# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Как проверить System Volume Information.

## Minos

В папке System Volume Information, которая располагается в корневых каталогах ваших дисков, хранится информация для восстановления работоспособности системы после сбоя. Часто система заносит сюда файлы, зараженные вирусами, и поэтому лечение компьютера без лечения информации в этой папке НЕ ВОЗМОЖНО. Однако проблема заключается в том, что доступ к этой папке по умолчанию имеет только пользователь SYSTEM, то есть системные службы.

Для удаления всей информации из данной папки можно просто выключить восстановление системы, проверить компьютер на вирусы, а затем опять включить систему, но при этом будут утеряны ВСЕ резервные копии, необходимые для автоматического обновления.

Однако можно просто включить доступ к этой папке, если вы имеете права администратора на вашем компьютере. Для этого
0. Убедитесь что убрана галочка на строке Использовать простой общий доступ к файлам в свойствах папки. (Для доступа к этим свойствам в меню "Сервис" проводника выбираете пункт "Свойства папки", а в появившемся окне закладку "Вид")
1. На папке System Volume Information кликаете правой кнопкой и в контекстном меню выбираете пункт "Свойства".
2. Далее переходите на вкладку безопасность и жмете кнопку "Дополнительно". 
3. На вкладке разрешения жмете кнопку Добавить, в открывшемся окне опять по кнопки дополнительно, а затем по кнопке поиск. В результате вам выдаст полный список локальных пользователей и групп. 
4. Выбираем пользователя "Администратор" и жмем OK. Имя в формате "Имя компьютера"\Администратор появится в списке выбранных объектов и нажимаем опять OK.
5. Для вновь добавленного разрешения добавляем необходимые действия в нашем случае можно выбрать полный доступ.
6. Жмем во всех оставшихся окнах на OK.

Теперь любой антивирус, запущенный от имени пользователя Администратор, может проверить и вылечить папку System Volume Information. 
ВНИМАНИЕ, ПОЬЗУЙТЕСЬ ЭТОЙ ВОЗМОЖНОСТЬЮ ОЧЕНЬ ОСТОРОЖНО. СУЩЕСТВУЕТ ВЕРОЯТНОСТЬ ПРИВЕДЕНИЯ РЕЗЕРВНОЙ КОПИИ ВАШЕЙ СИСТЕМЫ В НЕРАБОТОСПОСОБНОЕ СОСТОЯНИЕ.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## maXmo

не знаю, у меня веб без дополнительных настроек её сканил, нечисть выгребал.

----------


## Minos

> не знаю, у меня веб без дополнительных настроек её сканил, нечисть выгребал.


Сканит без проблемм, если файловая система FAT, если же NTFS пользователь эту папку даже просмотреть не может. Время от времени Spider ловит в ней гадость, т.к. работает под System.

----------


## egik

System Volume Information
А как быть если стоит XP SP2 никого не пускает настройки не меняет???  :Sad:

----------


## Minos

> System Volume Information
> А как быть если стоит XP SP2 никого не пускает настройки не меняет???


Для того, что бы изменить разрешения на System Volume Information, необходимо зайти с правами администратора и от туда все вышеописанные фокусы проделать.
 Пользователь может менять права только для тех файлов/папок владельцем которых он является, администратор в Windows является царем системы (но конечно до бога root из мира *nix ему еще далеко), и может менять права практически ко всем объектам, если иное не оговорено особо.

----------


## egik

c этим разобрался а как обратно ее закрыть?

----------


## Minos

> c этим разобрался а как обратно ее закрыть?


1. Запретить доступ администратору.
2. Не обязательно, но для приведения системы в первозданное состояние - удалить разрешения для администратора (удалить Администратора из списка пользователей для которых задаются права, будь внимателен, не трогай пользователя System).

----------


## Искатель

Немогу найти эту папку, пожалуйста по подробнее расскажите где ее искать.

----------


## pig

Это скрытая системная папка, имеется в корне каждого логического диска.

----------


## Jolly Rojer

> 1. На папке System Volume Information кликаете правой кнопкой и в контекстном меню выбираете пункт "Свойства".
> 2. Далее переходите на вкладку безопасность и жмете кнопку "Дополнительно". 
> 3. На вкладке разрешения жмете кнопку Добавить, в открывшемся окне опять по кнопки дополнительно, а затем по кнопке поиск. В результате вам выдаст полный список локальных пользователей и групп. 
> 4. Выбираем пользователя "Администратор" и жмем OK. Имя в формате "Имя компьютера"\Администратор появится в списке выбранных объектов и нажимаем опять OK.
> 5. Для вновь добавленного разрешения добавляем необходимые действия в нашем случае можно выбрать полный доступ.
> 6. Жмем во всех оставшихся окнах на OK.


