Mountpoints2 как определить букву диска

Обновлено: 07.07.2024

ravmon

Такое поведение флешки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флешки осталась в Реестре Windows .

Следует отметить, что в последнее время очень широко распространены всевозможные USB-шные (флешечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.

Как происходит заражение

На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:

[AutoRun]

open=RavMon.exe

shell\open=ґтїЄ(&O)

shell\open\Command=RavMon.exe

shell\explore=ЧКФґ№ЬАнЖч(&X)

shell\explore\Command="RavMon.exe -e"

При открытии флешки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\\Shell\AutoRun\command]

строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\\Shell\explore]

строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\\Shell\explore\Command]

строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\\Shell\open]

строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\\Shell\open\Command]

строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить

Раскрыв диск, найдите файл autorun.inf и удалите его.

Внимание!

1. Этот файл, как правило, имеет атрибуты Скрытый, Системный, Только для чтения. Поэтому в меню Сервис –> Свойства папки… –> Вид –> нужно поставить переключатель Показывать скрытые файлы и папки, установить флажок Отображать содержимое системных папок и снять флажок Скрывать защищенные системные файлы –> OK.

2. Если удалить из Реестра ключи, созданные вирусом, но оставить файл autorun.inf, то при каждой попытке раскрыть носитель этот файл будет вновь создавать ключи вируса в Реестре.

Теперь нужно открыть Реестр Windows: Пуск –> Выполнить… –> regedit –> OK;

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\<Буква_неоткрывающегося_диска>];

– удалить в нем подраздел Shell.

Внимание!

1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Для штатного раскрытия любого диска в разделе

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\<Буква_диска>] достаточно строкового (REG_SZ) параметра BaseClass со значением Drive (при этом значение параметру «по умолчанию» не присвоено).

3. Если ошибка остается, продолжите поиск в Реестре по имени вируса (например, RavMon), или по созданному вирусом названию пункта контекстного меню (например, ЧКФґ№ЬАнЖч(X). Для этого в меню Правка –> Найти… –> в окне Поиск в поле Найти введите название искомого параметра –> Найти далее –> F3.

Как уберечься от USB-шных (флешечных) вирусов

1. Пользуйтесь надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

2. Не полагайтесь на антивирусный монитор: всегда перед копированием и открытием проверяйте антивирусным сканером все исполняемые файлы и документы.

3. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях.

4. Если вам нужно скопировать информацию с вашей флешки на посторонний ПК, перед подключением включайте блокировку записи (если она предусмотрена конструкцией вашей флешки).

Если на вашей флешке нет блокировки записи, то перед ее подключением к чужому ПК отключите неизвестные и сомнительные процессы в Диспетчере задач Windows.

Для запуска Диспетчера задач Windows нажмите Ctrl+Alt+Delete (или Пуск –> Выполнить… –> Запуск программы –> taskmgr –> OK).

Откройте вкладку Процессы, щелчком левой кнопки мыши выделите процесс для завершения, нажмите кнопку Завершить процесс, в появившемся окне Предупреждение диспетчера задач нажмите кнопку Да. Не бойтесь, отключая процессы: критические системные службы ОС не даст выключить.

Еще одна проблема с непонятным файлом в реестре

Мне здесь здорово помогли.Но есть еще проблема.При попытке открыть
диск С двойным кликом - выдает :


(через контекстное меню нормально открывается).Покопался в реестре и нашел по адресу Мой компьютер\HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\CurrentVersion\ MountPoints2\
- \Shell\AutoRun\command
значение - C:\Windows\system32\RunDLL32.EXE ShellDLL,ShellExec_RunDLL CDo.exe
Можно удалить это значение?
И что за файл CDo ?

Удаляй все разделы MountPoints в этой ветке.
Это последствия деятельности вирусов.

Вирус, ранее удалённый антивирусом.
Просто антивирус не подчистил реестр.


Что прям всю ветку +MountPoints2 ?

Стремно как то.Там ссылки на диски, привода.Копию резервную, конечно, сделаю. Так что, удалять?

Извиняюсь, я ошибся
Я поначалу посмотрел в своём реестре - и не нашёл такой ветки (видимо, случайно попал в другую ветку)

Сейчас присмотрелся - такая ветка у меня есть.
Удалять всю ветку не надо.

