PDA

View Full Version : Rimuovere System Volume Information su PC e chiavette usb


MarMez
24-06-2015, 07:47
Salve a tutta la community di Hwupgrade! Fino a ieri sono stato un "lurker" del forum, ma questa mattina mi sono iscritto per un problema urgente al computwr (ci tengo anche a salutarvi tutti, ma non ho trovato la sezione dedita ai nuovi arrivati :mbe: ). Premetto che ho 25 anni, e attualmente sto scrivendo da un mini iPad.

Ieri mattina sono stato all'università (studio lettere), e sono andato ai pc della facoltà di medicina. Qui ho avuto l'idea di mettere una mia chiavetta (ne possiedo 3 e le porto sempre con me), una con al suo interno il file "autorun.inf". Fino a ieri NON ho mai avuto nè virus nè problemi su di esse.
Ma ieri mattina, come ho messo la chiavetta, ho notato che tutti i file erano diventati "collegamenti". Mi è venuto non poco a mancare il cuore dato che lì tengo appunti (fra le tante cose), e mi è apparso dentro una cartella denominato System Volume Information.
E ieri sera, accendendo il pc di casa mia, ho stupidamenta inserito QUELLA chiavetta. Infettando il pc, nonché le altre due chiavette di casa. *sospiro* Sono un idiota, lo so.

Dunque, ho fatto scansione antivirus con Glary Utilities e Avira: non mi rivela niente.
Ho notato che la destinazione di tutti file dentro le tre chiavette è qualcosa tipo "cmd".
In realtà non ho perso i file dentro la chiavetta: cliccandoci riapre la cartella e ritrovo i file originali. Ora, non potendo più salvarli su chiavetta (perché ora ho tre chiavette infette, e ovviamente ora non intendo inserirne altre), ho fatto copia-incolla degli originali sul pc. Ok, magari avrò reso più critica la situazione importando file probabilmente infetti, ma ho paura di perdere tutti i file della chiavetta.
Ho usato la cancellazione definitiva di Glary Utilies (quella fuzione che proprio annichilisce i file) per rimuovere i contenuti delle chiavette, ma si rifiuta di cancellare, non so perché, il file SVI. Cancella gli altri, sì... ma dopo qualche secondo ritornano. Con la cancellazione definitiva.

Quello che temo maggiormente è la reazione di mio padre: già da due settimane sono in rapporti non proprio buoni, e con questa notizia se la prenderà a male considerando che è suo il pc :cry: Ho letto su internet un modo per rimuovere questo virus, sembra disattivando una configurazione di sistema, ma non sono sicuro di aver capito e ho preferito non seguire le istruzioni per timore di fare altri casini...
Potete aiutarmi

tallines
24-06-2015, 22:00
Ciao e benvenuto nel forum di Hardware Upgrade :)

System Volume Information è la cartella nascosta di windows che contiene i punti di ripristino che, molto spesso come in casi tipo il tuo, possono essere infetti .

Visto il tuo problema disattiva e azzera i punti di ripristino in Xp > cosi (http://exploit.blogosfere.it/2006/09/windows-inside-ripristino-di-configurazione-di-sis-1.html) e fai degli scan da modalità provvisoria > cosi (http://www.hwupgrade.it/forum/showpost.php?p=40585360&postcount=2) .

Se vuoi riporta i tre file di log che vengono creati, li metti in una cartella, cosi carichi solo la cartella, su wikisend o su un altro sito analogo .

Per le 3 pendrive infette, visto che hai già copiato i dati sul pc, da gestione computer elimini il volume e lo ricrei .

Ossia vai con il mouse sulla lettera della pendrive di cui devi eliminare il volume, tasto destro > Elimina e poi lo formatti sempre con la voce che trovi nel menu a tendina facendo tasto destro del mouse sul volume eliminato .

