System Volume Information

#1

Buenas. El problema es el Siguiente, se muy bien que el System Volume Information es el que pone las carpetas y archivos oculto y luego vienen los accesos directos…

Normalmente se elimina con el Comando de consola

attrib /s /d -s -r -h

y si… vuelve a mostrar todos los archivos y todas las carpetas, PERO la carpeta de “System Volume Information” No se borra… Entonces procedo a un borrado forzoso por medio del Comando de consola

rmdir “system volume information” /s /q

y se borra… pero luego cuando vuelvo a conectar el Pendrive a la laptop vuelve a aparecer, si formateo, vuelve a aparecer… No logro eliminarlo del todo…

Alguna idea?

Gracias de antemano.

XIXEMETRO

#2

Hola @XIXEMETRO

Por que quieres borrarla, si es un archivo de Sistema.

Debe estar oculta y es la carpeta relacionada a los puntos de restauración/Restaurar sistema, no es una infección.

Ese comando solía ser utilizado en infecciones USB, cuando esta ocultaba tus archivos / y los atributos de las carpetas.

Si crees tener infecciones USB nos comentas para darte los pasos correctos.

Salu2

#3

Hola @SanMar

De verdad me sorprende tan pronta respuesta y lo agradezco enormemente.

Creo que debo ser mas especifico… El comando mencionado

Lo utilizaba para devolver los archivos ocultos y proceder a eliminar los archivos directos… Segun lo que recuerdo la carpeta “System Volume Information” se borraba… no aparecia ni con el comando ni con el truco que tenia para ver los archivos ocultos en ese entonces era con WinRar. (Sigue Funcionando)

He estado investigando y “System Volume Information” es una carpeta que guarda los puntos de restauración del disco y el sistema la crea automáticamente, como es una carpeta a la que no se debería tener acceso es un blanco para los virus y así pasar desapercibidos y hacer su trabajo de manera mas “cómoda”… En fin, le pedí prestada la minilaptop a mi abuela (Tiene Windows 7 yo tengo Windows 10 en la mia) formatee la unidad, y revise los archivos ocultos, la carpeta no se creó, extraje y volvi a introducir el Pendrive y tampoco se creó por esto pienso que podría ser una infección… instale usb fix pero solo me generó otro problema con un bloc de notas que se abre al prender la computadora “Desktop.ini” creo que ya solucione eso, cuando termine de redactar aquí iré a reiniciar a ver.

Gracias de antemano.

XIXEMETRO

#4

Hola:

Peganos el reporte de UsbFix. La carpeta que se borraba era la creada por Infecciones, la de sistema nop.

Te reitero, si quieres hacer los pasos correctamente para desinfectar me dices y te los indico.

Los pasos sueltos y sin orden no te eliminaran la infección.

Salu2.

#5

@SanMar El reporte es

# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.014
# Base de datos : 2019.03.26 
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : USB
# Usuario : Mario Domiter (Administrador)
# Dispositivo : XIXEMETRO-LPTP
# Comenzó : 10/05/2019 22:36:19
# ----------------------------------------------------

------------ | Discos analizados |

E:\	FAT32	(4GB/4GB)	[Removable] 

------------ | Elemento(s) infectado(s) |

~ Ningún elemento detectado ~

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe

F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe

F2 - HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,

F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,

04 - HKLM\..\Run : [Lightshot] C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe

04 - [x64] HKLM\..\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe

04 - [x64] HKLM\..\Run : [IgfxTray] "C:\Windows\system32\igfxtray.exe"

04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\Windows\system32\hkcmd.exe"

04 - [x64] HKLM\..\Run : [Persistence] "C:\Windows\system32\igfxpers.exe"

04 - [x64] HKLM\..\Run : [fspuip] %ProgramFiles%\FSP\fspuip.exe

04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe/thfirstsetup

04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe/thfirstsetup


------------ | Tasks |

Task - Adobe Flash Player NPAPI Notifier --> C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_171_Plugin.exe -check plugin
Task - Adobe Flash Player Updater --> C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task - GoogleUpdateTaskMachineCore --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - klcp_update --> CodecTweakTool.exe /verysilent /update /freq=30
Task - Microsoft Office 15 Sync Maintenance for XIXEMETRO-LPTP-Mario Domiter XIXEMETRO-LPTP --> C:\Program Files\Microsoft Office\Office15\MsoSync.exe
Task - update-S-1-5-21-1993021645-4278878037-1736341321-1001 --> C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate
Task - update-sys --> C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate

------------ | E:\ - Disco extraíble (FAT32) |


Elemento(s) infectado(s) : 0
Elementos analizados : 57179 en 00h 00m 06s

# UsbFix-Report-01.txt [2644B]

------------ | E.O.F  |

Y si me gustaría saber los pasos correctos para una desinfección.

Gracias.

XIXEMETRO

#6

Hola:

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos:

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • NO necesitamos este reporte

USBFix:

* Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc.

