Virus u9dyi, extensions invisibles

Question

Bonsoir, 

J'ai récemment été contaminé sur mon windows par le virus u9dyi.exe via une clé USB vérolée. Ce virus n'apparait pas sous Windows car il est en fichier caché. J'ai pu le détecter et le supprimer directement à la racine de C:/(ainsi que son associé ckvo.exe dans system32) grâce à ma partition Ubuntu Linux.

Résultat: le virus n'infecte plus mes périphériques (car supprimé), et je croyais en être définitivement débarrassé.

Malheureusement j'ai constaté qu'il a réussi à mettre le bordel dans le système. En fait, dans l'explorateur les extensions ne s'affichent plus. Il ne reste que le nom des fichiers. Quand on renomme, impossible de modifier l'extension. De même impossible de faire une recherche à partir d'une extension. C'est très gênant car je programme beaucoup et je manipule souvent des fichiers. De plus les fichiers cachés n'apparaissent plus quand on le souhaite.

Avant d'envisager une réinstalle complète, Auriez vous une solution pour résoudre mes problèmes.

Merci d'avance.

J'ai fait un scan avec hijackthis, le voici:

///////////////////////////////////////////////////////

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:05, on 02/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TpScrLk.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\j2re1.4.2_13\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\murmur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_13\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_13\bin
pjpi142_13.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_13\bin
pjpi142_13.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\PkgMgr.exe
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://support.lenovo.com/fr/en/
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Utilisateur anonyme · Answer

Salut;


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Murmur · Answer

Salut Chiquitine, 

Merci pour ton aide

Je télécharge usbfix de suite, mais je ne pourrais t'envoyer le log que dans 4h environ (si tu es toujours là). Il faut dire ma situation n'aide pas trop à résoudre mes problèmes et j'espère que tu comprendras : je suis en Nlle Caledonie (10 de décalage horaire), au travail en ce moment, mon ordi infecté est chez moi et j'ai pas Internet (trop chère ici, mdr) 

Je rentre chez moi a midi, je fais le scan et je te l'envoie à mon retour. A tout a l'heure, je reste connecté

Utilisateur anonyme · Answer

oki

pas de soucis 

ne connecte pas tes clé usb au taf 

biz

Murmur · Answer

Re,

Voilà le rapport Usbfix:

-------------- UsbFix V2.395 ---------------

* User : murmur - ZIGATON
* Outils mis a jours le 01/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 12:33:40 le 03/11/2008
* Windows Xp - Internet Explorer 6.0.2900.2180 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\DOCUME~1\murmur\LOCALS~1\Temp\1.tmp\b2e.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

E: - Lecteur fixe

H: - Lecteur amovible

  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    TPKBDLED	REG_SZ	C:\WINDOWS\system32\TpScrLk.exe
    TPHOTKEY	REG_SZ	C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
    TP4EX	REG_SZ	tp4ex.exe
    SoundMAXPnP	REG_SZ	C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    SoundMAX	REG_SZ	"C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    PWRMGRTR	REG_SZ	rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
    BLOG	REG_SZ	rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
    IgfxTray	REG_SZ	C:\WINDOWS\system32\igfxtray.exe
    HotKeysCmds	REG_SZ	C:\WINDOWS\system32\hkcmd.exe
    Persistence	REG_SZ	C:\WINDOWS\system32\igfxpers.exe
    SynTPLpr	REG_SZ	C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    SynTPEnh	REG_SZ	C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    TpShocks	REG_SZ	TpShocks.exe
    EZEJMNAP	REG_SZ	C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
    TPKMAPHELPER	REG_SZ	C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
    SmcService	REG_SZ	C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\j2re1.4.2_13\bin\jusched.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    LClock	REG_SZ	lclock.exe
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
 
 -> Recherche négative. 
  
