Що робити, якщо після лікування від вірусів не відкривається флешка?
Іноді при спробі відкрити флешку (або локальний диск) клацанням лівої
кнопки миші з'являється повідомлення про помилку, що неможливо відкрити
флешку, оскільки відсутній який-небудь файл, як правило, autorun.inf.
У такому разі потрібно відкривати флешку (або локальний диск),
викликаючи правою кнопкою миші контекстне меню (вибрати пункт Провідник
або Відкрити).
Така поведінка флешки обумовлена тим,
що вона була заражена вірусом, що прописав їй автозапуск для подальшого
розповсюдження зарази. Після чого вона була пролікована антивірусом
(або файл autorun.inf був видалений уручну), але запис про автозапуск
флешки залишився в Реєстрі Windows.
Слід зазначити, що
останнім часом дуже широко поширені всілякі віруси Usb-шниє (флешечниє),
спеціально створені для знімних носіїв інформації і поширювані за
допомогою цих носіїв.
Як відбувається зараження На
зараженому ПК ці віруси є резидентними - вони постійно знаходяться в
оперативній пам'яті і відстежують порти USB на предмет підключення
знімних носіїв. При підключенні носія він перевіряється вірусом, чи
заражений він вже таким вірусом. Якщо немає, то вірус копіює на носій
виконуваний файл, а для автоматичного запуску вірусу при кожному
відкритті в кореневій директорії носія створюється файл autorun.inf.
Наприклад, один з різновидів вірусу Ravmon створює в кореневій директорії носія файл autorun.inf з наступним вмістом:
При
відкритті флешки (або кореневій директорії локального диска, коли вірус
заражає вінчестер ПК) цей файл створює в Рєєстре Windows ключі, подібні
наступним:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\8397b16a-78ce-11dc-abd6-806d6172696f}Shell\AutoRun\command]
строковий параметр за умовчанням - Ravmon.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\8397b16a-78ce-11dc-abd6-806d6172696f}Shell\explore]
строковий параметр за умовчанням - Чкфг%ьанжч(&X)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\8397b16a-78ce-11dc-abd6-806d6172696f}Shell\explore\Command]
строковий параметр за умовчанням - Ravmon.exe -і
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\8397b16a-78ce-11dc-abd6-806d6172696f}Shell\open]
строковий параметр за умовчанням - гтїЄ(&O)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\8397b16a-78ce-11dc-abd6-806d6172696f}Shell\open\Command]
строковий параметр за умовчанням - Ravmon.exe
При цьому в контекстному меню дисків замість пунктів Відкрити, Провідник - з'являються пункти гтїЄ(O), Чкфг%ьанжч(X).
У чому полягає проблема і як її вирішити
Проблема
полягає в тому, що після лікування флешки (або локального диска) файл
autorun.inf і ключі Реєстру, створені вірусом, залишаються, і при спробі
відкриття носія лівою кнопкою миші з'являється повідомлення про
помилку.
У такому разі відкривайте носій клацанням правої
кнопки миші (з контекстного меню виберіть Провідник або Відкрити). Як
правило, при цьому диск розкривається.
Якщо ж з'явиться
вікно Вибір програми з повідомленням Виберіть програму для відкриття
цього файлу. Файл (Буква_діська), в полі Програми за умовчанням буде
виділений Internet Explorer, за допомогою якого можна відкрити диск,
клацнувши кнопку OK. Якщо в полі Програми немає Internet Explorer (або з
його допомогою розкрити диск не вдається), клацніть кнопку Огляд. і
виберіть Провідник Windows (\Windows\explorer.exe) -> OK -> OK. Розкривши диск, знайдіть файл autorun.inf і видалите його.
Увага!
1.
Цей файл, як правило, має атрибути Прихований, Системний, Тільки для
читання. Тому в меню Сервіс -> Властивості теки. -> Вигляд ->
потрібно поставити перемикач Показувати приховані файли і теки,
встановити прапорець Відображати вміст системних тек і зняти прапорець
Приховувати захищені системні файли -> OK. Якщо пункт меню Властивості теки недоступний, див. Що робити, якщо недоступний пункт меню «Властивості теки»?
