Системные папки

[Gogent]

Всем привет!
Недавно установил себе Dr.Web и обнаружил, что все удаленные файлы лежат в папках System Volume Information и RECYCLE. Впрочем, это меня не сильно удивило. Доктор пока сканировал эти области нашел 12 вирусов, но из-за размера папок не смог досканировать и после 6 часов сканирования я его выключил, ибо ночь наступала. Ничего сделать с этими вирусами я не мог-кнопки на удаление и пр. были неактивны.
Если я сейчас натравлю на эти папки программу, которая перешифровывает удаленные данные, она поидее перепишет и файлы с вирусами. Единственное, что-не будет ли потом система ругаться, и вообще, поможет ли это?

[haruhi]

всё что находится в папке System Volume Information можно смело удалять (разумеется саму папку удалить не получится). открываем папку выделяем всё и удаляем несмотря на предупреждения. Побочный эффект - все точки восставновления будут потеряны. (System Volume Information хранит информацию о точках восстановления).

[Guy]

Они вам мешают ? Пусть хранит

[Gogent]

дело в том, что у меня некоторые программы стали работать с небольшими ошибками, причем после переустановки виндоус, программы переустановил, но не помогло
а отчего эти ошибки еще могут быть, я не знаю

[valerij]

Цитата:

Сообщение от haruhi

всё что находится в папке System Volume Information можно смело удалять (разумеется саму папку удалить не получится).

папка System Volume Information -любимое место для вирусов и антивирусы не могут от туда, ничего удалить.
Эти папки, есть во всех дисках. Поэтому, переставив ОС, все одно заражается.
Что бы удалить папку System Volume Information, нужно загрузится с LiveCD и от туда, дав разрешение, удалить ЭТИ папки во всех дисках.
Но стоит перезагрузится, эти папки появятся вновь, поэтому, там же, LiveCD, создаем текстовый файл и переименуем его в System Volume Information, без разрешения(.txt).
Вот и все, больше этих папок не будет.

[haruhi]

Цитата:

Сообщение от valerij

Что бы удалить папку System Volume Information, нужно загрузится с LiveCD и от туда, дав разрешение, удалить ЭТИ папки во всех дисках.
Но стоит перезагрузится, эти папки появятся вновь, поэтому, там же, LiveCD, создаем текстовый файл и переименуем его в System Volume Information, без разрешения(.txt).
Вот и все, больше этих папок не будет.

папка System Volume Information хранит точки восстановления системы, так стоит делать только если они не нужны, а иногда точки восстановления бывают очень полезны

[Fainder]

LiveCD не нужен, в свойствах папки открываем себе полный доступ к ним (нужны привелегии администратора) и делаем, что нужно, незабывая, что

Цитата:

папка System Volume Information хранит точки восстановления системы

Если эти точки не нужны, запрещаем доступ к папкам пользователю system и получаем папку в свои руки. Никаких махинаций с пустыми файлами не нужно, а вот удалять действительно не стоит, т.к. система их воссоздаст.
Можно использовать как контейнер для документов/фильмов и т.д.

[valerij]

Цитата:

Сообщение от Fainder

а вот удалять действительно не стоит, т.к. система их воссоздаст..

Ни чего система не воссоздаст, есть файл с именем, зачем системе, еще один воссоздавать?
Когда ставится ОС, там точки восстановления, но только новички, пользуются, восстановлением. От вирусов эта операция не спасет.

1. Удалить из под ОС не получится, попробуйте.
2. Вот так выглядит после удаления, как видно второго файла SVI, нет и не будет.

Да, забыл добавить, все это не относится к системному диску "С"(там делается по другому), но и вирусы "садятся" в эту папку на др. дисках.

Нашел в своих архивах, перевод с англоязычного ресурсу

Есть способ избавиться от создания папок "Recycler" и "System Volume Information". Я был ооочень раздражен этими самовостонавливающимися директориями, поэтому я присмотрелся к ним поближе и нашел такой вот способ.