Если честно не совсем понимаю зачем проделывать кучу лишней работы когда любой антивирус можно запустить под учетной записью System НАЖАВ ВСЕГО ПАРУ КЛАВИШЬ.

----------


## Shadow[13]

Хм... А почему бы просто не отключить восстановление системы насовсем, от него толку помоему никакого, единственное, где оно может быть может помочь, это если вы заразились вирусом и после лечения файлы некоторые побились или просто были удалены, как неизлечимые, но только при том, условии, что в файлы в этой папке сами не заражены... или я не прав?

----------


## anton_dr

Не правы. Толк от него есть. Спасало неоднократно. Конечно, оно используется не так часто, что нужно было каждому без исключения пользователю. Но как знать, может именно вам оно понадобится. Здесь не угадаешь. Поэтому на всех компьютерах, которые проходят через нас, оно включается.

----------


## Shadow[13]

> Не правы. Толк от него есть. Спасало неоднократно. Конечно, оно используется не так часто, что нужно было каждому без исключения пользователю. Но как знать, может именно вам оно понадобится. Здесь не угадаешь. Поэтому на всех компьютерах, которые проходят через нас, оно включается.


Я обычно его везде отключаю, а у себя кроме того я ещё и защиту системных файлов отключаю... Мне место на диске жалко и прочие ресурсы которые на это расходуются, да и не помогало это всё ни разу никому из тех кого я знаю, были только не однократные случаи когда это всё только мешало...
Хотя в любом случае это лиш моё личное мнениеи и если вам не жалко ресурсов то всегда лучше это оставлять включенным(может когда-нибудь и поможет %))...

----------


## anton_dr

Поверьте на слово. Я думаю, через меня прошло на порядок больше машин, чем через вас  :Smiley:  Используется очень редко. Может, на одной машине из 100, может и еще реже. Но - спасало не один раз. И даже если бы спасало оно всего один раз, стоит его включать везде, потому как нет гарантий, что именно в вашем случае оно не пригодится. А ресурсов и места сильно много не займет.

----------


## Jolly Rojer

> Поверьте на слово. Я думаю, через меня прошло на порядок больше машин, чем через вас  Используется очень редко. Может, на одной машине из 100, может и еще реже. Но - спасало не один раз. И даже если бы спасало оно всего один раз, стоит его включать везде, потому как нет гарантий, что именно в вашем случае оно не пригодится. А ресурсов и места сильно много не займет.


Поддерживаю на все 100%!!! Меня тоже неоднократно выручало особенно подобное как всегда имеет место быть в самый последний день сдачи отчетности....

----------


## orvman

Машин прошло вообще немерено. И тоже знаю о чем говорю. Всякого за все эти  годы насмотрелся, и траблы разные и "юмор" и т.д.
А если взять во внимание, что с сегодняшними ценами на харды - объем/цена, то отключать просто глупо и тупо. Если не ошибаюсь, то менее 10ГБ уже не делают (ну если только для ноутов). И экономить вообще не вижу смысла. А иногда такие перлы у юзеров на машине бывают - типа - "место экономлю, тут у меня музыка, здесь игра, здесь порнуха и т.д.". А у самого в папочке TEMP - на пару Гигов мусора сидит. Вот так вот бывает. А потом бегут люди и кричат - "Рома - Винда полетела - чё делать?" Элементарно - "служба включена?" Это из жизни.
 P.S. Конечно, для серьезных ситуаций не годится, но вариант восстановления методами самой же винды - самый легкий/простой. 
P.P.S. Тема очень длинная, кто знает, поймет о чем я - тут можно такую дискуссию развести...

----------


## taloran

Кстати   System Volume  Information  можно  посмотреть  и  не  только  Тотал  Командиром   :Smiley:

----------


## Генрих

Шеф проекта Головко требует перед проверкой на AVZ отключить восстановление системы - и правильно! Ресурсов кушает много, памяти и места. Вообще ее не нужно использовать - раз в неделю делайте архивы Акронисом через загрузочный диск (арх-рование и восстановление занимает минут по 5), а если какие-то ошибки в системе появились, загружайтесь через дистрибутив виндовс и восстанавливайте систему. Все другие файлы остаются как были, а система как новая становится. На обновления это не влияет.

