Решена Зачем нужна папка System Volume Information на флешке?

Тема в разделе "Microsoft Windows 7", создана пользователем Phoenix, 2 фев 2014.

  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    Dragokas, Чем опасна эта папка ? Не могу толком найти по теме.
    E:\System Volume Information\IndexerVolumeGuid = {81497DE0-D744-4977-876E-461DF8CD934E}
    D:\System Volume Information\IndexerVolumeGuid = {8AABD888-3FD6-47C3-BF39-43C739B88EB0}
     
  2. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Phoenix, в смысле? - Зачем я удаляю ее на флешке?
    Recovery Point не создаются на флешках :)
    Значит - это мусор. Вот вири создают.
     
  3. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    А какие вири ? По именам есть информация ? Зачем вирусу GUID диска (раздела) ? :unsure: .
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Пытаются создаться если флешка отформатирована в NTFS
     
    Последнее редактирование: 3 фев 2014
    Dragokas нравится это.
  5. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    http://windows.microsoft.com/ru-ru/windows/answers?tId=bba0c161-c4ae-456b-8c85-8552558be1b8
     
    Kиpилл, orderman и Dragokas нравится это.
  6. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    254
    Симпатии:
    120
    Вирусы часто маскируются под ооочень нужные системные фишки, которые пользователь просто побоится удалять. Но на флешке System Volume Information и рециклеров с темпами быть не должно (за исключением случая, когда пользователь сам их себе скопировал). И если есть факт или подозрение заражения, то будьте добры отказаться от наличия на флешке такого материала - скопируете в следующий раз, когда с вирусами будет покончено. Или используйте папки изолированные от сканирования скриптом
    --- Объединённое сообщение, 5 фев 2014, Дата первоначального сообщения: 5 фев 2014 ---
    Восьмерка ,оказывается, не крутая а глупая. Получается, что если флешка флажком закрыта от записи, то система выдаст ошибку сохранения истории файлов? Так или иначе, при вирусной активности на флешке ничего не должно быть кроме личных файлов пользователя, и при этом не затрояненых = не вирусных по содержанию. А если проникновений не зафиксировано, то пусть валяются всякие вспомагательные файлы, но они могут нести информацию и деятельности пользователя на другой ЭВМ, что может пользователю (или его жене) не понравиться.
     
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.497
    Симпатии:
    4.312
    Мне вот интересно, зачем нужны Recovery Point на съемном накопителе...
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    можете мне назвать конкретные имена вирусов (а лучше ссылку на их описание), которые записывают себя в папку восстановления системы и потом из неё запускаются (не обязательно на флешке, можно и в системе) ? Я одно время специально их искал :).
     
  9. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    А если перевести имя папки System Volume Information ? Есть хоть одно слово про Restore Points ? ;)
    В этой папке может быть разная информация о дисках и разделах. В частности -
    Код (Text):

     Том в устройстве C имеет метку VHDD2
     Серийный номер тома: E4D6-D8A0

     Содержимое папки C:\System Volume Information

    05.02.2014  12:59    <DIR>          .
    05.02.2014  12:59    <DIR>          ..
    26.01.2014  13:33    <DIR>          chkdsk
    05.02.2014  14:28    <DIR>          efadata
    20.08.2013  23:15           8110592 klmeta.dat
    26.05.2013  09:22                 0 mountpointmanagerremotedatabase
    05.02.2014  12:26    <DIR>          spp
    05.02.2014  12:26    <DIR>          systemrestore
    26.05.2013  09:26             20480 tracking.log
                   3 файлов        8131072 байт

     Содержимое папки C:\System Volume Information\Chkdsk

    26.01.2014  13:33    <DIR>          .
    26.01.2014  13:33    <DIR>          ..
                   0 файлов              0 байт

     Содержимое папки C:\System Volume Information\EfaData

    05.02.2014  14:28    <DIR>          .
    05.02.2014  14:28    <DIR>          ..
                   0 файлов              0 байт

     Содержимое папки C:\System Volume Information\SPP

    05.02.2014  12:26    <DIR>          .
    05.02.2014  12:26    <DIR>          ..
    05.02.2014  12:36    <DIR>          onlinemetadatacache
    05.02.2014  12:37    <DIR>          sppcbshivestore
    05.02.2014  12:37    <DIR>          sppgroupcache
                   0 файлов              0 байт

