Brisanje virusa iz System Volume Information foldera

[DaTzar]

Ovaj post nije poziv u pomoć, već ga stavljam zato, kako bi možda i nekog drugog riješilo virusa do kojeg je teško doć i izbrisat bez nešto malo dodatnog poznavanja windows-a. Nije komplicirano, ali teško su uvijek svega sjetit sam. Naime, neki tvrdovratni virusi mogu se ponekad naći u folderu System Volume Information i svaki pokušaj bilo kojeg antivirus programa da taj virus izbriše ili makne u karantenu, neuspješan je, jer ''System Volume Information'' zaštiteni je folder i windows-i blokiraju svaki pokušaj dostupa do njegovog sadržaja. U tom folderu kojeg ima svaki disk i svaka njegova particija, zapisuju se podaci koji su potrebni pri vračanju sistema nekoliko koraka u natrag (system restoration points) u slućaju da u sistemu napravimo neke korake s kojima kasnije nismo zadovoljni. Ako se u takvom folderu nađe spyware, adware, trojanac ili neki drugi virus, ne preostaje drugo nego izbrisati ga ručno, jer vračanje sistema u natrag često nije dobro riješenje, pogotovo ako nismo sigurni kojeg datuma je infekcija stigla na disk, a vračanjem sistema gubimo i podatke koji su možda toliko važni da ih jednostavno ne želimo izgubiti. Uz to gubimo i svaki ''update'' i velika je mogućnost da se neki programi više neće odazivati pravilno.

U slijedećih nekoliko rijećenica objasnit ću svoj primjer koji sam imao tek nedavno:

Već 2 god. kao antivirus i firewall koristim BitDefender i jako sam zadovoljan njime. Krenuo sam s BitDefender-om 9 Professional Plus, a sad imam instaliran BitDefender 2008 Total Internet Security s valjanom licencijom, pa tako i redovito primam update-ove. Istina, da taj program nešto malo uspori računalo jer skenira baš svaku datoteku koju kliknem i svaki program kojeg otvaram, ali na račun toga, zaštita koju nudi je odlična. Uz to imam instaliran i Ad-Aware 2007, SpyBot i Windows Defender, koje isto tako redovito update-am. Budući da imam ADSL s neograničenim upload-om i download-om 0-24h, internet koristim vrlo često, pa isto tako često i skeniram disk i redovito brišem adware, spyware, tracking cookies i tu i tamo koji virus. To uvijek radim po redu: najprije pokrenem Ad-Aware na ''full scan'' i brišem sve što nađe. Zatim pokrenem SpyBot-a za slućaj ako je Ad-Aware nešto izostavio. Na kraju još jednom sve skeniram s BitDefenderom na ''deep system scan'' i ako je još uvijek ipak neka infekcija ostala, BitDefender to riješi i PC je čist k'o suza.

Tako je bilo 2 godine, sve do nedavno...
Jedan od diskova koji koristim kao backup disk i na njega trpam filmove, glasbu i programe koje skinem s net-a, počeo se čudno ponašati.L Filmove na njemu ponekad je otvaralo, a ponekad i ne, a događale su se i ostale bezvezne stvari, pa sam ga krenuo skenirati, najprije s Ad-Aware-om. Prema kraju skeniranja tog diska s Ad-Aware-om, javio se i BitDefender (iako u tom trenutku nije skenirao na full, bio je uključen kao i uvijek i skenirao je u pozadini). Ispisao je, da je na disku nađen virus Adware.Gator.C i to u folderu H:\System Volume Information\_restore{F3D43099-79FB-4E26-945E-DRP802}\A0080334.exe(VISE Installer o)èGain_Trickler.exe

Važno: Ispišite si kompletan redak lokacije virusa, kako bi ga kasnije što lakše našli!!!!

Ad-Aware u tom slućaju nije našao ništa, a ovo što je našao BitDefender sigurno nije datoteka koju upotrebljava Ad-Aware za svoj rad, jer Ad-Aware i BitDefender imam instalirane na sasvim drugom disku. Uz to, svaki pokušaj da s BitDefenderom izbrišem taj file ili ga prenesem u karantenu, bio je uzalud, jer je BitDefenderjavljao kako nema pristupa do te datoteke- pristup zabranjen. Problem- virus je još tu!

Dakle, kako izbrisati nešto što se izbrisati ne da i do čega je zabranjen pristup?? Evo riješenja:
Ako imate Windows XP Home Edition, morate pokrenuti vaš PC u safe mode-u i logirati se kao administrator koji ima pristup do svih datoteka i opcija, tj, puni, neograničeni pristup.

Ako imate Windows XP Professional, morate pokrenuti vaš PC u safe mode-u i logirati se kao administrator koji ima pristup do svih datoteka i opcija, tj, puni, neograničeni pristup. Nakon toga, potrebno je onemogučiti Simple File Sharing. Pod default-om Windows XP Professional koristi ''Simple File Sharing'' kada računalo nije u zajedničkoj domeni.

Resetirajte i pokrenite Windows-e u Safe mode-u: StartàTurn Off Computer/ShutdownàRestart
Dok se PC restart-a, stisnite tipku F8 toliko puta, dok se ne pojavi Safe Mode ekran. Odaberite Safe Mode i stisnite Enter. Logirajte se s računom (account-om) koji ima Administrativna prava, kako biste dobili potpuni dostup svemu na tom PC-u.