--------------- [ Nettoyage des disques ] ----------------   
   
  
--------------- [ Listing des fichiers présents ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[08/01/2006 03:54][--a------] C:\AUTOEXEC.BAT   
[04/08/2004 11:38][-rahs----] C:\NTDETECT.COM   
[08/01/2006 04:39][--ahs----] C:\boot.ini   
[19/10/2008 18:34][---------] D:\cutkiller.exe   
[19/10/2008 18:34][---------] D:\PChange.exe   
[19/10/2008 18:34][---------] D:\ViewKeyXP.exe   
[28/06/2007 14:36][--a------] H:\HijackThis.exe   
[28/06/2007 14:36][--a------] H:\UsbFix.exe   
 
--------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

Salut,


refais un scan hijackthis et post le raaport

Murmur · Answer

Salut Chiquitine,

Voilà le rapport hijackthis:

//////////////////////////////////////////////////

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:36, on 04/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TpScrLk.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\j2re1.4.2_13\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Documents and Settings\murmur\Bureau\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_13\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_13\bin
pjpi142_13.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_13\bin
pjpi142_13.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\PkgMgr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Arf37 · Answer

Up. Save me! \o/

Lyonnais92 · Answer

Bonjour mirmir,

je ne sais pas si la manip a suffit.

Si tu as toujours tes problèmes, la solution pour les fichiers cachés est simple :

1) ouvre le registre (démarrer, exécuter, regedit)

navigue avec les + et - jusqu'à la clé 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

Tu cliques sur fichier, Exporter et tu suis les instructions. Tu mets le fichier .reg sur ton Bureau pour le retrouver facilement. En cas de problème, un double-clic sur le fichier restaurera dans l'état actuel.

2) tu ouvres SHOWALL (sous clé de Hidden)

tu fais un clic droit sur CheckedValue puis tu cliques Modifier et tu remplaces 0 par 1.

Si ça ne suffit pas, il y aura une autre clé à modifier.

Si le problème des extensiosn perdure, il me faudra trouver la (ou les) clé(s) concernées. C'est un peu plus long.

Je veux donc vérifier que tu as toujours le problème.

Unstatic · Answer

Bonsoir,
je me permet d'entrer dans la discution car j'ai à peu prés le même problème que Murmur.
Suite à une infection apparement maitrisé par NOD32, je n'ai plus l'affichage des extensions et des fichiers cachés.
J'avais un fichier "info.exe" dans tous les dossiers "Recycled" et un fichier "Autorun.inf" à la racine de toutes mes partitions infectés par "Win32/AutoRun.DC worm".
Je n'ai pas fait toutes les manips du début car je ne sais pas si elles sont approprié à mon cas,
par contre j'ai vérifié la valeur de la clé indiqué par Lyonnais92, et elle est déjà sur 1.
Donc si quelqupourrait m'aider à moi aussi ce serait bien cool.
Merci d'avançe...

Lyonnais92 · Answer

Bonsoir,

murmur, des nouvelles ?

Pour les extensiosn, la clé est :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

et la valeur concerné est HideFileExt dont la valeur doit être 0 .

La modification peut se faire comme l'autre, avec les mêmes précautions.

Unstatic · Answer

Merci Lyonnais92,
en fait, j'ai 2 fois la valeur HideFileExt, 1 fois avec 1 et une fois avec 0.
Donc est-ce que je dois supprimer celle qui est sur 1 ou la mettre sur 0?

Unstatic · Answer

Je t'ai mis le doublon en gras.