Удалите только подразделы с именами в фигурных скобках <>
И проверьте содержимое всех оставшихся подразделов (особенно обращая внимание на подразделы Autorun)

Заодно почитайте статьи здесь.

(добавлено)
Впрочем, многие советуют удалять ветку MountPoints2 полностью.
И люди, сделавшие это, потом пишут, что всё стало нормально работать.
Так что ничего страшного не произошло бы, если бы Вы удалили весь раздел.

PS: Я за одним у себя тоже обнаружил последствия жизнедеятельности вирусов:

G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise323.exe

Ошибка «имя локального устройства уже используется» связана с сопоставлением сетевого диска. Это довольно распространенное явление среди пользователей, которые ежедневно работают по сети.

Проблема возникает при получении доступа к файлам в общей папке или попытке сопоставить определенные диски на сервере.


Произошла ошибка при восстановлении подключения: имя локального устройства уже используется.

Причины возникновения ошибки

Определение точной причины является весомым шагом при устранении неполадки. Это поможет сэкономить время и выбрать правильный способ ее решения.

  1. Процесс сопоставления сетевых дисков иногда может создавать проблемы, подобные этой, когда дело доходит до назначения букв диска.
  2. Для некоторых дисков могут быть неправильно назначены буквы, либо они вообще отсутствуют, что приводит к появлению ошибки.
  3. Общий доступ к файлам и принтерам отключен. Если этот параметр отключен в любом файрволе, в сети возникают ошибки и сбои.
  4. Нет места на сервере. Нужно хотя бы пару гигабайт свободного места на корневом диске файлового сервера, чтобы устранить проблему.

Переназначение диска с помощью командной строки

Переназначение сетевого диска является официальным решением, рекомендованным корпорацией Майкрософт. Этот метод работает у большинства пользователей и стал одним из часто используемых для решения этой проблемы.

Откройте строку системного поиска и впишите cmd . Кликните правой кнопкой мыши на первом результате и выберите «Запуск от имени администратора».

В консоль командной строки скопируйте и вставьте указанную команду и кликните на Enter для ее запуска.

net use * /delete


Удаление подключения к сетевому диску Z

После успешного завершения операции выполните следующую команду:

net use Z: \\server\share /user:username password

Замените в команде своими имя пользователя (username) и пароль (password). После выполнения проверьте наличие ошибки.

Удаление раздела реестра

В этом способе попробуем удалить раздел реестра, который может вызвать ошибку. Поскольку будем вносить изменения в системный реестр, рекомендуем сделать его резервную копию.

Выведите на экран диалоговое окно «Выполнить» нажатием на клавиши Windows + R, впишите команду regedit для входа в системный реестр.

В левой части окна перейдите к следующему разделу по пути:

Кликните на этот раздел и найдите параметр с именем MountPoints2 . Кликните на нем правой кнопкой мыши и выберите «Удалить». Подтвердите все диалоговые окна, которые будут появляться при удалении.


Удаление раздела MountPoints2

Проверьте, появляется ли ошибка при получении доступа к сетевому устройству после перезагрузки компьютера.

Назначение буквы диска

Иногда при возникновении ошибки в разделе «Управление дисками» может отображаться диск без назначенной буквы. Кроме того, если диску в этом разделе назначена другая буква, чем в сетевом сопоставлении, то нужно ее изменить.

Прежде всего, нужно проверить, что файлы с этих дисков, которые хотите отредактировать, не используются или не открыты каким-либо другим способом. Также проверьте, что ничего не копируется / переноситься с этих устройств.

После этого либо используйте комбинацию клавиш Windows + X, либо кликните правой кнопкой мыши в меню Пуск и выберите пункт Управления дисками.


Кликните правой кнопкой мыши на том и выберите «Изменить букву».


Изменение буквы диска

Рекомендуем не выбирать буквы A или B, поскольку они были зарезервированы для дисководов в устаревших операционных системах, что может вызвать конфликты в программной среде. Нажмите «Применить» и подтвердите все диалоговые окна, которые появляются при закрытии инструмента. Проверьте, устранения ли ошибка доступа к общему сетевому устройству.