     Содержимое папки C:\System Volume Information\SPP\OnlineMetadataCache

    05.02.2014  12:36    <DIR>          .
    05.02.2014  12:36    <DIR>          ..
    05.02.2014  12:26              6184 {aaf7c64d-be07-4a17-8d7e-26e960080dc2}_ondisksnapshotprop
                   1 файлов           6184 байт

     Содержимое папки C:\System Volume Information\SPP\SppCbsHiveStore

    05.02.2014  12:37    <DIR>          .
    05.02.2014  12:37    <DIR>          ..
                   0 файлов              0 байт

     Содержимое папки C:\System Volume Information\SPP\SppGroupCache

    05.02.2014  12:37    <DIR>          .
    05.02.2014  12:37    <DIR>          ..
    05.02.2014  12:37             37848 {aaf7c64d-be07-4a17-8d7e-26e960080dc2}_driverpackageinfo
    05.02.2014  12:37             16192 {aaf7c64d-be07-4a17-8d7e-26e960080dc2}_windowsupdateinfo
                   2 файлов          54040 байт

     Содержимое папки C:\System Volume Information\SystemRestore

    05.02.2014  12:26    <DIR>          .
    05.02.2014  12:26    <DIR>          ..
    05.02.2014  12:26    <DIR>          frstaging
                   0 файлов              0 байт

     Содержимое папки C:\System Volume Information\SystemRestore\FRStaging

    05.02.2014  12:26    <DIR>          .
    05.02.2014  12:26    <DIR>          ..
                   0 файлов              0 байт

         Всего файлов:
                   6 файлов        8191296 байт
                  26 папок      7234953216 байт свободно

     
     
    Последнее редактирование: 5 фев 2014
  10. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    254
    Симпатии:
    120
    Утилита Касперского (не вирус но...) сохраняет образ в папке СистемВолюм... и не удаляется до перезагрузки компьютера. После перезагрузки - есть, но удаляется. Но если Вы настаиваете (искали), то я не буду спорить (не сскал), однако буду тоже настаивать. Должны быть вирусы, которые заражают собой точки восстановления, и если кто то копирует на флешку всю папку, то очень рискует восстановить и вирус. Должны - потому что это удобный и надежный способ выживания в системме (одна из задач вируса - выжить)
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Я правильно вас понял, что AVPTool записывает себя System Volume Information, а после перезагрузки себя оттуда удаляет?
    Что-то такого я за ним не припомню (как и за другими программами), хотя смотрел все его версии ;). Если настаиваете на своём то назовите номер версии AVPTool, которое подобное делает или лучше залейте её на обменник ;).
     
  12. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    254
    Симпатии:
    120
    Не
    себя копирует, а файл образа со случайным именем. И не удаляет - оставляет как мусор (?) или специально. Но этот файл не удаляется даже после завершения работы утилиты (удал только после перезагрузки, или УнЛокером). Ссылка (не сочтите за рекламу) http://www.kaspersky.com/antivirus-removal-tool?form=1
    --- Объединённое сообщение, 5 фев 2014 ---
    (в на чале пред. сообщения - "Не себя..." (Извините за опечатку)
    --- Объединённое сообщение, 5 фев 2014, Дата первоначального сообщения: 5 фев 2014 ---
    Сайт глючит? (на_чале) Опечатка появляется после отправки ответа.
     
    Последнее редактирование: 5 фев 2014
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    поясните что по вашему мнению он туда копирует. Какой образ?
    А лучше возьмите сами и убедитесь, что сама утилита в эту папку ничего не копирует! Туда копирует только восстановление системы, конечно же после деинсталяции AVPTool от туда потом и не удаляется. А удаляя помощью анлокера вы портите точку восстановления и делаете невозможным восстановление с неё при необходимости. Надеюсь вопрос закрыт, а то от Anti Hidden уже сильно в сторону ушли.
     
  14. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    254
    Симпатии:
    120
    Да. Закрываем подтему про СистемВолюме... А Anti Hidden пусть эту папку на флешке все же чистит. Отличный скрипт. Если надо спасти СВОИ файлы - спасет, а системные... Он правильно себя ведет
     
  15. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    http://forum.kaspersky.com/index.php?showtopic=258693&view=findpost&p=2031186
    Да папка системная и ничего удивительного, если программы её используют.
    Тема создания и использования System Volume Information на съёмных дисках не раскрыта..
     