2.
Якщо видалити з Реєстру ключі, створені вірусом, але залишити файл
autorun.inf, то при кожній спробі розкрити носій цей файл знов
створюватиме ключі вірусу в Реєстрі. 3. Якщо вірус пропише файл
autorun.inf в корені локального диска (C:\, D:\, E:\.), то симптоми
будуть такі ж (тобто лівою кнопкою миші розкрити його не вдасться).
Тепер потрібно відкрити Редактор реєстру Windows: Пуск -> Виконати. -> regedit -> OK; -
знайти розділ
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_неоткривающегося_діська)];
- видалити в нім підрозділ Shell.
Увага!
1.
Будьте обережні при маніпуляціях з Реєстром! Некоректне використання
Редактора реєстру може привести до виникнення серйозних неполадок, аж до
переустановлення операційної системи! 2. У розділі
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\]
диски позначаються не тільки буквами (C:, D:, E:.), але і глобальними
унікальними ідентифікаторами (GUID), що мають вид типу
{8397b16a-78ce-11dc-abd6-806d6172696f}. Тому шукайте диски не тільки по
буквах, але і по GUID.
3. Для штатного розкриття будь-якого диска в розділі [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_діська)]
достатньо строкового (Reg_sz) параметра Baseclass із значенням Drive
(при цьому значення параметру «за умовчанням» не привласнене). 4.
Якщо помилка залишається, продовжите пошук в Реєстрі по імені вірусу
(наприклад, Ravmon), або по створеній вірусом назві пункту контекстного
меню (наприклад, Чкфг%ьанжч(X). Для цього в меню Правка -> Знайти.
-> у вікні Пошук в полі Знайти введіть назву шуканого параметра ->
Знайти далі -> F3.
5. Якщо ви не можете запустити
Редактор реєстру Windows, див. Що робити, якщо з'являється повідомлення
«Редагування реєстру заборонене»?
Як уберегтися від вірусів 1.
Пам'ятаєте, що попередити легко, ніж лікувати! Користуйтеся
брандмауерами і надійними антивірусними програмами з регулярно (не менше
одного разу на тиждень!) оновлюваними базами. 2. Не покладайтеся
на антивірусний монітор: завжди перед копіюванням і відкриттям
перевіряйте антивірусним сканером всі виконувані файли і документи.
3. Почастіше робіть так званий «бекап», зберігаєте копії найбільш цінної інформації на різних носіях. 4.
Якщо вам потрібно скопіювати інформацію з вашою флешки на сторонній ПК,
перед підключенням включайте блокування запису (якщо вона передбачена
конструкцією вашої флешки).
До речі, USB-вирусы на
зараженому ПК при підключенні флешки, захищеною від запису, як правило,
починають «матюкатися» (чим видають себе з головою!) - з'являється вікно
Помилка захисту від запису з повідомленням: «Запис на диск неможливий,
оскільки диск захищений від запису. Зніміть захист від запису з тому в
пристрої (Буква_діська).». Вікно це непотоплюване, з трьома кнопками
Відміна, Повторити, Продовжити. Але яку кнопку ні натисни, - з'являється
наступне вікно і так далі
Якщо на вашій флешке немає
блокування запису, то перед її підключенням до чужому ПК відключите
невідомі і сумнівні процеси в Диспетчерові завдань Windows.
Для
запуску Диспетчера завдань Windows натисніть Ctrl+alt+delete (або Пуск
-> Виконати. -> Запуск програми -> taskmgr -> OK). Відкрийте
вкладку Процеси, клацанням лівої кнопки миші виділите процес для
завершення, натисніть кнопку Завершити процес, у вікні, що з'явилося,
Попередження диспетчера завдань натисніть кнопку Так. Не бійтеся,
відключаючи процеси: критичні системні служби ОС не дасть вимкнути.
