После лечения от вирусов не открывается флэшка?

Иногда при попытке открыть флэшку (или локальный диск) щелчком левойкнопки мыши появляется сообщение об ошибке, что невозможно открытьфлэшку, т.к. отсутствует какой-либо файл, как правило, autorun.inf. В таком случае нужно открывать флэшку (или локальный диск), вызывая правой кнопкой мыши контекстное меню (выбрать пункт Проводник или Открыть).

Такое поведение флэшки обусловлено тем, что она была заражена вирусом,прописавшим ей автозапуск для дальнейшего распространения заразы. Послечего она была пролечена антивирусом (или файл autorun.inf был удаленвручную), но запись об автозапуске флэшки осталась в Реестре Windows.

Следует отметить, что в последнее время очень широко распространенывсевозможные USB-шные (флэшечные) вирусы, специально созданные длясъемных носителей информации и распространяемые при помощи этихносителей.

Как происходит заражение
На зараженном ПК эти вирусы являются резидентными – они постояннонаходятся в оперативной памяти и отслеживают порты USB на предметподключения съемных носителей. При подключении носителя он проверяетсявирусом, заражен ли он уже таким вирусом. Если нет, то вирус копируетна носитель исполняемый файл, а для автоматического запуска вируса прикаждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\\open=ґтїЄ(&O)
shell\\open\\Command=RavMon.exe
shell\\explore=ЧКФґ№ЬАнЖч(&X)
shell\\explore\\Command=RavMon.exe -e

При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\{8397b16a-78ce-11dc-abd6-806d6172696f}\\Shell\\AutoRun\\command]
строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\{8397b16a-78ce-11dc-abd6-806d6172696f}\\Shell\\explore]
строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\{8397b16a-78ce-11dc-abd6-806d6172696f}\\Shell\\explore\\Command]
строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\{8397b16a-78ce-11dc-abd6-806d6172696f}\\Shell\\open]
строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\{8397b16a-78ce-11dc-abd6-806d6172696f}\\Shell\\open\\Command]
строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить
Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.

В таком случае открывайте носитель щелчком правой кнопки мыши (из контекстного меню выберите Проводник или Открыть). Как правило, при этом диск раскрывается.
Если же появится окно Выбор программы с сообщением Выберите программу для открытия этого файла. Файл (Буква_диска), в поле Программы по умолчанию будет выделен Internet Explorer, с помощью которого можно открыть диск, щелкнув кнопку OK. Если в поле Программы нет Internet Explorer (или с его помощью раскрыть диск не удается), щелкните кнопку Обзор… и выберите Проводник Windows (\\WINDOWS\\explorer.exe) –> OK –> OK.
Раскрыв диск, найдите файл autorun.inf и удалите его.

Внимание!
1. Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.
Если пункт меню Свойства папки недоступен, см.  Недоступен пункт меню Свойства папки? (http://salesat.ru/publ/6-1-0-212)
2. Если удалить из Реестра ключи, созданные вирусом, но оставить файл autorun.inf, то при каждой попытке раскрыть носитель этот файл будет вновь создавать ключи вируса в Реестре.
3. Если вирус пропишет файл autorun.inf в корне локального диска (C:\\, D:\\, E:\\…), то симптомы будут такие же (т.е. левой кнопкой мыши раскрыть его не удастся).

Теперь нужно открыть Редактор реестра Windows: Пуск –> Выполнить… –> regedit –> OK;
– найти раздел [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\(Буква_неоткрывающегося_диска)];
– удалить в нем подраздел Shell.
Внимание!
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. В разделе [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\]диски обозначаются не только буквами (C:, D:, E:…), но и глобальнымиуникальными идентификаторами (GUID), имеющими вид типа{8397b16a-78ce-11dc-abd6-806d6172696f}. Поэтому ищите диски не толькопо буквам, но и по GUID.
3. Для штатного раскрытия любого диска в разделе
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2\\(Буква_диска)] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру по умолчанию не присвоено).
4. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч(X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.
5. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение Редактирование реестра запрещено? (http://ivanovo.clan.su/publ/6-1-0-211)