----------


## HATTIFNATTOR

Мухи - отдельно, котлеты - отдельно.  :Smiley:  Здесь отключение восстановления применяется с вполне определенной целью. После лечения восстановление включается.




> Ресурсов кушает много, памяти и места. Вообще ее не нужно использовать


используя cleanmgr можно держать только последнюю точку восстановления.

Есть пользователи не знающие что такое "свернуть окно", а к знакомому недавно пришли соседи с жалобой что не могут поиграть в свежеприобретенную игру на свежеприобретенном компе. Выяснилось, что поиграть они пытались просто вставив диск в дисковод, о том что игру надо "инсталлировать" они и не подозревали.

Восстановление системы включено по умолчанию, а совет 



> раз в неделю делайте архивы Акронисом через загрузочный диск, а если какие-то ошибки в системе появились, загружайтесь через дистрибутив виндовс и восстанавливайте систему.


для таких пользователей увы не подходит.

----------


## Генрих

Вот я еще недавно такой же был. А Вы ведь профессионал, могли ведь ответить выше, как службы сервер и рабочая станция включать. Сейчас допер - через мастера настройки сети, после этого в подключении клиент MS и доступ к сети MS появляются (галочки советуют снимать). Все ж таки для чего они нужны, если не секрет? Требуются на домашнем ПК? Для Трафик инспектор поставил, по инструкции. Но вроде и без них работало.

----------


## pig

Если домашний ПК в домашней сетке, то требуются. А так - скрипач не нужен.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mA_sat

Судя по характеру дискуссии теме место здесь
http://virusinfo.info/forumdisplay.php?f=54

----------


## Zab

Кстати, а от чего это восстановление спасает (и от чего не спасает) ? Винда ж обычно если уж завалится, то домкратом не поднимешь. Но у меня она крайне редко чудит.

У меня оно включено, ибо не жалко, но еще не разу не юзал.

----------


## akok

Легче завести программку из серии: Акронис и т.п.  Тогда они(программки) и играют роль "домкрата", а востановление системы кроме как пожиранием свободного места на HDD не занимаеться :Smiley:

----------


## mkl

Зачем нужно восстановление  :Smiley: 
Вчерашний случай: бухгалтерская машинка перестала показывать рабочий стол, таскбар, кнопку Пуск... Фоновая картинка и курсор мыши.
Ни Safe ни Last Good не работают - то же самое. Причем сама система живет, даже сеть работает.
Из диспетчера ни explorer ни iexplore не запускаются. Промигивают на долю секунды и гаснут.
Проверка свежескачанными куреитами от Вебера и от Каспера ничего не дала. На удивление - ни одного виря. Проверялись как с запуском из диспетчера, так и с Live CD.
AVZ ничего криминального не зарегистрировала. Ругалась на драйверы CriptoPro.
Ручная проверка реестра ничего не дала. (по методике Зайцева для аналогичного случая - Image File Extention Options). Ну, и так смотрел... Свойства эксплорера, полиси... Всё нормально. Так же как на соседней машинке  :Smiley: 
Скрипты восстановления стандартных установок из AVZ отработали, но ничего не изменили.
ну... в system32 свежеиспеченных файлов не было. Конечно, это не надежно, но...
Спасли файлы из SysVol. Дохлый куст я сохранил, но пока нечем его толком посмотреть: импортировать в исправный не хочется да и неудобно...

----------


## zerocorporated

> Зачем нужно восстановление 
> Вчерашний случай: бухгалтерская машинка перестала показывать рабочий стол, таскбар, кнопку Пуск... Фоновая картинка и курсор мыши.
> Ни Safe ни Last Good не работают - то же самое. Причем сама система живет, даже сеть работает.


Наверное, если б бухгалтер из под ограниченной учетной записи работал + отключен автозапуск был такого бы "казуса" не случилось...  :Smiley:  в людом случае может логи с той машины в студию кинете... коллективно посмотрим.

----------


## mkl

а вот забыл сказать  :Smiley:  Он действительно сидел под ограниченной записью!
И еще забыл сказать про sfc. Тоже делал и тоже ничего не изменило. На подмененные файлы не ругалась.
Авторанов не было.
Логи... ну эт... я их не делал  :Sad:  Только смотрел.
(я смотрел в инете. Проблема, похоже, действительно имеет место. А вот решений... Вот, только то, что от Зайцева)

----------


## zerocorporated

> Авторанов не было.


Я про вот этот автозапуск

----------

