Іноді при спробі відкрити флешку (або локальний диск) клацанням лівої кнопки миші з’являється повідомлення про помилку, що неможливо відкрити флешку, оскільки відсутній який-небудь файл, як правило, autorun.inf. У такому випадку потрібно відкрити флешку (або локальний диск), викликаючи правою кнопкою миші контекстне меню вибрати пункт Провідник або Відкрити).

Така поведінка флешки обумовлено тим, що вона була заражена вірусом, прописавшим їй автозапуск для подальшого розповсюдження зарази. Після чого вона була пролікована антивірусом (або файл autorun.inf було видалено вручну), але запис про автозапуску флешки залишилася в Реєстрі Windows.

Слід зазначити, що останнім часом дуже широко поширені всілякі USB-шні (флэшечные) віруси, спеціально створені для знімних носіїв інформації і поширювані за допомогою цих носіїв.

Як відбувається зараження

На зараженому ПК ці віруси є резидентними вони постійно знаходяться в оперативній пам’яті і відстежують порти USB на предмет підключення знімних носіїв. При підключенні носія він перевіряється вірусом, заражений чи він вже таким вірусом. Якщо ні, то вірус копіює на носій виконуваний файл, а для автоматичного запуску вірусу при кожному відкритті в кореневій директорії носія створюється файл autorun.inf.

Наприклад, одна з різновидів вірусу RavMon створює в кореневій директорії носія файл autorun.inf з наступним вмістом:
[AutoRun]
open=RavMon.exe
shellopen=ґтїЄ(&O)
shellopenCommand=RavMon.exe
shellexplore=ЧКФґ№ЬАнЖч(&X)
shellexploreCommand=«RavMon.exe -e»

При відкритті флешки (або кореневій директорії локального диска, коли вірус заражає вінчестер ПК) цей файл створює в Реєстрі Windows ключі, подібні наступним:

[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2{8397b16a-78ce-11dc-abd6-806d6172696f}ShellAutoRuncommand]
рядковий параметр за промовчанням RavMon.exe

[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2{8397b16a-78ce-11dc-abd6-806d6172696f}Shellexplore]
рядковий параметр за замовчуванням ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2{8397b16a-78ce-11dc-abd6-806d6172696f}ShellexploreCommand]
рядковий параметр за промовчанням RavMon.exe -e

[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2{8397b16a-78ce-11dc-abd6-806d6172696f}Shellopen]
рядковий параметр за замовчуванням ґтїЄ(&O)

[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2{8397b16a-78ce-11dc-abd6-806d6172696f}ShellopenCommand]
рядковий параметр за промовчанням RavMon.exe

При цьому в контекстному меню дисків замість пунктів Відкрити, Провідник з’являються пункти ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чому полягає проблема і як її вирішити
Проблема полягає в тому, що після лікування флешку (або локальний диск) файл autorun.inf і ключі Реєстру, створені вірусом, залишаються, і при спробі відкриття носія лівою кнопкою миші з’являється повідомлення про помилку.

У такому разі відкривайте носій клацанням правої кнопки миші (з контекстного меню виберіть Провідник або Відкрити). Як правило, при цьому диск розкривається.
Якщо ж з’явиться вікно Вибір програми з повідомленням Виберіть програму для відкриття цього файлу. Файл (Диск) в поле Програми за замовчуванням буде виділено Internet Explorer, за допомогою якого можна відкрити диск, натиснувши кнопку OK. Якщо у полі Програми немає Internet Explorer (або з його допомогою розкрити диск не вдається), натисніть кнопку Огляд і виберіть Провідник Windows (WINDOWSexplorer.exe) > OK > OK.
Розкривши диск, знайдіть файл autorun.inf і видаліть його.

Увага!

1. Цей файл, як правило, має атрибути Прихований, Системний, Тільки для читання. Тому в меню Сервіс > Властивості папки > Вигляд > потрібно поставити перемикач Показувати приховані файли і папки, встановити прапорець Відображати вміст системних папок і зняти прапорець Приховувати захищені системні файли > OK.
2. Якщо видалити з Реєстру ключі, створені вірусом, але залишити файл autorun.inf, то при кожній спробі розкрити носій цей файл буде знову створювати ключі вірусу в Реєстрі.
3. Якщо вірус пропише файл autorun.inf докорінно локального диска (C:, D:, E:), то симптоми будуть такі ж (тобто лівою кнопкою миші розкрити його не вдасться).

Тепер потрібно відкрити Редактор реєстру Windows: Пуск > Виконати > regedit > OK;
знайти розділ [HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2(Буква_неоткрывающегося_диска)];
видалити в ньому підрозділ Shell.
Увага!
1. Будьте обережні при маніпуляціях з Реєстром! Некоректне використання Редактора реєстру може призвести до виникнення серйозних неполадок, аж до переустановлення операційної системи!
2. У розділі [HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2] диски позначаються не тільки буквами (C:, D:, E:), але і глобальними унікальними ідентифікаторами (GUID), мають вид типу {8397b16a-78ce-11dc-abd6-806d6172696f}. Тому шукайте диски не тільки по буквах, але і за GUID.
3. Для штатного розкриття будь-якого диска в розділі
[HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionexplorermountpoints2(Диск)] досить строкового (REG_SZ) параметра BaseClass зі значенням Drive (при цьому значення параметру «за замовчуванням» не присвоєно).
4. Якщо проблема залишається, продовжите пошук в Реєстрі по імені вірусу (наприклад, RavMon), або по створеному вірусом назві пункту контекстного меню (наприклад, ЧКФґ№ЬАнЖч(X). Для цього в меню Правка > Знайти > у вікні ” Пошук у полі Знайти введіть назву шуканого параметра > Знайти далі > F3.

Як уберегтися від вірусів

Якщо вам потрібно скопіювати інформацію з вашої флешки на сторонній ПК, перед підключенням включайте блокування запису (якщо вона передбачена конструкцією вашої флешки).
До речі, USB-віруси на зараженому ПК при підключенні флешки, захищеної від запису, як правило, починають «матюкатися» (що видають себе з головою!) з’являється вікно Помилка захисту від запису з повідомленням: «Запис на диск неможлива, так як диск захищений від запису. Зніміть захист від запису з тома в пристрої (Диск)». Вікно це непотоплюване, з трьома кнопками Скасувати, Повторити, Продовжити. Але яку кнопку ні натисни, з’являється наступне вікно і т. д.
Якщо на вашій флешці немає блокування запису, то перед підключенням до чужого вимкніть ПК невідомі та підозрілі процеси в Диспетчері завдань Windows.
Для запуску Диспетчера завдань Windows натисніть Ctrl+Alt+Delete (або Пуск > Виконати > Запуск програми > taskmgr > OK).
Відкрийте вкладку Процеси, клацанням лівої кнопки миші виділіть процес для завершення, натисніть кнопку Завершити процес, у вікні Попередження диспетчера завдань натисніть кнопку Так. Не бійтеся, відключаючи процеси: критичні системні служби ОС не дасть вимкнути.
Джерело: netler.ru/pc/ravmon.htm