Вирус Autorun

[Маклауд]

А вот не реагирует у меня Dr.WEB вобще никак на присутствие и даже запуск авторанов. И Cureit запускал сто раз ... Да, пишет, что что-то там нашёл и вроде как вылечил. На деле ничего не меняется.
А "1" хоть в какую ветку реестра прописывай, после работы авторана ничего не помогает. Проверялась и эта "1". Не на одном форуме подобная проблема обсуждается.

[zett]

Давайте по порядку разберемся.
1. Отключаем редактирование реестра.
Пуск-выполнить (win+r). Набраем команду "gpedit.msc" (без ковычек). В открывшемся окне находим (слева) "Конфигурация пользователя" - "Административные шаблоны" - и нажимаем на "System". Справа в окне находим "Prevent access to registry editing tools" или по русски примерно так: "отключение доступа к редактированию реестра".
Нажимаем правой кнопкой и выбираем свойства. Далее по рисунку (верхний рисунок):
[Для просмотра данной ссылки нужно ]
На нижнем рисунке я показал, что будет если запустить пакетный файл с расширением ".cmd".
Если нужно что-нибудь установить или прописать, то сделайте обратную операцию, т.е. параметр "не задан".
Если пункт 1 выполнить, то применять твик по открытию блокнота вместо регистрации не нужно. Да и это не работает в случае пакетных файлов. Но если нужно, то здесь:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.reg]
"Application"="NOTEPAD.EXE"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.reg\OpenWithList]
"a"="Explorer.exe"
"MRUList"="ba"
"b"="NOTEPAD.EXE"

2. Отключение автозапуска.
здесь:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom]
"AutoRun"=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

Если этих ветвей нет, то нужно создать. Для этого скопируйте содержимое в блокнот и сохраните как, например "Autorun.reg". Затем запустите файл. Внимание! Делать это нужно до выполнения п.1
Выполнив эти пукты, вы хоть будете уверены, что вирус не навредит в реестре, а это главное.
По поводу случайного запуска, тут сложнее. Мы же не можем отключить все в компе. А что там намудрят "вирусоопИсатели", что за команды будут использовать - вопрос. Что-нибудь типа: start /%systemdrive%\install\.....\setup.exe. Хотя можно и над этим подумать. Короче, если запустили вдруг, то простой способ узнать куда вирус наследил - это поиском в "пуске", а какие процессы заражены - Security Task Manager. В кратце о проге: сканирует все запущенные процессы в системе и анализирует их на наличие опасности. При выделении процесса присутствует более - менее подробное описание. Я бы посоветовал снять характеристики процессов не зараженной системы с угрозой более 50%. Главное - это название процесса и PID. Да просто тупо сделать скриншот.
[Для просмотра данной ссылки нужно ]
На рисунке показаны опасные процессы. Плагин Total Comander(а) следит за клавиатурой. Не нравится, можно выкинуть и процесс и сам плагин. AdMunch - это блокиратор всякой фигни в инете. Может управлять другими прогами. Для этого он и предназначен. Другими словами - это я установил все и я знаю, что это.
Вот ссылка от доктора:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Обратите внимание на рисунок в посту №51. Ну разве может "lsass.exe" запускаться из Doсument and Setting. Его место в ......:\WINDOWS\system32\.

И еще одно, когда флешку вставляете проверяйте сразу скрытые файлы. Я это уже автоматом делаю ибо на каждой флешке заср..но.

Чтобы службы были в надлежащем состоянии, нужно экспортировать нужную ветку реестра и при необходимости восстановить ее. Все службы находятся здесь:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
Вот пример с описанием служб:
Здесь:

Windows Registry Editor Version 5.00

;DHCP-клиент
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\DHCP]
"Start"=dword:00000002

;DNS-клиент
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Dnscache]
"Start"=dword:00000002

;MS Software Shadow Copy Provider
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SwPrv]
"Start"=dword:00000003

;NetMeeting Remote Desktop Sharing
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Mnmsrvc]
"Start"=dword:00000004

;Portable Media Serial Number (Служба серийных номеров переносных устройств мультимедиа)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmdmPmSN]
"Start"=dword:00000004

;Plug and Play
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PlugPlay]
"Start"=dword:00000002

