pokrenuo sam skeniranje još jednom i.. voila! Virusa više nema, moj komp je opet čist!

P.S.: Ako itko ima isti problem a do sad ga nije znao riješiti, preporučujem printanje ovog teksta, zatim ga slijediti i stvar mora funkcionirati!

Pozdrav!
Mario.

02.01.2008., 16:57	#1
DaTzar Registered User Datum registracije: Jan 2008 Lokacija: Črnomelj Postovi: 4	Brisanje virusa iz System Volume Information foldera Ovaj post nije poziv u pomoć, već ga stavljam zato, kako bi možda i nekog drugog riješilo virusa do kojeg je teško doć i izbrisat bez nešto malo dodatnog poznavanja windows-a. Nije komplicirano, ali teško su uvijek svega sjetit sam. Naime, neki tvrdovratni virusi mogu se ponekad naći u folderu System Volume Information i svaki pokušaj bilo kojeg antivirus programa da taj virus izbriše ili makne u karantenu, neuspješan je, jer ''System Volume Information'' zaštiteni je folder i windows-i blokiraju svaki pokušaj dostupa do njegovog sadržaja. U tom folderu kojeg ima svaki disk i svaka njegova particija, zapisuju se podaci koji su potrebni pri vračanju sistema nekoliko koraka u natrag (system restoration points) u slućaju da u sistemu napravimo neke korake s kojima kasnije nismo zadovoljni. Ako se u takvom folderu nađe spyware, adware, trojanac ili neki drugi virus, ne preostaje drugo nego izbrisati ga ručno, jer vračanje sistema u natrag često nije dobro riješenje, pogotovo ako nismo sigurni kojeg datuma je infekcija stigla na disk, a vračanjem sistema gubimo i podatke koji su možda toliko važni da ih jednostavno ne želimo izgubiti. Uz to gubimo i svaki ''update'' i velika je mogućnost da se neki programi više neće odazivati pravilno. U slijedećih nekoliko rijećenica objasnit ću svoj primjer koji sam imao tek nedavno: Već 2 god. kao antivirus i firewall koristim BitDefender i jako sam zadovoljan njime. Krenuo sam s BitDefender-om 9 Professional Plus, a sad imam instaliran BitDefender 2008 Total Internet Security s valjanom licencijom, pa tako i redovito primam update-ove. Istina, da taj program nešto malo uspori računalo jer skenira baš svaku datoteku koju kliknem i svaki program kojeg otvaram, ali na račun toga, zaštita koju nudi je odlična. Uz to imam instaliran i Ad-Aware 2007, SpyBot i Windows Defender, koje isto tako redovito update-am. Budući da imam ADSL s neograničenim upload-om i download-om 0-24h, internet koristim vrlo često, pa isto tako često i skeniram disk i redovito brišem adware, spyware, tracking cookies i tu i tamo koji virus. To uvijek radim po redu: najprije pokrenem Ad-Aware na ''full scan'' i brišem sve što nađe. Zatim pokrenem SpyBot-a za slućaj ako je Ad-Aware nešto izostavio. Na kraju još jednom sve skeniram s BitDefenderom na ''deep system scan'' i ako je još uvijek ipak neka infekcija ostala, BitDefender to riješi i PC je čist k'o suza. Tako je bilo 2 godine, sve do nedavno... Jedan od diskova koji koristim kao backup disk i na njega trpam filmove, glasbu i programe koje skinem s net-a, počeo se čudno ponašati.L Filmove na njemu ponekad je otvaralo, a ponekad i ne, a događale su se i ostale bezvezne stvari, pa sam ga krenuo skenirati, najprije s Ad-Aware-om. Prema kraju skeniranja tog diska s Ad-Aware-om, javio se i BitDefender (iako u tom trenutku nije skenirao na full, bio je uključen kao i uvijek i skenirao je u pozadini). Ispisao je, da je na disku nađen virus Adware.Gator.C i to u folderu H:\System Volume Information\_restore{F3D43099-79FB-4E26-945E-DRP802}\A0080334.exe(VISE Installer o)èGain_Trickler.exe