Перейти до змісту

кака решаются проблемы с флешками


Рекомендовані повідомлення

Опубліковано

Иногда при попытке открыть флэшку (или локальный диск) щелчком левой кнопки мыши появляется сообщение об ошибке, что невозможно открыть флэшку, т.к. отсутствует какой-либо файл, как правило, autorun.inf. В таком случае нужно открывать флэшку (или локальный диск), вызывая правой кнопкой мыши контекстное меню (выбрать пункт Проводник или Открыть).

Такое поведение флэшки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флэшки осталась в Реестре Windows.

Следует отметить, что в последнее время очень широко распространены всевозможные USB-шные (флэшечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.

Как происходит заражение

На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:

[AutoRun]

open=RavMon.exe

shell\open=ґтїЄ(&O)

shell\open\Command=RavMon.exe

shell\explore=ЧКФґ№ЬАнЖч(&X)

shell\explore\Command="RavMon.exe -e"

При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\AutoRun\command]

строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore]

строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore\Command]

строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open]

строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open\Command]

строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить

Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.

В таком случае открывайте носитель щелчком правой кнопки мыши (из контекстного меню выберите Проводник или Открыть). Как правило, при этом диск раскрывается.

Если же появится окно Выбор программы с сообщением Выберите программу для открытия этого файла. Файл (Буква_диска), в поле Программы по умолчанию будет выделен Internet Explorer, с помощью которого можно открыть диск, щелкнув кнопку OK. Если в поле Программы нет Internet Explorer (или с его помощью раскрыть диск не удается), щелкните кнопку Обзор… и выберите Проводник Windows (\WINDOWS\explorer.exe) –> OK –> OK.

Раскрыв диск, найдите файл autorun.inf и удалите его.

Внимание!

1. Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.

Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?

2. Если удалить из Реестра ключи, созданные вирусом, но оставить файл autorun.inf, то при каждой попытке раскрыть носитель этот файл будет вновь создавать ключи вируса в Реестре.

3. Если вирус пропишет файл autorun.inf в корне локального диска (C:\, D:\, E:\…), то симптомы будут такие же (т.е. левой кнопкой мыши раскрыть его не удастся).

Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;

– найти раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Букванеоткрывающегосядиска)];

– удалить в нем подраздел Shell.

Внимание!

1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\] диски обозначаются не только буквами (C:, D:, E:…), но и глобальными уникальными идентификаторами (GUID), имеющими вид типа {8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не только по буквам, но и по GUID.

3. Для штатного раскрытия любого диска в разделе

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\(Буква_диска)] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено).

4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч(X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.

5. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено»?

Как уберечься от вирусов

1. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

2. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы.

3. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях.

4. Если вам нужно скопировать информацию с вашей флэшки на посторонний ПК, перед подключением включайте блокировку записи (если она предусмотрена конструкцией вашей флэшки).

Кстати, USB-вирусы на зараженном ПК при подключении флэшки, защищенной от записи, как правило, начинают «материться» (чем выдают себя с головой!) – появляется окно Ошибка защиты от записи с сообщением: «Запись на диск невозможна, так как диск защищен от записи. Снимите защиту от записи с тома в устройстве (Буква_диска)…». Окно это непотопляемое, с тремя кнопками Отмена, Повторить, Продолжить. Но какую кнопку ни нажми, – появляется следующее окно и т.д.

Если на вашей флэшке нет блокировки записи, то перед ее подключением к чужому ПК отключите неизвестные и сомнительные процессы в Диспетчере задач Windows.

Для запуска Диспетчера задач Windows нажмите Ctrl+Alt+Delete (или Пуск –> Выполнить… –> Запуск программы –> taskmgr –> OK).

Откройте вкладку Процессы, щелчком левой кнопки мыши выделите процесс для завершения, нажмите кнопку Завершить процесс, в появившемся окне Предупреждение диспетчера задач нажмите кнопку Да. Не бойтесь, отключая процессы: критические системные службы ОС не даст выключить.

5. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором».

ЗЫ от себя добавлю, что по моей статистике , заражена каждая третья флешка(если не больше)

Опубліковано

а всё потому что народ тупеет чем бальше тем больше,

и о авторан.инф и слушать нехотят....

а хотят Висту(проблема не именно в висте, просто ето посленне на что равняется пользователь) с Аэро - потому чито круто

:D

Опубліковано

Ці авторани мне уже задовбали. Кожен 3 хто до мене приходить з флехою носить авторанівський вірус. При звичній щоденній роботі з вимкненим інетом я інколи вимикаю антивірус(Касперського). Одного разу просто забув увімкнути коли принесли чергову флеху. Двойний клік, пауза в роботі..я зрозумів що сталосб ввімкнув антивірус, все полікував..але реєстр був уже поправлений та не давав бачити приховані файли(навіть після включення цієї опції у Властивостях папки)...зніс Windows все переставив...тепер буду обачніший...

ЗІ. Печально що деякі юзери не хочуть розуміти що антивірус потрібен навіть коли у тебе нема доступу в Інтернет

Опубліковано

Відключайте автозапуск і користуйтесь Total Commander-ом чи Far-ом, але в жодному разі не штатними засобами вінди!

Опубліковано

самый простой совет. овладейте привычкой удерживать Shift вставляя в комп любой внешний носитель (CD/DVD/флешку/кардридер/винт/прочее)

Опубліковано

а ще я б дуже радив би записати якийсь LiveCd (на фтп-ніку була Vista PE - найркащий варіант)

при потраплянні віруса в систему все легко і просто чиститься з диска...

Можна це все діло вичищати з Norton\Volkov Commander'а, але це абсолютно не підходить для Raid i SATA вінтів..

Перелік вірусів і місць, де їх шукати (файли)

x:\Windows\system32\Com;

корні локальних дисків

перелік файлів, найкраще шукати автопошуком (дуже зручно з Total Commander'a, який доречі іде в комплекті з Vista PE)

LSASS.exe

SMSS.exe (доречі, ці два останні файли необхідно видаляти тільки якщо вони написані великими літерами і тільки з папки x:\Windows\system32\Com)

SVCVIHOST.exe

~.exe

autorun.inf

pagefile.pif

Опубліковано

Якраз на днях з таким зіткнувся. На роботі получив в користування новий фотопарат. Зробив пару фоток і вирішив скинути їх на комп'ютер. Підключаю, автоматично встановлюються драйвера. Ніби все нормально. А тут вискакує червоне віконечко. NOD32 матюкається на вірус. Відкриваю диск улюбленим Far manager - точно. В корені 2 файлики. autorun.inf i ще один exe'шник (не пам'ятаю назви).

І це на новому фотіку :-) Видно, перед тим ним вже встигли погратися й зробити кілька фоток. Будемо вважати, просто тестових :-)

Опубліковано
це абсолютно не підходить для Raid i SATA вінтів..
підходить, якщо мамка на чіпсеті Intel -- з такими мамками Windows стає без установки додаткових драйверів і на SATA, і на Raid

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...