;QoS RSVP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RSVP]
"Start"=dword:00000004

;Telnet
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TlntSvr]
"Start"=dword:00000004

;Windows Audio
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\AudioSrv]
"Start"=dword:00000002

;Windows Installer
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MSIServer]
"Start"=dword:00000003

;Автоматическое обновление
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Wuauserv]
"Start"=dword:00000002

;Адаптер производительности WMI
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WmiApSrv]
"Start"=dword:00000004

;Беспроводная настройка
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WZCSVC]
"Start"=dword:00000004

;Брандмауэр Windows/Общий доступ к Интернету (ICS)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess]
"Start"=dword:00000002

;Веб-клиент
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WebClient]
"Start"=dword:00000004

;Вторичный вход в систему
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Seclogon]
"Start"=dword:00000004

;Диспетчер авто-подключений удаленного доступа
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RasAuto]
"Start"=dword:00000003

;Диспетчер логических дисков
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Dmserver]
"Start"=dword:00000003

;Диспетчер очереди печати
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Spooler]
"Start"=dword:00000002

;Диспетчер подключений удаленного доступа
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RasMan]
"Start"=dword:00000003

;Диспетчер сеанса справки для удаленного рабочего стола
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RDSessMgr]
"Start"=dword:00000004

;Диспетчер сетевого DDE
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetDDEdsdm]
"Start"=dword:00000004

;Диспетчер учетных записей безопасности
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SamSs]
"Start"=dword:00000002

;Доступ к HID-устройствам
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\HidServ]
"Start"=dword:00000004

;Журнал событий
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog]
"Start"=dword:00000002

;Журналы и оповещения производительности
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SysmonLog]
"Start"=dword:00000004

;Защищенное хранилище
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ProtectedStorage]
"Start"=dword:00000002

;Инструментарий управления Windows (Windows Management Instrumentation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Wmi]
"Start"=dword:00000002

;Источник бесперебойного питания
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UPS]
"Start"=dword:00000004

;Клиент отслеживания изменившихся связей
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TrkWks]
"Start"=dword:00000003

;Координатор распределенных транзакций
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\MSDTC]
"Start"=dword:00000003

;Локатор удаленного вызова процедур (RPC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcLocator]
"Start"=dword:00000003

;Маршрутизация и удаленный доступ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RemoteAccess]
"Start"=dword:00000004

;Модуль поддержки смарт-карт (Smart-Card Helper)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SCardDrv]
"Start"=dword:00000004

;Модуль поддержки NetBIOS через TCP/IP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LmHosts]
"Start"=dword:00000004

;Обозреватель компьютеров
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Browser]
"Start"=dword:00000004

;Оповещатель
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Alerter]
"Start"=dword:00000004

;Определение оборудования оболочки
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ShellHWDetection]
"Start"=dword:00000002

;Планировщик заданий
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Schedule]
"Start"=dword:00000003

;Поставщик поддержки безопасности NT LM
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NtLmSsp]
"Start"=dword:00000003

;Протокол HTTP SSL
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\HTTPFilter]
"Start"=dword:00000003

;Рабочая станция
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Lanmanworkstation]
"Start"=dword:00000002

;Расширения драйверов WMI
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WMI]
"Start"=dword:00000003

;Сетевой вход в систему
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netlogon]
"Start"=dword:00000004

;Сетевые подключения
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netman]
"Start"=dword:00000003

;Сервер
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer]
"Start"=dword:00000004

;Сервер папки обмена
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ClipSrv]
"Start"=dword:00000004

;Система событий COM+
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\EventSystem]
"Start"=dword:00000003

;Системное приложение COM+
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\COMSysApp]
"Start"=dword:00000003

;Служба COM записи компакт-дисков IMAPI (IMAPI, нужна только для встроенной в XР записи)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ImapiService]
"Start"=dword:00000002

;Служба администрирования диспетчера логических дисков
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Dmadmin]
"Start"=dword:00000003

;Служба восстановления системы
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Srservice]
"Start"=dword:00000004

;Служба времени Windows
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time]
"Start"=dword:00000004

;Служба загрузки изображений (WIA) (включите, если используете сканер)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Stisvc]
"Start"=dword:00000003

;Служба индексирования
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\CiSvc]
"Start"=dword:00000004

