Що робити, якщо після лікування від вірусів не відкривається флешка?
Іноді при спробі відкрити флешку (або локальний диск) клацанням лівої кнопки миші з'являється повідомлення про помилку, що неможливо відкрити флешку, тому відсутній будь-який файл, як правило, autorun.inf. У такому випадку потрібно відкривати флешку (або локальний диск), викликаючи правою кнопкою миші контекстне меню (вибрати пункт Провідник або Відкрити).
Така поведінка флешки обумовлено тим, що вона була заражена вірусом, прописав їй автозапуск для подальшого розповсюдження зарази. Після чого вона була пролікована антивірусом (або файл autorun.inf був видалений уручну), але запис про автозапуск флешки залишилася в Реєстрі Windows.
Слід зазначити, що останнім часом дуже широко поширені всілякі USB-шні (флешечние) віруси, спеціально створені для знімних носіїв інформації і поширювані за допомогою цих носіїв.
Як відбувається зараження
На зараженому ПК ці віруси є резидентними - вони постійно знаходяться в оперативній пам'яті і відстежують порти USB на предмет підключення знімних носіїв. При підключенні носія він перевіряється вірусом, чи заражений він вже таким вірусом. Якщо ні, то вірус копіює на носій виконуваний файл, а для автоматичного запуску вірусу при кожному відкритті в кореневій директорії носія створюється файл autorun.inf.
Наприклад, один з різновидів вірусу RavMon створює в кореневій директорії носія файл autorun.inf з наступним вмістом:
[AutoRun]
open = RavMon.exe
shell open = ґтїЄ (O)
shell open Command = RavMon.exe
shell explore = ЧКФґ№ЬАнЖч (X)
shell explore Command ="RavMon.exe -e"
При відкритті флешки (або кореневої директорії локального диска, коли вірус заражає вінчестер ПК) цей файл створює в Реєстрі Windows ключі, подібні наступним:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{8397b16a-78ce-11dc-abd6-806d6172696f}ShellAutoRuncommand]
строковий параметр за замовчуванням - RavMon.exe
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{8397b16a-78ce-11dc-abd6-806d6172696f}Shellexplore]
строковий параметр за замовчуванням - ЧКФґ№ЬАнЖч (X)
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{8397b16a-78ce-11dc-abd6-806d6172696f}ShellexploreCommand]
строковий параметр за замовчуванням - RavMon.exe -e
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{8397b16a-78ce-11dc-abd6-806d6172696f}Shellopen]
строковий параметр за замовчуванням - ґтїЄ (O)
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{8397b16a-78ce-11dc-abd6-806d6172696f}ShellopenCommand]
строковий параметр за замовчуванням - RavMon.exe
При цьому в контекстному меню дисків замість пунктів Відкрити, Провідник - З'являються пункти ґтїЄ (O), ЧКФґ№ЬАнЖч (X).
У чому полягає проблема і як її вирішити
Проблема полягає в тому, що після лікування флешки (або локального диска) файл autorun.inf і ключі Реєстру, створені вірусом, залишаються, і при спробі відкриття носія лівою кнопкою миші з'являється повідомлення про помилку.
У такому випадку відкривайте носій клацанням правої кнопки миші (з контекстного меню виберіть Провідник або Відкрити). Як правило, при цьому диск розкривається.
Якщо ж з'явиться вікно Вибір програми з повідомленням Виберіть програму для відкриття цього файлу. Файл (буква_диска), в поле Програми за замовчуванням буде виділений Internet Explorer, за допомогою якого можна відкрити диск, клацнувши кнопку OK. Якщо в полі Програми немає Internet Explorer (Або з його допомогою розкрити диск вдається), клацніть кнопку Огляд... І виберіть Провідник Windows ( WINDOWS explorer.exe) -gt; OK -gt; OK.
Розкривши диск, знайдіть файл autorun.inf і видаліть його.
Увага!
1. Цей файл, як правило, має атрибути Прихований, Системний, Тільки для читання. Тому в меню Сервіс -gt; Властивості папки ... -gt; Вид -gt; потрібно поставити перемикач Показувати приховані файли і папки, встановити прапорець Відображати вміст системних папок і зняти прапорець Приховувати захищені системні файли -gt; OK.