Voilà:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ServerAdminUI"=dword:00000000
"Hidden"=dword:00000001
"ShowCompColor"=dword:00000001
"HideFileExt"=dword:00000001
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000001
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000001
"ListviewAlphaSelect"=dword:00000001
"ListviewShadow"=dword:00000000
"ListviewWatermark"=dword:00000000
"TaskbarAnimations"=dword:00000001
"StartMenuInit"=dword:00000002
"StartButtonBalloonTip"=dword:00000002
"ShowSuperHidden"=dword:00000000
"WebViewBarricade"=dword:00000001
"FolderContentsInfoTip"=dword:00000001
"FriendlyTree"=dword:00000001
"HideFileExt "=dword:00000000
"ShowSuperHidden "=dword:00000001
"ClassicViewState"=dword:00000000
"DisableThumbnailCache"=dword:00000000
"NoNetCrawling"=dword:00000001
"PersistBrowsers"=dword:00000001
"LoosenRudeAppCheck"=dword:00000001
"Start_ShowNetPlaces"=dword:00000001
"Start_ShowNetConn"=dword:00000001
"Start_LargeMFUIcons"=dword:00000000
"Start_MinMFU"=dword:0000000a
"Start_EnableDragDrop"=dword:00000001
"Start_ShowHelp"=dword:00000000
"Start_ShowRun"=dword:00000001
"Start_ShowSetProgramAccessAndDefaults"=dword:00000000
"Start_ScrollPrograms"=dword:00000001
"Start_ShowPrinters"=dword:00000001
"Start_ShowMyMusic"=dword:00000001
"StartMenuFavorites"=dword:00000000
"Start_ShowMyDocs"=dword:00000001
"Start_ShowMyPics"=dword:00000001
"Start_ShowControlPanel"=dword:00000001
"Start_ShowMyComputer"=dword:00000001
"Start_ShowSearch"=dword:00000001
"Start_ShowRecentDocs"=dword:00000000
"Start_AutoCascade"=dword:00000001
"Start_NotifyNewApps"=dword:00000000
"Start_AdminToolsRoot"=dword:00000000
"StartMenuAdminTools"=dword:00000000
"TaskbarSizeMove"=dword:00000000
"TaskbarGlomming"=dword:00000001


Tu vois, c'est bizarre, que me conseilles-tu?

Unstatic · Answer

la valeur à 0 passe à 1 lorsque je modifie l'affichage des extensions à partir des options des dossiers,
si ça peut t'aider.......
Et merci encore pour ton aide...

Lyonnais92 · Answer

Re,

unstatic, si j'ai bien compris, une des 2 lignes change "normalement" quand tu modifies l'affichage via les options d'affichage et l'autre reste bloquée.

Ouvre le registre, sauve la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Explorer\Advanced comme dit plus haut et fais un clic droit sur la ligne qui ne change pas et Supprimer. Ferme le registre et fais redémarrer l'ordi.

Ceci dit, je ne comprends pas bien quel problème tu as.

Unstatic · Answer

Oui tu as bien compris, mais en supprimant la "mauvaise" ligne au redémarrage elle est de nouveau là!
J'ai l'impression que je suis encore infecté.
Je te met mon Hijachthis si ça peut aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:57, on 06/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\System32\DeltaIITray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
F:\Logiciels portables\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "c:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe
O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Logiciels portables\AdAwarePortable\App\AdAware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

Lyonnais92 · Answer

Re,

il n'y a rien dans le rapport Hijackthis. Ce qui ne l'étonne pas.

Par contre, le doublon n'en est pas un !

"HideFileExt"=dword:00000001 
"HideFileExt "=dword:00000000 

Il y a un caractère non imprimable à la fin sur la seconde ligne.

C'est celle là que tu supprimes et qui revient ?

Si c'est le cas, 

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : HideFileExt 

Attention, copie le caractère caché après le t "final"

- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

Murmur · Answer

Salut et  merci Lyonnais92

J'ai fait comme expliqué plus haut, modifications 1-0 0-1 dans regedit puis modification des options des dossiers. Je peux de nouveau accéder au fichiers cachés et voir les extensions des fichiers. Tout remarche comme avant. merci encore. Bonne chance Unstatic, je laisse sur statut non résolu.

Lyonnais92 · Answer

Bonjour,

Murmur, je suis très content que ton problème soit résolu.

Je suis confus d'avoir laissé squatté ton topic (en général j'évite).