;Служба обеспечения сети
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\XMLprov]
"Start"=dword:00000003

;Служба обнаружения SSDP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SSDPSRV]
"Start"=dword:00000004

;Служба регистрации ошибок
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ERSvc]
"Start"=dword:00000004

;Служба сетевого расположения (NLA)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Nla]
"Start"=dword:00000003

;Служба сетевого DDE
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NetDDE]
"Start"=dword:00000004

;Служба сообщений (останавливает спам. не влияет на MSN или Windows Messenger)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Messenger]
"Start"=dword:00000004

;Служба шлюза уровня приложения
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ALG]
"Start"=dword:00000003

;Службы IPSEC
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PolicyAgent]
"Start"=dword:00000004

;Службы криптографии
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\CryptSvc]
"Start"=dword:00000002

;Службы терминалов
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TermService]
"Start"=dword:00000003

;Смарт-карты
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SCardSvr]
"Start"=dword:00000004

;Совместимость быстрого переключения пользователей (HOME)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\FastUserSwitchingCompatibility]
"Start"=dword:00000003

;Справка и поддержка (Центр Справки и поддержки все равно будет работать)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\helpsvc]
"Start"=dword:00000004

;Съемные ЗУ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\NtmsSvc]
"Start"=dword:00000003

;Телефония
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TapiSrv]
"Start"=dword:00000003

;Темы
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Themes]
"Start"=dword:00000002

;Теневое копирование тома
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\VSS]
"Start"=dword:00000003

;Уведомление о системных событиях
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SENS]
"Start"=dword:00000002

;Удаленный вызов процедур (RPC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcSs]
"Start"=dword:00000002

;Удаленный реестр
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RemoteRegistry]
"Start"=dword:00000004

;Узел универсальных PnP-устройств
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\UPNPhost]
"Start"=dword:00000004

;Управление приложениями
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\AppMgmt]
"Start"=dword:00000003

;Фоновая интеллектуальная служба передачи BITS
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BITS]
"Start"=dword:00000004

;Центр обеспечения безопасности (Security Center)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc]
"Start"=dword:00000004

Примечание: ключи соответствуют: dword:00000002 - авто; dword:00000003 - вручную; dword:00000004 - отключена.
P.S. Не знаю почему, но при просмотре поста есть пробел в Servic_es и Curr_entVersion, хотя при правке его нет. Пробелов быть не должно.

Маклауд, NoDriveTypeAutoRun стоит значение 0х00000091 (145) - это рабочее состояние, т.е. автозапуск разрешен.

[Маклауд]

Про "отключение доступа к редактированию реестра" я уже думал (gpedit.msc знакомая команда. Кстати а на XP-Home есть? Потому как видел сообщение, что ругается на отсутствие этого файла)
Так вот про редактирование реестра - я засомневался в этой команде из-за того, что программы-то вроде как должны работать с реестром и записывать в него различные данные. Или это совсем другая история?

NoDriveTypeAutoRun = 145 у меня выставляет твикер WinTools если в нём установить отключение автозапуска. И автозапуск отключается, по крайней мере никогда не выскакивает панель с предложением выбрать, что делать со вставленым диском. Но диск всё-таки, видимо читается, так как некоторое время у указателя мыши висит иконка диска и все приложения немного тормозят.
А вот когда в этом же gpedit.msc :
Раскрываем ветвь "Конфигурация компьютера" -> "Административные шаблоны" -> "Система"
Двойной клик по записи "Отключить автозапуск" и в появившемся окне на вкладке "Параметр" устанавливаем [Включен].
При этом у меня появилась отсутствующая ветвь и ключь в ней NoDriveTypeAutoRun = 255
И теперь при вставке диска система на него вобще никак не реагирует. Хорошо.

