Такое поведение флэшки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флэшки осталась в Реестре Windows.
Следует отметить, что в последнее время очень широко распространены всевозможные USВ-шные (флэшечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.
Как происходит заражение
На зараженном ПК эти вирусы являются резидентными - они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл аutогuл.iпf.
Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\open=rтïє( &0)
shell\ ореп \ Command=RavMon.ехе
shеll\ехрlоге=Ч КФг№ЬАнЖч( &Х)
shell\explore\Command=»RavMon.ехе -е»
При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующему:
[НКЕУ _ CURRENT _ USER\Software\ Мicrosoft\ Windows\ CurrentVersion \ Explorer\MountPoints2\{8397b16а-78се-11 dc-abd6-806d6172696f}\ Shell\AutoRun\command]
строковый параметр по умолчанию - RavMon.exe
При этом в контекстном меню дисков вместо пунктов Открыть, Проводник - появляются пункты rтïє(0), Ч КФг№ЬАнЖч(Х).
В чем заключается про6лема и как ее решить?
Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.
В таком случае открывайте носитель щелчком правой кнопки мыши (из контекстного меню выберите Проводник или Открыть). Как правило, при этом диск раскрывается.
Если же появится окно Выбор программы с сообщением Выберите программу для открытия этого файла. Файл (Буква_Диска), в поле Программы по умолчанию будет выделен Internet Explorer, с помощью которого можно открыть диск, щелкнув кнопку ОК. Если в поле Программы нет Internet Explorer (или с его помощью раскрыть диск не yдaeтся), щелкните кнопку Обзор... и выберите Проводник Windows (\WINDOWS\ explorer.exe) -> ОК -> ОК.
Раскрыв диск, найдите файл autorun.inf и удалите его.
Внимание!
1. Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис -> Свойства папки... -> Вид -> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы -> ОК.
2. Если удалить из Реестра ключи, созданные вирусом, но оставить файл autorun.inf, то при каждой попытке раскрыть носитель этот файл будет вновь создавать ключи вируса в Реестре.
3. Если вирус пропишет файл autorun. inf в корне локального диска (С:\, D:\, Е:\...), то симптомы будут такие же (т.е. левой кнопкой мыши раскрыть его не удастся).
Теперь нужно открыть Редактор реестра Windows: Пуск -> Выполнить... -> regedit -> ОК;
- найти раздел [HKEY_CURRENT_USER\Software\Miсrosoft\ Windows \ СurrentVеrsion \ Exploreг\ MountPoints2\ (Буква _ неоткрывающегося-диска)];
- удалить в нем подраздел Shell.
Виимаиие!
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_ USER\Softwaге\ мicrosoft\ Windows \ СuггеntVersiоn \ Ехрlогeг\ MountPoints2\] диски обозначаются не только буквами (С:, О:, Е:...), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16а-78се-11dc-abd6806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[НКЕУ _ CURRENT _ USER\Software\ Мicrosoft\Windows \ СurrentVersion \ Explorer\ МоuntPoints2\ (Буква_диска)] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено).
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФг'№ЬАнЖч(Х). Для этого В меню Правка -> Найти... -> в окне Поиск в поле Най'ти введите название искомого параметра -> Найти далее -> F3.
Как у6еречься от вирусов
1. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
2. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы.
3. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях.
4. Если вам нужно скопировать информацию с вашей флэшки на посторонний ПК, перед подключением включайте блокировку записи (если она предусмотрена конструкцией вашей флэшки).
Кстати, USВ-вирусы на зараженном ПК при подключении флэшки, защищенной от записи, как правило, начинают «материться» (чем выдают себя с головой!) - появляется окно Ошибка защиты от записи с сообщением: «Запись на диск невозможна, так как диск защищен от записи. Снимите защиту от записи с тома в устройстве (Буква-диска)...». Окно это непотопляемое, с тремя кнопками Отмена, Повторить, Продолжить. Но какую кнопку ни нажми, появляется следующее окно и т.д.