Važno: Ispišite si kompletan redak lokacije virusa, kako bi ga kasnije što lakše našli!!!! Ad-Aware u tom slućaju nije našao ništa, a ovo što je našao BitDefender sigurno nije datoteka koju upotrebljava Ad-Aware za svoj rad, jer Ad-Aware i BitDefender imam instalirane na sasvim drugom disku. Uz to, svaki pokušaj da s BitDefenderom izbrišem taj file ili ga prenesem u karantenu, bio je uzalud, jer je BitDefenderjavljao kako nema pristupa do te datoteke- pristup zabranjen. Problem- virus je još tu! Dakle, kako izbrisati nešto što se izbrisati ne da i do čega je zabranjen pristup?? Evo riješenja: Ako imate Windows XP Home Edition, morate pokrenuti vaš PC u safe mode-u i logirati se kao administrator koji ima pristup do svih datoteka i opcija, tj, puni, neograničeni pristup. Ako imate Windows XP Professional, morate pokrenuti vaš PC u safe mode-u i logirati se kao administrator koji ima pristup do svih datoteka i opcija, tj, puni, neograničeni pristup. Nakon toga, potrebno je onemogučiti Simple File Sharing. Pod default-om Windows XP Professional koristi ''Simple File Sharing'' kada računalo nije u zajedničkoj domeni. Resetirajte i pokrenite Windows-e u Safe mode-u: StartàTurn Off Computer/ShutdownàRestart Dok se PC restart-a, stisnite tipku F8 toliko puta, dok se ne pojavi Safe Mode ekran. Odaberite Safe Mode i stisnite Enter. Logirajte se s računom (account-om) koji ima Administrativna prava, kako biste dobili potpuni dostup svemu na tom PC-u. 1.) Otvorite Windows Explorer 2.) U Tools menu-ju kliknite Folder Options 3.) U View tab-u kliknite Show hidden files and folders 4.) Vrijedi za oboje Windows-e (Home & Professional): Očistite polje Hide protected operating system files (Recomended). Kliknite Yes kad vas pita za potvrdu promjene postavke. 5.) Vrijedi za Windows XP Professional: Očistite polje Use Simple File Sharing (Recomended) 6.) Kliknite OK 7.) Odaberite disk na kojem je zaražena datoteka i kliknite na njega. Zatim desnim gumbom kliknite na njegov System Volume Information i lijevim gumbom na Properties. 8.) Kliknite Security tab (U normalnom mode-u windows-a ova opcija nije dostupna, zato to radimo u safe mode-u). 9.) Kliknite Add i u donjem trećem redu utipkajte ime svojeg računa (account) s kojim ste se logirali u Windows Safe Mode. Možete i prepisati neku rijeć iz gornjeg (1.) reda, npr.: Group Kliknite OK, Apply i opet OK. 10.) 2x kliknite na System Volume Information diska na kojem je zaražena datoteka i taj folder se napokon otvara! U nastavku opet ću objasniti postupak brisanja na vlastitom primjeru: Kad sam napokon otvorio taj ''zabranjeni'' folder, preostalo je još samo locirati infekciju i izbrisati ju. Jer sam prethodno ispisao lokaciju zaražene datoteke koju mi je javio BitDefender, ja sam svoj virus našao ovdje: H:\System Volume Information\{F3D43099-79FB-4E26-945E-DRP802}\RP802\A0080304.exe Izbrisao sam datoteku A0080304.exe i ispraznio Recycle Bin. Zatim sam opet kliknuo StartàTurn Off Computer -->Restart Za povratak iz Safe Mode-a u normalan rad Windows-a nakon restart-a nije potrebno ništa osim malo pričekati, Windows-i se podignu u normal mode sami od sebe. Yeeee Da budem siguran kako virusa više nema, pokrenuo sam skeniranje još jednom i.. voila! Virusa više nema, moj komp je opet čist! P.S.: Ako itko ima isti problem a do sad ga nije znao riješiti, preporučujem printanje ovog teksta, zatim ga slijediti i stvar mora funkcionirati! Pozdrav! Mario. Zadnje izmijenjeno od: DaTzar. 02.01.2008. u 17:09.