[Dr.Vlad]

Позавчера приносили комп,тоже зараженный и автораном и прочим,не было возможности даже в безопасном режиме зайти.Снял винт и поставил на свой(на моем все автозапуски запрещены).Сперва антиавторан-он сразу показал что убил Авторан и в папке Wondows, следом за ним запустил Нод32,после прохождения им процентов 20 следом запустил и Cureit,и одновременно АдВайар.Чистилось все очень долго,процедуры проводил дважды,вроде все нормально,почти полтора суток прошло-полет нормальный.
[Для просмотра данной ссылки нужно ]
Да,забыл указать что,что бы открылись папки скрытые применил regsvr32 /i shell32.dll(по совету взятому здесь же ) Наверно мне везет,но пока с автораном проблеммы решаются нормально,у Маклауда закаленный сибирский авторан :-) Вот на компе друга сидит троянская программа Trojan-Downloader.Win32.Agent.kif C:\WINDOWS\system32\WLCtrl32.jcx
вот с ним проблемма пока,но Руборде подскзали как боротся,буду пробовать..

[zett]

Цитата:

Сообщение от Маклауд

........ При этом у меня появилась отсутствующая ветвь и ключь в ней NoDriveTypeAutoRun = 255 И теперь при вставке диска система на него вобще никак не реагирует. Хорошо.

dword:000000ff - это тоже самое. Просто я выполнил это твиком, т.е. запустил reg файл, а вы с помощью утилиты. А про Home сказать ничего не могу, т.к. никогда не работал на кастрированных осях.

Цитата:

Сообщение от Dr.Vlad

Позавчера приносили комп,тоже зараженный и автораном и прочим....

Наверное будет уместным сказать, что восстановление системы тоже нужно отключить. В вашем примере в System Volume Information как раз и находиться вся грязь. Лично я никогда этой услугой не пользовался и не собираюсь, поэтому всегда отключаю.
Твик здесь:

Windows Registry Editor Version 5.00

;Отключить восстановление системы
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:00000001

Цитата:

Сообщение от Dr.Vlad

Вот на компе друга сидит троянская программа Trojan-Downloader.Win32.Agent.kif C:\WINDOWS\system32\WLCtrl32.jcx вот с ним проблемма пока,но Руборде подскзали как боротся,буду пробовать..

А в чем проблема то?

[sekretar]

Маклауд

Цитата:

не реагирует у меня Dr.WEB вобще никак

Какая версия? У меня 4.44 beta tester - кричит и удаляет моментально...

Цитата:

А "1" хоть в какую ветку реестра прописывай, после работы авторана ничего не помогает

Это делается после их удаления из системы...

[Маклауд]

Да такая же - 4.44
А какие его службы у вас запускаются с системой и "сидят" в трее?

[Dr.Vlad]

Цитата:

Сообщение от zett

Наверное будет уместным сказать, что восстановление системы тоже нужно отключить. В вашем примере в System Volume Information как раз и находиться вся грязь. Лично я никогда этой услугой не пользовался и не собираюсь, поэтому всегда отключаю.
Твик здесь:

Windows Registry Editor Version 5.00


;Отключить восстановление системы
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=dword:00000001

На своем компе восстановление системы я отключаю,у него же комп на работе,и он часто пользуется откатом,поэтому не отключено.



А в чем проблема то?

проблемма в том что этот троян не удаляется.Каспер (Д.Веб,АдВайр)видит его,даешь команду удалить,удаляет,говорит что надо идти на перегруз,а после перегруза троян опять на месте.В безопасном режиме получилось его переименовать,перенести на другой диск,и от туда удалить вручную,но все равно когда заходишь в обычном режиме появляется снова.Посоветовали удалить его IceSword122en и AVZ при помщи скриптов,но пока не могу это сделать,друг ушел в запой и не несет винт:-)

[MaoSan]

Есть подозрение, что гадость застряла в System Volume Information (лежит в корне ЖД...), и на этом ЖД включена служба восстановления, которая дампит реестр на случай сбоя и в нём прописан ключ на восстановление при загрузке этой гадости, но по умолчанию доступа на System Volume Information нету..., если он не виден - то настроить "Показывать скрытые файлы и папки", дальше нужно дать права Вашей учётке, с правами Адмнистартора и расшарить эту папку... После этого папка System Volume Information - свободно доступна, можно попытаться найти гадость антивирусом в ней и аккуратно удалить оттуда вручную.

[Dr.Vlad]

Не понял как это расшарить папку? На своем компе я с правами администратора(вроде:-) ),но в эту папкуSystem Volume Information зайти не могу.(Показывать скрытые файлы и папки) галочка убрана.
потому что по умолчанию, хозяином этой папки является учетная запись SYSTEM.
kiv67