Включение общего доступа к файлам и принтерам в Брандмауэре

Если общий доступ к файлам и принтерам отключен в брандмауэре (файрволе), тогда проблемы с сетевыми дисками не избежать. При использовании стороннего межсетевого экрана этот параметр нужно найти самостоятельно.

Так как многие не используют другие брандмауэры, по умолчанию включен Защитника Windows. Для включения параметра сделайте следующие шаги:

  1. Выведите на экран окно «Выполнить» (Windows + R), впишите команду «control panel» для входа в Панель управления.
  2. Переключите просмотр на крупные значки в верхнем правом углу и перейдите в Брандмауэр Защитника Windows.
  3. В левом боковом меню выберите «Разрешение взаимодействия с приложением или компонентов в брандмауэре Защитника Windows». Отобразится список установленных приложений. Для разрешения редактирования кликните на кнопку «Изменить параметры».
  4. Найдите параметр общего доступа к файлам и принтерам, установите флажок рядом с ним и примените изменения. Нажмите ОК и перезагрузите компьютер.

Проверка свободного места на сервере

Также ошибка может возникнуть, если на файловом сервере недостаточно места на диске. Если настроен прямой доступ к файловому серверу, проверьте наличие свободного дискового пространства на корневом диске и удалите все, что считаете ненужным.

Нет точного объема, который нужно освободить, но оставьте по крайней мере от 2 гигабайт.

Блог творческого ИТ-практика. Возьми свою мысль и дай ей ускорение идеи. В моем фокусе: сети, безопасность, виртуализация, web, мультимедиа.

А А Wednesday, 11 September 2013

Поиск сведений про USB-накопители в Windows ХР/7



Важность тех или иных артефактов наличия USB накопителя будет в основном зависеть от обстоятельств вашего расследования. Возможно, вам нужно посмотреть перечень всех USB накопителей, подключавшихся к зараженной машине, чтобы выяснить, куда вредоносной код мог попасть после этого. Возможно, вы подозреваете пользователя в несанкционированном копировании данных, и вам нужно определить время, в которое личные накопители таких пользователей подключались к системе. Независимо от цели вашего расследования есть несколько ключевых мест в системе Windows, в которых такая информация может быть найдена.


Вначале перескажу метод поиска, который был опубликован компанией Red Line Software для Windows 7.

Извлечение USB артефактов вручную.

Основным способом обнаружения артефактов USB накопителей является переход в место хранения данной информации вручную. Рассмотрим такие места в Windows 7. Проще всего найти информацию, содержащую список всех USB накопителей, которые подключались к системе. Эту информацию можно в готовом виде найти в системном реестре Windows в: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. В этом разделе вы найдете ключ каждого накопителя, который подключался к вашей системе, а также информацию о его производителе (Vendor), номере продукта (Product Number), номере версии (Version Number), и серийном номере (Serial Number), если применимо. После получения списка всех накопителей вам нужно выявить их принадлежность к пользователям. Это вполне возможно, но для этого потребуется выполнить дополнительные шаги. В реестре сначала нужно перейти в HKLM\SYSTEM\MountedDevices. В этой области вы можете выполнить поиск серийного номера подозрительного устройства. Когда номер найден, он поможет вам определить GUID, связанного с этим устройством. Когда GUID устройства у вас под рукой, нужно сконцентрироваться на личных профилях пользователей машины. В папке каждого пользовательского профиля (C:\Users) имеется файл NTUSER.DAT. К этому файлу предоставляется доступ для HKEY_CURRENT_USER всякий раз при входе его владельца в систему. В результате, этот файл можно открыть в редакторе системного реестра с правами администратора. Чтобы связать пользователя с определенным устройством, нужно перейти в следующий каталог в NTUSER.DAT разделе: Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. Здесь вы можете найти GUID нужного устройства. Если он найден, значит, пользователь был в системе, когда устройство было к ней подключено. Следует помнить, что этот поиск необходимо выполнять для каждого пользователя системы для установления такой взаимосвязи. Одним из наиболее важных аспектов судебного расследования являются временные рамки, в течение которых совершалось расследуемое событие. Поэтому очень важно знать, когда подозрительное USB устройство было подключено или отключено от системы. Определение времени, когда накопитель был впервые подключен к системе, является вполне простой задачей при условии, что у вас есть серийный номер этого устройства (получение этой информации описано выше). При наличии этой информации найдите файл C:\Windows\inf\setupapi.dev.log и в нем найдите серийный номер этого устройства, в результате вы найдете время, когда устройство было подключено впервые: ищем строки типа на подключения ump: Creating Install Process: DrvInst.exe 16:10:07.690 и отключения ump: Server install process exited with code 0x00000000 16:10:12.573

А теперь повторим тоже самое для Windоws XP.
Различий с 7-й почти нет, но все же пройдемся еще раз.