    Dragokas нравится это.
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    «System Volume Information» — это скрытая системная папка, которая используется программой восстановления системы для хранения своих данных и точек восстановления. Такая папка создается в каждом разделе жесткого диска , на каждом доступном для записи диске, туда система копирует программные файлы, подвергшиеся изменениям,историю, хранит отчеты по процедурам очистки диска от мусора , информацию о сжатии файловых массивов (при формате NTFS), хранит бэкапы определенных компонентов Windows и пользовательских программ (в подкаталогах "restore") и т.д.
     
    Последнее редактирование: 6 фев 2014
    Dragokas и Phoenix нравится это.
  17. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    ++И отчёты chkdsk, если я ничего не путаю..
    Что такое корзина ?! Предлагаю исследовать.
    Пришёл к выводу, что вирусы просто используют систему, как хотят.
    Recycler
    Recycled
    $RECYCLE.BIN
     
    Последнее редактирование: 9 апр 2014
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    И да и нет. Есть такая штука, как иммунизатор флешки, например от BitDefender или Panda и пр.
    Так вот, если вы иммунизируете флешку одной из этих программ (в моем случае от BD), то потом сможете лицезреть такую же папку System Volume Information на этой флешке наряду с защищенным файлом autorun.inf. Когда и отчего она появляется, не замечал, скорее всего от того, что флешка вставляется во всяко-разные компы, где может жить любая вирусня.
    Эта папка легко удаляется и, конечно же, не содержит точек восстановления. А файл autorun.inf от иммунизатора можно убрать с флешки только её форматированием. И в данном случае неважно, с какой файловой системой она работает.
    Некоторые флешки не поддаются иммунизации по двум причинам: вендорский глюк в ware флешки, или повреждение в ware флешки, в таком случае на флешке вместо файла autorun.inf создается папка autorun.inf или не создается ничего - ошибка иммунизации. Будет ли создаваться папка System Volume Information в таком случае - не наблюдал, не сравнивал, но скорее всего - нет, т.к. если иммунизатор не смог выполнить задачу, то флешка работает как обычная.
    --- Объединённое сообщение, 9 апр 2014, Дата первоначального сообщения: 9 апр 2014 ---
    Если система архивации в Windows последних версий работает и не отключена, то там будет неудаляемое содержимое.
    Чтобы от него избавиться, надо Архивацию Windows отключить, ПК перезагрузить и они исчезнут сами или с вашей помощью. Или же с помощью удобной команды в uVS.
    --- Объединённое сообщение, 9 апр 2014 ---
    Да, и эти папки тоже. А что там исследовать? Старо как мир.
     
    Последнее редактирование: 9 апр 2014
  19. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.856
    Симпатии:
    1.842
    Ладно флэшку, а вот съёмный диск на 750гб. не очень то отформатируешь.
    Вот чем хороши системы unix-based - всё можно удалить.
    Это доступ к защитным папкам от Anti_Hidden_fast_ru_v.1.7
    Код (Text):
    $ dir /media/phoenix/01CDCDA021EFAF70/autorun.inf/ -R -Z
    /media/phoenix/01CDCDA021EFAF70/autorun.inf/:
    ? com1    ? defence  ? Dragokas..
    /media/phoenix/01CDCDA021EFAF70/autorun.inf/com1:
    /media/phoenix/01CDCDA021EFAF70/autorun.inf/defence:
    /media/phoenix/01CDCDA021EFAF70/autorun.inf/Dragokas..:
    и удаление.
    Защита от Panda USB Vaccine
    файл - autorun.inf
    его содержание - caacaacaacaacaa
    в windows не доступен даже на чтение, в linux спокойно открывается и удаляется. (атрибуты HX)
     
    Последнее редактирование: 9 апр 2014
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Это защитный autorun.inf от иммунизатора. Для локального диска он им не создается.

    Пингвинтус удаляет потому, что эти файлы не используются его системой.

    Поэкспериментируй еще с иммунизатором от BD
    http://labs.bitdefender.com/projects/usb-immunizer/overview/
     
    Последнее редактирование: 9 апр 2014

Поделиться этой страницей