On va essayer de résoudre celui de Unstatic qui semble un peu plus résistant.

Unstatic · Answer

Encore merci et désolé du squattage!!!
Effectivement, j'avais pas vu le caractére caché.
Je fais la manip avec OAD et vous tiens au courant, par contre j'ai 9 partitions pour un peu plus d'1To, donc ça risque d'être long.
A tout.

Unstatic · Answer

Encore merci et désolé du squattage.
Non c'est l'autre que j'ai essaé de supprimer, par contre en le mettant sur 0 je récupére les extensions.
J'ai l'impression que j'ai le même probléme sur la valeur ShowSuperHidden, regarde le post avec ma clé de registre.
Tu sais à quoi correspond cette valeur?
Voilà le rapport OAD:

 07/11/2008 ---- 12:02:45,12  

----------------------------------
§§§§§§ [HideFileExt ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"ValueName"="HideFileExt "

[HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt "=dword:00000000

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

unstatic · Answer

Désolé pour la redondance des posts, j'ai l'impression qui a eu un "bug".
J'ai compris que la valeur ShowSuperHidden  correspond aux fichiers cachés, donc j'ai pu les afficher.
Voilà le rapport OAD avec ShowSuperHidden  :


 07/11/2008 ---- 12:28:13,65  

----------------------------------
§§§§§§ [ShowSuperHidden ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden "

[HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden "=dword:00000001

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Lyonnais92 · Answer

Bonjour,

Unstatic, tu as à la fois raison et tort.

Tu as raison de dire que Superhidden est concerné en plus de Hidden.

Mais les données que tu fournis sont infectieuses (à cause du caractère supplémentaire à la fin).

Par contre, il me semble que on a les données du mécanisme : 

la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 
a (entre autres) comme valeur "ValueName" dont la donnée (malware) est "ShowSuperHidden " .

Cette donnée correspond à la valeur "ShowSuperHidden " de la clé HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] 

Pour qu'on corrige (je ferai un script pour ça), fais ça pour les 4 clés :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Explorer\Advanced\Folder\HideFileExt
 

[HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
 

HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

uvre le registre et navigue avec les + et les - jusqu'à la clé

NOM_de_la_CLE

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.

unstatic · Answer

Ok, si j'ai bien compris c"est ça que tu m'as demandé.
Par contre il y en a une en double dans les 4 que tu m'as demandé, donc j'en ai que 3.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"Type"="checkbox"
"Text"="@shell32.dll,-30503"
"HKeyRoot"=dword:80000001
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"ValueName"="HideFileExt "
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51101"



Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"ValueName"="ShowSuperHidden "
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""



Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ServerAdminUI"=dword:00000000
"Hidden"=dword:00000001
"ShowCompColor"=dword:00000001
"DontPrettyPath"=dword:00000000
"ShowInfoTip"=dword:00000001
"HideIcons"=dword:00000000
"MapNetDrvBtn"=dword:00000000
"WebView"=dword:00000001
"Filter"=dword:00000000
"SuperHidden"=dword:00000000
"SeparateProcess"=dword:00000001
"ListviewAlphaSelect"=dword:00000001
"ListviewShadow"=dword:00000000
"ListviewWatermark"=dword:00000000
"TaskbarAnimations"=dword:00000001
"StartMenuInit"=dword:00000002
"StartButtonBalloonTip"=dword:00000002
"ShowSuperHidden"=dword:00000001
"WebViewBarricade"=dword:00000001
"FolderContentsInfoTip"=dword:00000001
"FriendlyTree"=dword:00000001
"HideFileExt "=dword:00000000
"ShowSuperHidden "=dword:00000001
"ClassicViewState"=dword:00000000
"DisableThumbnailCache"=dword:00000000
"NoNetCrawling"=dword:00000001
"PersistBrowsers"=dword:00000001
"LoosenRudeAppCheck"=dword:00000001
"Start_ShowNetPlaces"=dword:00000001
"Start_ShowNetConn"=dword:00000001
"Start_LargeMFUIcons"=dword:00000000
"Start_MinMFU"=dword:0000000a
"Start_EnableDragDrop"=dword:00000001
"Start_ShowHelp"=dword:00000000
"Start_ShowRun"=dword:00000001
"Start_ShowSetProgramAccessAndDefaults"=dword:00000000
"Start_ScrollPrograms"=dword:00000001
"Start_ShowPrinters"=dword:00000001
"Start_ShowMyMusic"=dword:00000001
"StartMenuFavorites"=dword:00000000
"Start_ShowMyDocs"=dword:00000001
"Start_ShowMyPics"=dword:00000001
"Start_ShowControlPanel"=dword:00000001
"Start_ShowMyComputer"=dword:00000001
"Start_ShowSearch"=dword:00000001
"Start_ShowRecentDocs"=dword:00000000
"Start_AutoCascade"=dword:00000001
"Start_NotifyNewApps"=dword:00000000
"Start_AdminToolsRoot"=dword:00000000
"StartMenuAdminTools"=dword:00000000
"TaskbarSizeMove"=dword:00000000
"TaskbarGlomming"=dword:00000001
"HideFileExt"=dword:00000000

