Il doppio click sulle unita´ non le apre piu´ e si apre invece la finestra “cerca” oppure “apri con”?

Giovanni Bernardo | 7 aprile 2009
Categorie: Sicurezza - Windows

Dopo aver preso e ripulito alcuni virus, si verifica alcune volte questo inconveniente: facendo doppio click sull’hard disk o su altre unità, anzichè aprirsi la finestra di esplora risorse che mostra il contenuto dell’unità, si apre o il messaggio “apri con” (indicando all’utente che windows non è in grado di gestire questo “file”) oppure si apre la finestra “cerca“. Alcuni virus difatti disabilitano la funzione di apertura automatica delle unità su doppio click per “nascondere” a colpo d’occhio alcuni files infetti.

La chiave di registro che si occupa di questa funzione è

HKEY_CLASSES_ROOT\Drive

e al 99% dei casi è l’alterazione di questa chiave che provoca tale problema. Dal momento che spesso non basta ripristinare tale chiave per risolvere il problema, vi illustro i semplici passaggi da fare, seguiteli con attenzione e non fate cose affrettate.

In allegato in fondo all’articolo si può scaricare il file di registro “sano” (prelevato da un pc non infetto e funzionante): basta scompattare l’archivio, fare doppio click sul file reg e rispondere SI alla domanda che verrà fatta. A questo punto: FERMI! Non fate l’errore di andare a provare se funziona!

Questa risposta di includere il file di registro sano, viene data su molti forum senza però spiegare che ciò spesso non risolve il problema, dal momento che generalmente tali virus che disattivano la funzione di questa chiave di registro,  includono anche un file autorun.inf nell’unità che presenta il problema.

Chiariamo innanzitutto che il file autorun.inf non è un virus, è un semplice file di testo che windows cerca per primo quando viene eseguito il doppio click su un’unità e contiene un’istruzione: quale programma lanciare quando si fa proprio doppio click sull’unità in questione.

Il problema quindi è ovvio: il virus oltre a disattivare la chiave di registro, include anche una copia di se stesso sul drive e crea un file autorun.inf in maniera tale che se ripristiniamo la chiave di registro, l’utente convinto di aver risolto il problema va a fare doppio click sull’hard disk, in automatico windows cerca il file autorun.inf, lo trova e all’interno gli viene detto di eseguire il virus, il virus viene eseguito, si replica ed ecco che non notiamo nessun miglioramento.

Quindi: dopo aver ripristinato la chiave di registro, controlliamo innanzitutto se è presente il file autorun.inf e soprattutto apriamolo per vedere a cosa va a puntare.

Abbiamo appena incluso il file di registro sano, ora andiamo sull’unità che presenta il problema, non facciamoci doppio click ma clicchiamoci su col tasto destro e selezioniamo Esplora.

Il file autorun.inf potrebbe essere già visibile ma non è importante, dobbiamo fare in modo da visualizzare i files nascosti. Dal menù “Strumenti” scegliamo “Opzioni cartella”, andiamo sulla scheda “Visualizzazione” e selezioniamo “Visualizza cartelle e files nascosti”  (io consiglio anche eventualmente di deselezionare “Nascondi le estensioni per i tipi di files conosciuti”). Diamo l’ok e controlliamo soltanto adesso se è presente Autorun.inf

Se non è presente, allora facciamo la prova se tutto è ok andando a fare doppio click sull’unità in esplora risorse.

Se invece è presente, prima di cancellarlo, controlliamo a chi va a puntare. Rinominiamo autorun.inf in autorun.txt e quindi facciamo doppio click per aprirlo con notepad. Dovrebbe esserci all’interno una riga del genere:

open=nome_di_un_file

oppure

shellexecute=nome_di_un_file

Bene (anzi: male!), tramite la funzione di ricerca di windows (tastino “cerca” in esplora risorse) cerchiamo il file “nome_di_un_file” (cioè quello scritto dopo l’uguale che segue soltanto “open” o “shellexecute” e non anche eventuali altre cose). Dalla finestra cerca selezioniamo “Tutti i file e le cartelle” e mettiamoci il nome del file preciso (da “Altre opzioni avanzate” assicuriamoci che siano selezionate le voci: Cerca nelle cartelle di sistema, Cerca nei file e nelle cartelle nascosti, Cerca nelle sottocartelle), facciamo click su “Cerca” e attendiamo che la ricerca finisca.

Se la ricerca va a buon fine, le soluzioni sono o cancellare i files trovati se siamo sicuri che benevoli non sono o  (meglio) farli scansionare da un BUON antivirus (anche perchè se avete il problema descritto in questo articolo dopo aver ripulito il pc con l’antivirus, probabilmente l’antivirus usato tanto buono non è, dato che questi files li avete ritrovati – a meno che la funzione cerca non li ritrovi nelle cartelle di quarantena -).

Inutile dire che i file autorun.inf sono normalmente presenti su cd autopartenti o anche su chiavette usb sulle quali avete installato programmi che si caricano in automatico all’inserimento, ma dare lo stesso una controllata  (soprattutto sulla chiavetta usb) non fa mai male. Il file autorun.inf non deve sicuramente essere presente sull’hard disk principale (quello con il sistema operativo) o in altri hard disk montati nel pc.

Una volta appurato che l’autorun carica qualcosa di dannoso, passiamo a cancellare pure autorun.inf dall’unità.

[download#25]

ATTENZIONE:

Alcuni utenti su internet, con molta poca professionalità, linkano questa pagina dicendo di andare in fondo all’articolo e scaricare il file ed eseguirlo: prima di eseguirlo, leggete la procedura sopra esposta! Se lo eseguite semplicemente e poi fate doppio click sull’unità in cui è contenuto un autorun che punta a un virus è ovvio che non ottenete risultato! E’ quindi chiaro che a molti interessano “i file miracolosi da scaricare” e farsi belli davanti agli altri senza assolutamente sforzarsi di capire ciò che c’è dietro sia ad una procedura sia dietro al lavoro delle persone.



Questo articolo ti è stato utile? Ti ha permesso di risolvere un problema o di migliorare le tue applicazioni? Ci lavori? Ti ha permesso di scrivere la tua tesina? Ti ha semplicemente fatto spendere un po' del tuo tempo in maniera costruttiva? Allora clicca il banner qui sotto:


Settorezero.com è un blog personale di Giovanni Bernardo aperto dal 25 Ottobre 2007. Non è una testata giornalistica né un sito a carattere commerciale.
Settorezero.com, il logo Zroid™ e la tagline "Play embedded electronics™" sono copyright ©2007÷2018 Giovanni Bernardo.
La navigazione su settorezero.com e la fruizione dei contenuti ivi presenti sono soggette ai seguenti Termini di utilizzo - Informativa sulla privacy - Utilizzo dei Cookie.
Il tema di questo sito è basato sul tema Fusion per wordpress, realizzato originariamente da digitalnature e fa uso del plugin Wassup per il computo delle statistiche.
Per poter contattare il gestore del sito potete utilizzare la sezione contatti o inviare una email a gianni[at]settorezero[dot]com.
Per seguire gli aggiornamenti del blog Settorezero, oltre al feed RSS, puoi anche seguire la pagina Facebook o iscriverti al canale Telegram.
Su Twitter, invece, pubblico un po' di tutto e, quando mi va, uso anche Tumblr - Google+ - Blogspot - Youtube.