Причина созданания этих папок "зашита" достаточно глубоко в системные файлы, поэтому вы должны понимать, что вы делаете. Я ВАС ПРЕДУПРЕДИЛ...

1) Сделайте полный бэкап вашего жесткого диска. Вы собираетесь приложить свои шаловливые ручки к системным файлам, поэтому не расслабляйтесь. Что-то может пойти не так, как вы себе планировали. И было бы не плохо иметь загрузочный CD под рукой на случай, если придется восстанавливать вашу систему...

2) Вам потребуется программа, которая способна истать хекс-значения, например, Total Commander.
Найдите на диске с системой следующее хекс-значение: "530079007300740065006D00200056006F 006C0075006D006500200049006E0066006 F0072006D006100740069006F0
06E", которое есть ничто иное как "S y s t e m V o l u m e I n f o r m a t i o n" - это так выглядит название этой папки в исполнительных файлах. Обратите внимание, что между буквами непросто обычные пробелы, а хекс-значения hex00, почему мы и используем такой вариант для поиска.

3) Результат поиска должен выдать вам несколько файлов. Теперь вам придется искать то же самое значение внутри каждого из этих файлов, но уже с помощью какого-нибудь хекс-редактора. В каждом найденом случае заменяйте это значение, например, задавая ему порядковый номер (замените "S y s t e m" на "S y s 0 0 1" и далее по порядку). Не забывайте делать для себя пометки: какому файлу соответствует какой порядковый номер. Эта операция, проведенная со всеми найденными файлами, позволит вам в дальнейшем определить "виновника" создания этой папки. Сделать это можно будет по номеру в новом имени папки.
У меня этим файлом оказался "ntoskrnl.exe" в системной папке system32.

4) Скопируйте этот файл в другую папку. С помощью хекс-редактора измените SVI на "C:\WINDOWS\TEMP". Загрузитесь в консоль восстановления и замените оригинальный файл на измененный. (Не забудьте также о директории dllcache - или удалите из нее все файлы, или заместите этот файл также и в ней.)

ТЕПЕРЬ ВЫ НАКОНЕЦ-ТО ИЗБАВИЛИСЬ ОТ SVI ДИРЕКТОРИЙ...

5) Удалите из своей системы все существующие SVI директории (это можно сделать приведенным выше скриптом). Теперь попробуйте потестировать вашу систему на стабильность работы. Где-то через 3-4 дня вы можете восстановить из бэкапа те файлы, которые подверглись модификации.

Тоже самое можно проделать с папкой Recycler. Найдите строчку "520045004300590043004C00450052 " и замените ее хексовым значением из 20 символов, которое равно пробелу. Для моей системы это было shell32.dll в системной папке system32.

И еще раз: вы должны понимать, что вы делаете... Для примера: если вы замените SVI 20 символами в хекс-формате, то вы можете получить симпатичную папочку вообще без имени, которую будет очень трудно удалить из системы...

Итак, обе папки создаются разными файлами.

[Gogent]

Даже страшно стало от прочитанного)
Я дуб конечно, но если файлы восстанавливаются, они восстанавливаются откуда-то
вряд ли есть дублирующие инфу папки
я ведь не просто удалить хочу-программа может перписать шифром файлы от 2 до 35 раз перезаписи(алгоритм гутмана)
тогда востановить виндоус ничего не сможет-так?
ведь так намного проще

[haruhi]

иногда восстановление системы просто напросто выручает, но чаще всего от него совершенно нулевая польза (как итог бестолковая расходование места на жёстком диске).
у меня (XP SP3) на двух разделах отключено восстановление системы, так вот именно в этих разделах папка System Volume Information существует, но доступ к ней получить нельзя. вот такие фокусы.... а остальных двух разделах восстановление включено, и вот как раз на них с папкой (вернее с её сожержимым) можно делать всё что угодно