Lyonnais92 · Answer

Re,

Attention, cette manip a été faite pour unstatic, toute réutilisation est susceptible d'endomamger le système d'exploitation.

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe


Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

NB n'oublie pas les : avant reg, ils sont essentiels.

:processes
explorer.exe
 

:reg
[HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]  
"HideFileExt "=-
"ShowSuperHidden "=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"ValueName"="HideFileExt"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden" 

 
:Commands
[emptytemp]
[Reboot]


Clique sur "MoveIt!" pour lancer la suppression.

Reteste et dis moi ce qu'il en est de l'affichage des extensions et des fichiers cachés.

unstatic · Answer

Salut Lyonnais92,
j'ai fait la manip que tu m'as demandé, les doublons du registre ont eté supprimé.
Voilà le log OTMoveIt3:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt  deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1343024091-261478967-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden  deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\"ValueName"|"HideFileExt" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\"ValueName"|"ShowSuperHidden" /E : value set successfully!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\David\LOCALS~1\Temp\etilqs_ha1clbGxSeWx2wsCRobd scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11082008_150551

Files moved on Reboot...
File C:\DOCUME~1\David\LOCALS~1\Temp\etilqs_ha1clbGxSeWx2wsCRobd not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\David\Local Settings\Application Data\Mozilla\Firefox\Profiles
6s6lucv.default\XUL.mfl moved successfully.


J'ai l'impression que ça a fonctionné, en tout cas j'ai récup mes extensions et fichiers cachés!
Merci encore pour ton aide.
Connaitrais-tu un bon soft pour voir s'il n'y a pas d'autres erreur dans mon registre?

Lyonnais92 · Answer

Re,

instatic, j'espère que c'est bon.

Pour ta demande, si tu cherches un nettoyeur, celui-ci te rendra service :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

Il s'exécute comme ça :

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.

Il nettoie aussi les fichiers et répertoires :

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]


Si tu cherches un analyseur des infections logées dans le registre, c'est un autre sujet.

==========================

murmur, je n'ai pas oublié que c'est ton topic.

Je reste prêt à répondre à tes problèmes.

Ta solution va ressembler à celle de unstatic mais il faut certainement des adaptations.

unstatic · Answer

Ok, je connais déjà Ccleaner, mais comme tu m'as l'air calé en registre windows je pensai que t'aurai autre chose, mais si tu me dis que Ccleaner est bien, je vais continuer avec.
Encore une fois merci à toi Lyonnais92 pour ton aide précieuse, et aussi à Murmur de m'avoir laissé squatter son post!

Virus u9dyi, extensions invisibles - Page 2

Discussions similaires

Newsletters