Если на вашей флэшке нет блокировки записи, то перед ее подключением к чужому ПК отключите неизвестные и сомнительные процессы в Диспетчере задач Windows.
Для запуска Диспетчера задач Windows нажмите Ctrl+Alt+Delete (или Пуск - > Выполнить... - > Запуск программы -> taskmgr -> ОК).
Откройте вкладку Процессы, щелчком левой кнопки мыши выделите процесс для завершения, нажмите кнопку Завершить процесс, в появившемся окне Предупреждение диспетчера задач нажмите кнопку Да. Не бойтесь отключать процессы: критические системные службы ОС не даст выключить.
Что делать, если недоступен пункт меню «Свойства папки»?
Как правило, недоступность пункта меню Свойства папки говорит о возможном заражении системы вирусами. Дело в том, что вирусописатели устанавливают для своих вирусов атрибуты Скрытый (а иногда еще и Системный). А для того, чтобы затруднить пользователю возможность визуального определения вирусов (на антивирус в этом случае надежды уже нет: если вирусы проникли в систему, то антивирус или отсутствует, или не может их идентифицировать, или «убит»), и удаляется пункт меню Свойства папки. При этом в Реестре Windows в разделе [HKEY_CURRENT _USER\Software\ Мicrosoft\Windows\ СurrentVersion \ Policies\Explorer] создается параметр REG_DWORD NoFolderOptions со значением 1 .
Даже после удаления вируса, запретившего пункт меню Свойства папки, он остается недоступным (ни один антивирус пункт меню Свойства папки не восстанавливает). Чтобы восстановить его, нажмите Пуск -> Выполнить... -> в поле Открыть: введите gpedit.msc -> ОК -> Групповая политика -> Политика «Локальный компьютер» -> Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник -> справа в окне Проводник двойным щелчком левой кнопки мыши по строке Удалить команду «Свойства папки» из меню «Сервис» вызовите окно Свойства: Удалить команду «Свойства папки» из меню «Сервис» -> установите переключатель Отключен (или Не задан) -> Применить -> ОК.
Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш - клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).
Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для восстановления пункта меню Свойства папки можно отредактировать Реестр: Пуск -> Выполнить... -> в поле Открыть: введите regedit -> ОК -> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\ Мicrosoft\ windows\СuггепtVегsiоп \ Policies\Explorer] нужно найти параметр REG_DWORD NoFolderOptions и установить его значение 0 (или совсем удалить этот параметр).
Примечание
1. Диалоговое окно Свойства папки позволяет пользователям устанавливать многие параметры и свойства Проводника Windows, такие, как параметры Рабочего стола Active Desktop, представления папок в виде веб-страниц, автономных файлов, скрытых системных файлов, различных типов файлов.
2. Групповая политика Удалить команду "Свойства папки» из меню «Сервис» удаляет команду Свойства папки из всех меню Проводника Windows и удаляет значок Свойства папки из Панели управления. В результате пользователи не могут использовать диалоговое окно Свойства папки.
З. При работе пользователя ПК в корпоративной локальной сети удаление команды Свойства папки из меню Сервис зачастую производится системным администратором - для защиты от деструктивных действий пользователя с шаловливыми ручками! - на то он и сисадмин!
Что делать, если появляется сообщение «Редактирование реестра запрещено»?
Если при попытке запустить Редактор реестра (любым способом: Пуск -> Выполнить... -> regedit -> ОК, или C:\WINDOWS\ regedit.exe, или путем запуска reg-файлов) появляется окно «Редактор реестра» с сообщением «Редактирование реестра запрещено администратором системы», это говорит о возможном заражении системы вирусами.
Дело в том, что вирусы «прописываются» в Реестре Wiпdоws (при этом в разделе [HKEY_CURRENT_USER\Software\Miсrosoft\Windows\СuггепtVегsiоп\Policies\Sуstеm] создается параметр REG_ DWORD DisabIeRegistryTools со значением 1). А чтобы их (вирусы) нельзя было выкорчевать из системы, они и делают невозможным запуск Редактора реестра Windows.