1. Смотрим ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Enum\USBSTOR
Здесь находятся все устройства-носители, подключаемые к USB
В ключах находящихся в данной ветви есть параметры:
- FriendlyName (Например, он равен "Kingston DataTraveler 2.0 USB Device")
- ParentIdPrefix (Например, он равен 7&cb3a0ee&0).


Так вот первая строка - идентификатор класса, а 7&cb3a0ee&0 - уникальный идентификатор устройства. Для каждого подключаемого USB-устройства он будет разный. Даже если два устройства одинаковой класса и модели. При подключении PnP-менеджер либо считывает сюда серийный номер устройства, либо генерирует уникальный ID, если устройство не имеет зашитого серийного номера.



3. Чтобы определить время последнего подключения USB-устройства делаем следующее:
Ищем в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Control\DeviceClasses подключи и



4. Чтобы определить, под каким пользователем был доступ к тому делаем следующее: - в подключе MountedDevices ищем параметры вида \??\Volume , в значении которых имеется нужный нам ParentIdPrefix. - открываем файлы "NTUSER.DAT" пользователей. Там находим ключ Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
В нем ищем подключ . Соответственно, если находим, то чей NTUSER.DAT тот и имел доступ.

Автоматизация поиска.

К сожалению для автоматизации поиска с помощью VBscript ничего путнего придумать не удалось. Не претендуя на абсолютную истину, но в ХР я нашел только три класса Win32_USBControllerDevice, Win32_USBController и Win32_USBHub, которые дают не так много информации. А про временным параметрам вообще пусто.

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_USBControllerDevice", "WQL", _ wbemFlagReturnImmediately + wbemFlagForwardOnly) Set colItems = objWMIService.ExecQuery("Select * from Win32_USBController",,48) Set colItems = objWMIService.ExecQuery("Select * from Win32_USBHub",,48)

Поэтому мне больше нравится USBDeview. USBDeview представляет собой инструмент с графическим пользовательским интерфейсом, позволяющий извлекать, коррелировать и отображать всю информацию, ручное извлечение которой обсуждалось выше.


Если на вашей фирме использование USB устройств не запрещено полностью, то рано или поздно вы столкнетесь с ситуацией, в которой проблемы с безопасностью могут быть связаны с портативным USB накопителем. В этой ситуации приведенная информация поможет вам найти нужные решения, чтобы оперативно отреагировать на инцидент.

Здесь я расскажу, почему вы можете столкнуться с этой ошибкой, и возможные исправления, которые вы можете применить, чтобы решить эту проблему.

device_name_already_in_use

Почему я сталкиваюсь с этой ошибкой?

Ниже перечислены возможные причины, по которым вы можете столкнуться с этой ошибкой. Вы можете прочитать их, чтобы определить, почему вы можете столкнуться с этой ошибкой, чтобы получить более четкое представление о том, как вы можете решить эту проблему.

Решите ошибку «Имя локального устройства уже используется»

Теперь, когда у вас есть небольшое представление о том, почему вы можете столкнуться с этой ошибкой, вот потенциальные исправления, которые вы можете развернуть, чтобы устранить эту ошибку.

ИСПРАВЛЕНИЕ 1: Изменить соединение

В качестве начального исправления убедитесь, что вы используете то же сетевое подключение для подключения к файловому серверу, который вы использовали для подключения к клиентскому компьютеру. Если вы находитесь в разных сетях, переназначение невозможно из-за несоответствия учетных данных, и, следовательно, вы сталкиваетесь с этой ошибкой.

Если вы находитесь в той же сети и все еще сталкиваетесь с этой ошибкой, попробуйте следующие исправления в списке, чтобы решить вашу проблему.

