Dziś znów coś z zestawu sztuczek i porad.
Zdarza się tak, że trojan czy inna infekcja zagnieździ się w folderze System Volume Information, a skanery antywirusowe nie mogą usunąć zainfekowanych plików, bo są one zablokowane.
Po pierwsze: dobrze wiedzieć, czym jest ów folder. System Volume Information to miejsce, w którym Windows (począwszy od wersji XP) przechowuje pliki punktów przywracania systemu, które tworzy automatycznie. Nie mamy do niego dostępu – tak samo jak i skanery antywirusowe – bo właścicielem tego folderu jest użytkownik SYSTEM.
Przykładowy wpis z wyników skanowania AVG:
"Plik";"Infekcja";"Wynik"
"C:System Volume Information_restore{44C6CBD3-AEF5-4EC9-92F0-150A2B3D481C}RP92A0026646.exe:RKS.EXE:ns_00004";"Znaleziony wirus Win32/Small";"Zainfekowany"
"C:System Volume Information_restore{44C6CBD3-AEF5-4EC9-92F0-150A2B3D481C}RP92A0026646.exe:RKS.EXE";"Znaleziony wirus Win32/Small";"Zainfekowany"
Wirus znaleziony, ale nie usunięty. Jak więc się go pozbyć?
Istnieją dwie metody – prosta (dla wszystkich) i trudniejsza (dla użytkowników dobrze władających systemami Windows, szczególnie prawami dostępu do folderów i innych obiektów).
Jak sobie szybko i wygodnie poradzić? Kliknij prawym przyciskiem Mój komputer i wybierz Właściwości.
Interesuje Cię opcja Zaawansowane ustawienia systemu:
Po jej wybraniu ujrzysz nowe okienko.
Przejdź do zakładki Ochrona systemu (oznaczonej numerkiem 1).
Odznacz opcję odzyskiwania dla wszystkich dysków, na których infekcja została wykryta – więc jeśli w dzienniku skanowania widzisz, że szkodnik jest na D: F:, to wyłącz przywracanie tylko dla tych dysków. Ostatecznie, jeśli nie jesteś pewien, wyłącz tę funkcję dla wszystkich dysków – nic dramatycznego się przez to nie stanie.
Potwierdź, że na pewno chcesz wyłączyć przywracanie systemu i zapisz zmiany, klikając przycisk OK.
Teraz pozostaje uruchomić ponownie komputer. Windows po starcie opróżni całkowicie foldery System Volume Information (jako nie używane, bo usługa przywracania została wyłączona).
Po opróżnieniu folderów wróć do wspomnianego powyżej okna i ponownie włącz opcję przywracania systemu. Zastosuj zmiany i na koniec kliknij przycisk oznaczony numerkiem 3. Uruchomi to kreator tworzenia nowego punktu przywracania. Szczerze zalecam skorzystanie z niego właśnie w tym momencie, ponieważ wyłączając usługę (nawet na tak krótki czas), pozbawiłeś się wszystkich kopii zapasowych – zdrowy rozsądek podpowiada, aby od razu utworzyć sobie świeżą.
To wszystko co trzeba zrobić, aby uprzątnąć System Volume Information. Skoro nikt nie miał do niego dostępu, zmusiliśmy sam system do usunięcia całego folderu.
Wspominałem też o drugiej metodzie – polega ona na przejęciu folderu SVI na własność i ręcznym usunięciu zainfekowanych plików. Opcja ta ma tą zaletę, że nie tracimy wszystkich punktów przywracania. Część z nich możemy jednak uczynić bezużytecznymi, usuwając niektóre ich pliki – a w dodatku, nie będziemy nawet wiedzieli, które punkty popsuliśmy. Dowiemy się o tym dopiero po wystąpieniu dziwnych problemów przy najbliższym przywracaniu systemu. Dlatego podkreślam, że to trudniejsza droga do celu.
O przejmowaniu folderów na własność poczytać można w ładnym opisie na elektrodzie -> Nadawanie uprawnień do plików i katalogów w systemie Windows