  • Ejecute USBFix.exe
  • Una vez conectados todos sus dispositivos presione en "Ejecutar análisis."
  • Posteriormente seleccione “Full Análisis” y espere a que termine.
  • En caso de detectar amenazas, seleccione todo los elementos detectados y presione "Limpiar todo"
  • Si le pidiera reiniciar el sistema, Acepte .
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
  • Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Malwarebytes

Con el USB conectado:

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado. Seleccionas "Todas las Unidades"
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de Malwarebytes y USBFix.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

1 me gusta
#7

Informe USB-fix

# ----------------------------------------------------
# UsbFix Antivirus Free
# ----------------------------------------------------
# Versión : 11.014
# Base de datos : 2019.03.26 
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : Mario Domiter (Administrador)
# Dispositivo : XIXEMETRO-LPTP
# Comenzó : 11/05/2019 01:20:41
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(145GB/298GB)	[Fixed] 
E:\	FAT32	(4GB/4GB)	[Removable] 
F:\	FAT32	(4GB/4GB)	[Removable] 

------------ | Elemento(s) infectado(s) |

~ Ningún elemento detectado ~

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKLM\..\Run : [Lightshot] C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe
04 - [x64] HKLM\..\Run : [SecurityHealth] %ProgramFiles%\Windows Defender\MSASCuiL.exe
04 - [x64] HKLM\..\Run : [IgfxTray] "C:\Windows\system32\igfxtray.exe"
04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\Windows\system32\hkcmd.exe"
04 - [x64] HKLM\..\Run : [Persistence] "C:\Windows\system32\igfxpers.exe"
04 - [x64] HKLM\..\Run : [fspuip] %ProgramFiles%\FSP\fspuip.exe
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup

------------ | Tasks |

Task - Adobe Flash Player NPAPI Notifier --> C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_171_Plugin.exe -check plugin
Task - Adobe Flash Player Updater --> C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task - GoogleUpdateTaskMachineCore --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - klcp_update --> CodecTweakTool.exe /verysilent /update /freq=30
Task - Microsoft Office 15 Sync Maintenance for XIXEMETRO-LPTP-Mario Domiter XIXEMETRO-LPTP --> C:\Program Files\Microsoft Office\Office15\MsoSync.exe
Task - update-S-1-5-21-1993021645-4278878037-1736341321-1001 --> C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate
Task - update-sys --> C:\Program Files (x86)\Skillbrains\Updater\Updater.exe -runmode=checkupdate

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[01/05/2019 - 17:11:59 | ASH | 262144 Ko] - swapfile.sys
[01/05/2019 - 17:11:59 | ASH | 983040 Ko] - pagefile.sys
[11/05/2019 - 00:51:52 | ASH | 2480616 Ko] - hiberfil.sys
[10/05/2019 - 23:10:05 | RASHD] - autorun.inf
[01/05/2019 - 09:57:58 | SHD] - $Recycle.Bin
[11/04/2018 - 19:38:20 | D] - PerfLogs
[24/04/2019 - 09:55:52 | SHD] - Recovery
[24/04/2019 - 09:57:47 | SHD] - Documents and Settings
[24/04/2019 - 09:57:48 | SHD] - Archivos de programa
[24/04/2019 - 10:29:35 | RD] - Users
[25/04/2019 - 01:52:19 | D] - Riot Games
[09/05/2019 - 11:20:31 | RHD] - MSOCache
[09/05/2019 - 11:25:27 | D] - Windows
[09/05/2019 - 11:37:45 | RD] - Program Files
[10/05/2019 - 19:57:28 | HD] - ProgramData
[11/05/2019 - 00:59:23 | D] - Program Files (x86)

------------ | E:\ - Disco extraíble (FAT32) |


------------ | F:\ - Disco extraíble (FAT32) |


Elemento(s) infectado(s) : 0
Elementos analizados : 80984 en 00h 00m 07s

# UsbFix-Report-04.txt [3587B]

------------ | E.O.F  |

Informe Malwarebytes

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 11/5/19
Hora del análisis: 1:25
Archivo de registro: 3252bb2c-73ad-11e9-9c40-386077c8ef8f.json

-Información del software-
Versión: 3.7.1.2839
Versión de los componentes: 1.0.563
Versión del paquete de actualización: 1.0.10554
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 17134.753)
CPU: x64
Sistema de archivos: NTFS
Usuario: XIXEMETRO-LPTP\Mario Domiter

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 408458
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 3 hr, 58 min, 34 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Disculpa la tardanza, en algun punto del analisis me quede dormido, era de madrugada

#8

Hola:

No hay problema somos humanos y dormimos :joy:

Vacunaste los USB?

En los reportes no se ve ninguna infección ni en los USB ni en el equipo.

Tienes algún otro síntoma que te haga sospechar?

Nos comentas.

Salu2

#9

Si, ya están vacunados… Lo cierto es que la carpeta sigue ahi, pero los accesos directos no se crean ni se me esconden los archivos. No hay nada mas que me haga pensar en una infección.

Muchas gracias por toda la informacion.

#10

Hola @XIXEMETRO

La carpeta como te mencione es de sistema.

Solo oculta los archivos que deben estar ocultos haciendo los pasos a la inversa del siguiente enlace:

Ver archivos ocultos en todos los Windows

Luego:

Para eliminar las herramientas utilizadas:

Descargas >> Delfix, a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guardalo pos si fuera necesario

Malwarebytes quedará instalado y puedes utilizarlo para escaneos periódicos, Usbfix es mejor descargar una nueva versión cada vez que lo necesites.


Que bueno que hayamos podido resolver tu consulta…:+1:

Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.

cerrado #11

Este tema se cerró automáticamente 2 días después del último post. No se permiten nuevas respuestas.