1.) Otvorite Windows Explorer
2.) U Tools menu-ju kliknite Folder Options
3.) U View tab-u kliknite Show hidden files and folders
4.) Vrijedi za oboje Windows-e (Home & Professional): Očistite polje Hide protected operating system files (Recomended). Kliknite Yes kad vas pita za potvrdu promjene postavke.
5.) Vrijedi za Windows XP Professional: Očistite polje Use Simple File Sharing (Recomended)
6.) Kliknite OK
7.) Odaberite disk na kojem je zaražena datoteka i kliknite na njega. Zatim desnim gumbom kliknite na njegov System Volume Information i lijevim gumbom na Properties.
8.) Kliknite Security tab (U normalnom mode-u windows-a ova opcija nije dostupna, zato to radimo u safe mode-u).
9.) Kliknite Add i u donjem trećem redu utipkajte ime svojeg računa (account) s kojim ste se logirali u Windows Safe Mode. Možete i prepisati neku rijeć iz gornjeg (1.) reda, npr.: Group Kliknite OK, Apply i opet OK.
10.) 2x kliknite na System Volume Information diska na kojem je zaražena datoteka i taj folder se napokon otvara!

U nastavku opet ću objasniti postupak brisanja na vlastitom primjeru:

Kad sam napokon otvorio taj ''zabranjeni'' folder, preostalo je još samo locirati infekciju i izbrisati ju. Jer sam prethodno ispisao lokaciju zaražene datoteke koju mi je javio BitDefender, ja sam svoj virus našao ovdje: H:\System Volume Information\{F3D43099-79FB-4E26-945E-DRP802}\RP802\A0080304.exe
Izbrisao sam datoteku A0080304.exe i ispraznio Recycle Bin.
Zatim sam opet kliknuo StartàTurn Off Computer -->Restart
Za povratak iz Safe Mode-a u normalan rad Windows-a nakon restart-a nije potrebno ništa osim malo pričekati, Windows-i se podignu u normal mode sami od sebe. Yeeee

Da budem siguran kako virusa više nema, pokrenuo sam skeniranje još jednom i.. voila! Virusa više nema, moj komp je opet čist!

P.S.: Ako itko ima isti problem a do sad ga nije znao riješiti, preporučujem printanje ovog teksta, zatim ga slijediti i stvar mora funkcionirati!

Pozdrav!
Mario.

[Purica/Tamara55]

Koristim Kaspersky antivirus i kod skeniranja on skenira i taj system volume information. To znam zato što poneki put i tamo nađe virus i ukloni ga (nema ga kod ponovnog skeniranja). Opciju Show hidden files and folders imam od same instalacije windowsa uključenu pa možda Kaspersky ne bi skenirao taj folder da nije uključena.

[DaTzar]

Probao sam i ja Kasperskog, ali sam ga imao jako kratko. Probao sam i Nod32, Zone Alarm, Pandu i F-Secure, ali na kraju sam ipak ostao na BitDefenderu, jer mi je nekako naj.

Isto tako i ja imam uvijek uključeno ''show hidden files'', po takvim fajlovima možeš čeprkati iako su sistemski, no nije preporučivo ako nisi 100% siguran da znaš što radiš...

A ovo sa ''system volume information'' je opet druga stvar. Taj folder ne možeš niti otvoriti u Windows Normal Mode, jer ti jednostavno ispiše ''Access denied'', a kad ideš na properties, security tab jednostavno nije tamo- ne postoji. Zato sam opisao postupak otvaranja tog foldera u Windows Safe Mode-u, gdje se pojavi security tab i preko toga možeš otvoriti system vol. info. folder.

Siguran sam da ti Kaspersky skenira i unutar tih foldera i sigurno bi to skenirao i da nemaš uključeno ''show hidden files'', ali nisam baš siguran da ti od tamo izbriše kakav virus ako ga uopće imaš. Brisanje bilo kakvog file-a iz tog foldera u normal mode-u je zabranjeno tako tebi, kako i antivirusnom programu. Ali opet, nisam imao Kasperskog dugo i tad kad sam ga imao, nije bilo virusa u Syst. vol. Info., pa ne znam...

[greenfly]

Možeš samo ugasit "System Restore" , i sve što ti je u System volume information folderu će bit izbrisano....


I da.......ne trebaš otić u safe mod kako bi imao pristup tom folderu,,samo trebaš maknut kvačicu sa "use simple file sharing (recomended),pa ti se Security tab pojavi...

[DaTzar]

Istina, ako system restore isključiš, to briše sve podatke u sys. vol. info folderima, ali ako ga opet uključiš i nemaš sreće, vidiš da je sve drugo nestalo, samo se virusić opet pojavio! Tako je bilo u mom slučaju, najprije sam isključio ''system restore'' i skoro sam bio siguran da će to riješiti problem, ali nije, pa sam popiz***
Isto tako, neki ljudi baš često nešto zaj*** pa vračaju sistem u natrag i trebaju te datoteke koje isključivanje ''system restore-a'' jednostavno izbriše iz ''sys.vol. info''. Sve potrebne ''zdrave'' datoteke mogu bez problema tamo ostati, a virus se može rućno izbrisati, da ni ne diraš ništa drugo.

Zašto rasturati žagom, kad možeš upotri-j-e-b-i-iti skalpel?

EDIT: Greenfly, koje Winse imaš? Ja sam morao u Safe mode na Home Edition SP2, nije išlo drugačije.

[greenfly]

Ma možeš bez beda isključit System restore.Ako koristiš tu opciju,onda je kasnije ponovo uključiš i kreiraš novi Restore Point,.

OS : W XP PRO sp2

[DaTzar]

Ima više verzija windowsa XP. Ti imaš XP Professional Service Pack 2 i vjerojatno imaš opciju ''use simple file sharing'' dostupnu i možeš ju isključivat i uključivat, a time dobiješ dostupan i ''security tab'', pa i ''sys. vol. info.''
Ja koristim XP Home Edition Service Pack 2 (originalne) i nemam opciju ''use simple file sharing''. Ako želim doć u ''system volume information'' folder, moram to napraviti u ''safe mode-u'' i nikako drugačije.