MarMez
28-06-2015, 22:28
Rieccomi qui!
Sono andato non poco nel panico avendo constatato di avere due virus (oltre a SVI mi sono accorto di "$Recycle.bin"). Ho scaricato due programmi anti-malware (Hitman Pro e un altro che ora non ricordo), e mi sono fatto perfino prestare il cd di Kaspersky da un amico. Ma niente, le scansioni se,bravano non rilevare una cippa.
Prima di comprendere la portata della bastardaggine di SVI ho stupidamente copiato il contenuto della mia chiavetta e messo sul pc. Questa mattina, dopo millemila scansioni e rrobe varie, tramite Glary Utilities ho visualizzato le due cartelle infami, SVI e il Recycle su C: (le due cartelle non erano visualizzabili normalmente), e tramite il programma le ho cancellate... peccato che la cartella contrassegnata SVI si sia portato com sé TUTTI i file che avevo importato dalla chiavetta infetta (qualche film e una caterva di file PDF che mi portavo dietro da anni). E, nonostante questo, nulla: non si è rimosso niente e una quarta chiavetta infetta.
Alla fine mio padre, furioso per la situazione, ha deciso di prendere in mano la situazione... e mi sono ricordato del post qui sul forum:muro: gliel'ho fatto leggere, lui ha fatto ripristino del sistema e, diamine, sembra avere funzionato! Abbiamo fatto la prova inserendo due chiavette e queste NON si sono infettate.
Io comunque, per precauzione, domani avvierò scansioni prima di dichiarare ufficialmente la situazione tornata alla normalità. Per le chiavette, l'amico che mi ha prestato il Kaspersky le aveva già sistemate e può farlo una seconda volta. Per il contenuto perso... ho visto l'opzione "recupera file cancellati" con Glary Utilities, ma ho visto che il nome di parecchi file o iniziava con "$" oppure erano numeri e lettere a caso (e anche questi preceduti da "$"), e ho preferito quindi non recuperarli per tema di un ritorno dei virus.
Ringrazio tallines per il suo consiglio, vi farò poi sapere :fagiano:

tallines
29-06-2015, 20:22
......ha fatto ripristino del sistema e, diamine, sembra avere funzionato! Abbiamo fatto la prova inserendo due chiavette e queste NON si sono infettate.
Ciao, ha fatto il Ripristino del sistema da cd originale di Xp, mettendo solo i file del SO o ha azzerato tutto formattando l' unità C e reinstallando tutto il SO ?
Per le chiavette, l'amico che mi ha prestato il Kaspersky le aveva già sistemate e può farlo una seconda volta.
Sistemate in che senso ? Che le ha formattate ?

Lo puoi fare anche tu, andando in gestione disco
Per il contenuto perso... ho visto l'opzione "recupera file cancellati" con Glary Utilities, ma ho visto che il nome di parecchi file o iniziava con "$" oppure erano numeri e lettere a caso (e anche questi preceduti da "$"), e ho preferito quindi non recuperarli per tema di un ritorno dei virus.
Ringrazio tallines per il suo consiglio, vi farò poi sapere
Consiglio di lasciar stare glary utilities e programmi simili.......che non servono a nulla..........

Se devi recuperare dei file da pendrive o da disco invece usa programmi tipo Recuva o meglio ancora TestDisk & Photorec .

MarMez
30-06-2015, 11:25
Per la prima domanda: non lo so, mio padre ha seguito le istruzioni su un sito.
Per la seconda: sì, l'amico mio mi ha fatto la disinfestazione (per la seconda volta in questa settimana) della chiavetta, per alcune ha dovuto ricorrere alla formattazione dopo la scansione con il suo Kaspersky.
Mi ha fatto notare che le chiavette infette, oltre a System Volume Information, avevano anche un trojan denominato "win.lnk.agent.gg". Su questo particolare non so se il worm è stato causato dal virus della settimana scorsa o se ce l'avevo già prima, comunque controllo ora il pc con Anti-Malware per sicurezza.
Per i file perduti li lascio stare: non voglio penarmi a recupeparli per poi rischiare il ritorno del virus, non ne vale la pena con tutta l'acidità di stomaco che ha fatto venire a mio padre:rolleyes:

tallines
30-06-2015, 21:20
Per la prima domanda: non lo so, mio padre ha seguito le istruzioni su un sito.
Se ha rimesso solo i file del SO, servono ancora scan antivirus.

Se ha azzerato tutto e rimesso ex-novo Xp, non servono gli scan .
Per la seconda: sì, l'amico mio mi ha fatto la disinfestazione (per la seconda volta in questa settimana) della chiavetta, per alcune ha dovuto ricorrere alla formattazione dopo la scansione con il suo Kaspersky.
Mi ha fatto notare che le chiavette infette, oltre a System Volume Information, avevano anche un trojan denominato "win.lnk.agent.gg". Su questo particolare non so se il worm è stato causato dal virus della settimana scorsa o se ce l'avevo già prima, comunque controllo ora il pc con Anti-Malware per sicurezza.
Se non hai dati da salvare o cose importanti, fai prima a formattare la pendrive, cosi le infezioni spariscono .