Даже после удаления вируса, запретившего запуск Редактора реестра, запуск его невозможен. Чтобы вновь сделать его доступным, нажмите Пуск -> Выполнить... -> в поле Открыть: введите gpedit.msc -> ОК -> Групповая политика -> Политика «Локальный компьютер" -> Конфигурация пользователя -> Административные шаблоны -> Система -> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызовите окно Свойства: Сделать недоступными средства редактирования реестра -> установите переключатель Отключен (или Не задан) -> Применить ->ОК. Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш - клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).
Примечание
1. Групповая политика Сделать недоступными средства редактирования реестра отключает использование Редактора реестра (regedit.exe). Если эта политика включена, а пользователь попытается запустить Редактор реестра, будет выведено сообщение о том, что текущая политика запрещает выполнение этого действия.
2. Можно сделать доступным запуск Редактора реестра Windows, запустив альтернативный Редактор реестра (например, загрузившись с аварийно-восстановительного диска типа ЕАD Commander), в разделе [HKEY_CURRENT _USER\ Software\Microsoft\ Windows\ СurrrеntVеrsion\Роlicies\ System] нужно найти параметр REG_ DWORD DisabIeRegistryTools и установить его значение 0 (или совсем удалить этот параметр).
З. При работе пользователя ПК в корпоративной локальной сети отключение
Редактора реестра зачастую производится системным администратором.
4. Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе [НКЕУ_СLASSЕS_RООТ\ regedit\shell\open\command] значение строкового параметра по умолчанию должно быть - regedit.ехе «%1»
Чтобы информацию из геg-файлов можно было добавлять в Реестр, в разделе [HKEY_CLASSES_ RООТ\геgfilе\shеll\ореп\соmmапd] значение строкового параметра по умолчанию должно быть - regedit.ехе «%1»
Вирусы иногда искажают эти параметры.
Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?
Если при попытке запустить Диспетчер задач Windows (любым способом - или с помощью Ctrl+Alt+Del, или с помощью Пуск -> Выполнить... -> taskmgr -> ОК) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о возможном заражении системы вирусами.
Дело в том, что вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти. При этом в Реестре Windows в разделе [HKEY_CURRENT _USER\Software\ Мicrosoft\ Windows\ СurrentVersion \ Policies\System] создается параметр REG_DWORD DisabIeTaskMgr со значением 1.
Чтобы вновь сделать возможным запуск Диспетчера задач, нажмите Пуск -> Выполнить... -> в поле Открыть: введите gpedit.msc -> ОК -> откроется диалоговое окно Групповая политика -> Групповая политика -> Политика «Локальный компьютер» -> Конфигурация пользователя -> Административные шаблоны -> Система -> Возможности Сtгl+Аlt+Dеl-> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию - Не задана) вызовите окно Свойства: Удалить Диспетчер задач -> установлен переключатель Включен -> поставьте Отключен (или Не задан) -> Применить -> ОК.
Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш - клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).
Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск -> Выполнить... -> в поле Открыть: введите regedit -> ОК -> откроется Редактор реестра. В разделе [НКЕУ _ CURRENT _ USER\Software\ Мicrosoft\ Windows\ CurrentVersion\ Policies\System] нужно найти параметр REG_DWORD DisabIeTaskMgr и установить его значение 0 (или совсем удалить этот параметр ).
Примечание
1. Диспетчер задач позволяет пользователям запускать или останавливать программы, наблюдать за их производительностью, следить за всеми выполняемыми программами, включая системные службы, узнавать названия исполняемых файлов программ, изменять приоритет процессов для выполняемых программ.
2. Групповая политика Возможности Ctrl+AIt+Del запрещает пользователям запускать Диспетчер задач (taskmgr.exe). Если эта политика включена, а пользователь попытается запустить Диспетчер задач, будет выдано сообщение о том, что текущая политика запрещает выполнение этого действия.
3. При работе пользователя ПК в корпоративной локальной сети отключение Диспетчера задач зачастую производится системным администратором.
Источник: http://www.gmi.ru | 
