Что делать, если после лечения от вирусов не открывается флешка? - FAQ - Разное - Советы пользователю - Каталог статей

Как происходит заражение

На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:

[AutoRun]
open=RavMon.exe
shell\open=ґтїЄ(&O)
shell\open\Command=RavMon.exe
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command="RavMon.exe -e"

При открытии флешки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\AutoRun\command]

строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore]

строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore\Command]

строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open]

строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open\Command]

строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить

Проблема заключается в том, после лечения флешки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя появляется сообщение об ошибке. В лучшем случае появится окно Выбор программы с сообщением Выберите программу для открытия этого файла. Файл <Буква_диска>. При этом, как правило, в поле Программы по умолчанию выделен Internet Explorer, с помощью которого можно открыть диск, щелкнув кнопку OK. Если в поле Программы нет Internet Explorer (или с его помощью раскрыть диск не удается), щелкните кнопку Обзор… и выберите Проводник Windows (\WINDOWS\explorer.exe) –> OK –> OK.

Раскрыв диск, найдите файл autorun.inf и удалите его.

Внимание!

1. Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.

2. Если удалить из Реестра ключи, созданные вирусом, но оставить файл autorun.inf, то при каждой попытке раскрыть носитель этот файл будет вновь создавать ключи вируса в Реестре.

Теперь нужно открыть Реестр Windows: Пуск –> Выполнить… –> regedit –> OK;

– найти раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\<Буква_неоткрывающегося_диска>];

– удалить в нем подраздел Shell.

Внимание!

1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Для штатного раскрытия любого диска в разделе

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\<Буква_диска>] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено).

3. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч(X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.

Как уберечься от USB-шных (флешечных) вирусов

1. Пользуйтесь надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
2. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы.
3. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях.
4. Если вам нужно скопировать информацию с вашей флешки на посторонний ПК, перед подключением включайте блокировку записи (если она предусмотрена конструкцией вашей флешки).
Кстати, USB-вирусы на зараженном ПК при подключении флешки, защищенной от записи, как правило, начинают «материться» (чем выдают себя с головой!) – появляется окно Ошибка защиты от записи с сообщением: «Запись на диск невозможна, так как диск защищен от записи. Снимите защиту от записи с тома в устройстве <Буква_диска>…». Окно это непотопляемое, с тремя кнопками Отмена, Повторить, Продолжить. Но какую кнопку ни нажми, – появляется следующее окно и т.д.
Если на вашей флешке нет блокировки записи, то перед ее подключением к чужому ПК отключите неизвестные и сомнительные процессы в Диспетчере задач Windows.
Для запуска Диспетчера задач Windows нажмите Ctrl+Alt+Delete (или Пуск –> Выполнить… –> Запуск программы –> taskmgr –> OK).
Откройте вкладку Процессы, щелчком левой кнопки мыши выделите процесс для завершения, нажмите кнопку Завершить процесс, в появившемся окне Предупреждение диспетчера задач нажмите кнопку Да. Не бойтесь, отключая процессы: критические системные службы ОС не даст выключить.