MarMez
16-07-2015, 20:27
Rieccomi qui, dopo circa un mese di distanza. Chiedo scusa per l'assenza, ma sono stato impegnato con un esame in facoltà.
Dunque, per quelli che mi chiedevano com'era andato il ripristino di distema: abbiamo fatto scansioni anti-virus, e non è risultato esserci niente. Per fortuna.
Per fare una prova abbiamo rimesso le chiavette USB (ovviamente sanate!) nella periferica. Non è avvenuto nessuna modifica nei file, e tanto per sicurezza sono andato nuovamente dal mio amico a farmi fare la scansione. Non ha trovato nessun malware.

Poi, oggi volevo sistemare un pò il PC perché mi piace liberare lo spazio di file inutili e di troppo. Avevo seguito una guida online nel comprendere cos'era il "svchost.exe" (ne ho un paio attivi). In quanto ignorante in materia non sapevo cos'erano e ho fatto una ricerca, e la guida online diceva che, nelle varie opzioni, era consigliabile deselezionare "nascondi cartelle del sistema" o qualcosa del genere.

Bene, giusto due minuti fa vado su C: per disinstallare un paio di programmi... e vedo come cartelle nascoste (ma visibili) $RECYCLE.BIN e System Volume Information :eek:

Sono tuttora nel panico. Il PC non sembra però aver subito mutamenti malevoli, e anche le chiavette sembrano essere apposto (per amor della patria ho infilato poco fa una chiavetta per vederne una qualche reazione, ma non è cambiato niente). Dunque non dovrebbe esserci nessun malware/worm/trojan/poltergeist attivo. Non dovrebbe. Non ne ho idea, ma ho visto che la cartella di SVI mi occupa la bellezza di 8 GB (!)
E, proprio in questo momento, vedo che le due cartelle sono apparse sia su E: che su G:. Non so, ho come la sgradevole impressione di trovare sotto casa mia un dobberman, e non sapere se e quando potrebbe venire l'idea di balzarmi addosso....

EDIT: Ri-ritorno spedito sul forum perché ho notato due cose. Le cartelle "SVI" apparse su E e G sono vuote, mentre quella di C: sono apparsi due file dal nome azzurro... mai visto nelle cartelle file con nomi di un qualsiasi colore diverso dal nero, allego l'immagine in questione:

http://oi57.tinypic.com/aeqomr.jpg

A me sta tornando l'ansia con questa storia. Già settimane fa io e mio padre abbiamo avuto un pò di tensione per questa faccenda, ora non intendo assillarlo lanciando falsi allarmi. Voglio dire, ora potrebbero anche essere due cartelle innocue.. giusto?

tallines
16-07-2015, 20:51
La cartella SystemRestore contenuta in SystemVolumeInformation è la cartella che contiene i punti di ripristino .

Se vuoi azzerare i punti di ripristino e poi ripristinarli > fai cosi (http://www.csita.unige.it/antivirus/srestorexp.html)

Se vuoi nascondere le cartelle nascoste di sistema, che per sicurezza è meglio che siano nascoste, metti il segno di spunta a due voci >

1 - Non visualizzare cartelle e file nascosti

2 - Nascondi i file protetti di sistema (consigliato) . (http://www.kkaio.com/articoli/visualizzare-file-e-cartelle-nascosti.shtm)

Dimenticavo la scritta in blu : la scritta è in blu perche i file sono > compressi (http://www.dotnethell.it/tips/BlueColoredFiles.aspx)

MarMez
16-07-2015, 20:59
La cartella SystemRestore contenuta in SystemVolumeInformation è la cartella che contiene i punti di ripristino .

Se vuoi azzerare i punti di ripristino e poi ripristinarli > fai cosi (http://www.csita.unige.it/antivirus/srestorexp.html)

Se vuoi nascondere le cartelle nascoste di sistema, che per sicurezza è meglio che siano nascoste, metti il segno di spunta a due voci >

1 - Non visualizzare cartelle e file nascosti

2 - Nascondi i file protetti di sistema (consigliato) . (http://www.kkaio.com/articoli/visualizzare-file-e-cartelle-nascosti.shtm)

Dimenticavo la scritta in blu : la scritta è in blu perche i file sono > compressi (http://www.dotnethell.it/tips/BlueColoredFiles.aspx)

Quindi ora SVI non funge più da malware? È innocuo, e posso anche riderci sopra?

tallines
18-07-2015, 17:30
Quindi ora SVI non funge più da malware? È innocuo, e posso anche riderci sopra?
Il fatto che le cartelle siano visibili perchè i file nascosti di sistema sono visualizzati, non implica il fatto che siano infetti o meno .

Per essere sicuro di non avere infezioni dovresti azzerare i punti di ripristino, fare degli scan antivirus e poi al limite riattivi i punti di ripristino .