Якщо пункт меню Властивості папки недоступний, див. Що робити, якщо недоступний пункт меню «Властивості папки»?
2. Якщо видалити з Реєстру ключі, створені вірусом, але залишити файл autorun.inf, то при кожній спробі розкрити носій цей файл буде знову створювати ключі вірусу в Реєстрі.
3. Якщо вірус пропише файл autorun.inf в корені локального диска (C: , D: , E: ...), то симптоми будуть такі ж (тобто лівою кнопкою миші розкрити його не вдасться).
Тепер потрібно відкрити Редактор реєстру Windows: Пуск -gt; Виконати ... -gt; regedit -gt; OK;
- Знайти розділ [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(Буква_неоткрывающегося_диска)];
- Видалити в ньому підрозділ Shell.
Увага!
1. Будьте обережні при маніпуляціях з Реєстром! Некоректне використання Редактора реєстру може призвести до виникнення серйозних неполадок, аж до переустановлення операційної системи!
2. У розділі [HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer MountPoints2 ] диски позначаються не тільки буквами (C :, D :, E: ...), але і глобальними унікальними ідентифікаторами (GUID), що мають вид типу {8397b16a-78ce-11dc-abd6-806d6172696f}. Тому шукайте диски не тільки по буквах, але і по GUID.
3. Для штатного розкриття будь-якого диска в розділі
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2(Буква_диска)] достатньо строкового (REG_SZ) параметра BaseClass зі значенням Drive (При цьому значення параметру «за замовчуванням" не присвоєно).
4. Якщо помилка залишається, продовжите пошук в Реєстрі по імені вірусу (наприклад, RavMon), Або по створеному вірусом назвою пункту контекстного меню (наприклад, ЧКФґ№ЬАнЖч (X). Для цього в меню Правка -gt; Знайти ... -gt; у вікні Пошук в поле Знайти введіть назву шуканого параметра -gt; Знайти далі -gt; F3.
5. Якщо ви не можете запустити Редактор реєстру Windows, см. Що робити, якщо з'являється повідомлення «Редагування реєстру заборонено»?
Як уберегтися від вірусів
1. Пам'ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) Оновлюваними базами.
2. Не покладайтеся на антивірусний монітор: завжди перед копіюванням і відкриттям перевіряйте антивірусним сканером всі виконувані файли та документи.
3. Частіше робіть так званий «бекап», зберігаєте копії найбільш цінної інформації на різних носіях.
4. Якщо вам потрібно скопіювати інформацію з вашої флешки на сторонній ПК, перед підключенням включайте блокування запису (якщо вона передбачена конструкцією вашої флешки).
До речі, USB-віруси на зараженому ПК при підключенні флешки, захищеною від запису, як правило, починають «матюкатися» (чим видають себе з головою!) - З'являється вікно Помилка захисту від запису з повідомленням: «Запис на диск неможлива, так як диск захищений від запису. Зніміть захист від запису з томи в пристрої (буква_диска) ... ». Вікно це непотоплюване, з трьома кнопками Скасування, Повторити, Продовжити. Але яку кнопку ні натисни, - з'являється наступне вікно і т.д.
Якщо на вашій флешці немає блокування запису, то перед її підключенням до чужого ПК відключіть невідомі та сумнівні процеси в Диспетчері завдань Windows.
Для запуску Диспетчера завдань Windows натисніть Ctrl + Alt + Delete (або Пуск -gt; Виконати ... -gt; Запуск програми -gt; taskmgr -gt; OK).
Відкрийте вкладку Процеси, клацанням лівої кнопки миші виділіть процес для завершення, натисніть кнопку Завершити процес, у вікні Попередження диспетчера задач натисніть кнопку Так. Не бійтеся, відключаючи процеси: критичні системні служби ОС не дасть вимкнути.
5. Якщо ви не можете запустити Диспетчер задач, см. Що робити, якщо з'являється повідомлення «Диспетчер завдань відключений адміністратором». ]