Исправление 2: переназначение сети с помощью командной строки

Чтобы решить эту проблему, удалите существующее сопоставление сети. Затем создайте новое сопоставление сети для общего ресурса. Это сбросит соединение, потенциально решая проблему. Вот шаги, которые вы можете использовать, чтобы сделать то же самое:

  1. Откройте командную строку с повышенными правами. Откройте диалог «Выполнить», нажав Win + R, введите CMD и нажмите Ctrl + Shift + Enter запустить командную строку с правами администратора.
  2. Запишите букву диска, назначенную файловому серверу, и введите следующую команду и нажмите Enter, чтобы удалить существующее сопоставление сети:
    чистое использование Z: / удалить

net_use_z_delete

netuse_server_share

3. После того, как вы увидите, что сетевой диск был успешно удален, переназначьте диск, используя следующую команду в том же окне командной строки:

Заметка: Замените X буквой диска, назначенной вашему файловому серверу. Также замените и ваши учетные данные для входа.

Теперь проверьте, решена ли ваша проблема.

ИСПРАВЛЕНИЕ 3. Перезапустите службы терминалов

Если вы используете операционную систему Windows 7 или более раннюю версию, вы можете перезапустить службы терминалов, чтобы устранить ошибку. Для этого вам необходимо выполнить следующие шаги:

  1. Войдите в свою ОС как администратор.
  2. Открыть Бегать диалог, нажав Выиграть+ р.
  3. Тип Сервисы.ЦКМ и нажмите Войти открыть службы Windows.

services_msc

  • Теперь найдите и перезапустите следующие службы:
    Службы удаленных рабочих столов
    Компьютерный браузер

Теперь попробуйте снова подключиться к вашему файловому серверу. Это должно решить вашу ошибку.

Заметка: Вы не можете найти компьютерный браузер на устройстве с Windows 10, так как он, кажется, был удален, потому что Microsoft призывает людей не использовать общий доступ к файлам SMB1.

ИСПРАВЛЕНИЕ 4: Редактировать элементы реестра

Если все перечисленные методы до сих пор не помогли решить вашу проблему, вы можете внести определенные изменения в реестр вашей системы, чтобы решить эту проблему. В реестре находятся основные файлы настроек конфигурации приложений и настроек, установленных в вашей системе.

(Читайте здесь: Как редактировать реестр с помощью командной строки)

  1. Открыть Бегать диалог, нажав Win + R.
  2. Тип смерзаться и нажмите Войти открыть редактор реестра.

смерзаться

enable_device_name_retry

7. Затем перейдите по следующему пути, вставив его в адресную строку:
Компьютер \ HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer,
8. Здесь найдите ключ с именем MountPoints2 в левой панели.
9. удалять этот ключ из контекстного меню правой кнопкой мыши. щелчок да в диалоговом окне подтверждения удаления.

mouse_points_2_delete

ИСПРАВЛЕНИЕ 5. Изменение параметров общего доступа к файлам и принтерам в брандмауэре

Если вы используете стороннюю службу брандмауэра, вам нужно вручную найти настройку в соответствии с вашим служебным программным обеспечением и включить общий доступ к файлам и принтерам в брандмауэре. Однако, если вы используете брандмауэр Windows, как я, вы можете использовать следующие шаги для решения этой ошибки:

  1. открыто Панель управления с рабочего стола или меню Пуск.
  2. Перейти к Брандмауэр Защитника Windows.
  3. Нажмите на Разрешить приложение или функцию через брандмауэр Windows Кнопка с левой стороны вариантов.

allow_an_app_through_firewall

4. В открывшемся списке установленных приложений нажмите Изменить настройки Кнопка вверху для предоставления административных привилегий.
5. Перейдите к Общий доступ к файлам и принтерам и установите флажок рядом с ним в частных и общедоступных сетях.
6. Нажмите на Ok чтобы завершить ваши изменения.

change_file_printer_settings

7. Начать сначала твой компьютер.

Теперь проверьте, сохраняется ли ваша ошибка.

Завершение

Итак, вот оно. Теперь вы знаете, как решитьимя локального устройства уже используется«Ошибка с использованием одного или комбинации исправлений, представленных выше. Комментарий ниже, чтобы сообщить нам, какое исправление решило вашу проблему, и обсудить то же самое.

Читайте также: