Clé HideFileExt
Fermé
Julien
-
26 déc. 2007 à 18:39
sainche Messages postés 86 Date d'inscription vendredi 6 novembre 2009 Statut Membre Dernière intervention 26 août 2015 - 6 janv. 2011 à 04:36
sainche Messages postés 86 Date d'inscription vendredi 6 novembre 2009 Statut Membre Dernière intervention 26 août 2015 - 6 janv. 2011 à 04:36
25 réponses
Salut à tous,
Petite aide pour enlever le virus WIN32.Worm.VB.NPM ou W32.SillyDC ou Worm.WIN32.Autorun virus qui masque les extensions de fichiers et qui se copie de disque en disque.
bon voici ce que j'ai fait : Je précise que jouer avec les fichiers système et la base de registre est dangeureux. Je ne serai pas responsable si vous avez des problèmes, je ne fais d'exposer mon aventure ;-)
0° Vérifier qu'il s'agit bien du même virus ... : Pour cela, ouvre le bloc notes, tu fais fichier > ouvrir, et dans "nom du fichier" tu tapes : C:\autorun.inf. Si le bloc notes ouvre un fichier contenant :
[autorun]
open=
shell\open\Command=RECYCLED\INFO.EXE
shell\open\Default=1
shell\explore\Command=RECYCLED\INFO.EXE
c'est qu'à priori tu as le même virus donc tu peux continuer ;-)
1° Désactiver le virus : Gestionnaire des tâches, Onglet Processus, System.exe => Terminer le processus (attention à ne pas confondre avec System sans le .exe qui est une partie de Windows). Pour ouvrir le gestionnaire des tâches, tu fais un cluc droit sur la barre des programme en bas puis Gestionnaire des Tâches.
2° Supprimer les fichiers : C'est une partie délicate, puisque le virus cache ses propre fichiers. Il faut trouver un moyen d'accéder à ces fichiers cachés. Pour ma part j'ai utilisé le programme FileZilla, qui même s'il est un client FTP peut accéder aux fichiers et dossiers cachés et les Effacer.
Les fichiers à supprimer sont ceux décrits sur la page donnée plus haut. Donc :
C:\Windows\Config\svchost.exe
C:\Windows\Config\System.exe
C:\System.exe
C:\Autorun.inf
et les dossiers suivants sont à supprimer aussi :
C:\Recycled
C:\Config
Il faut également supprimer sur chaque autre disque que le C:\ le fichier %:\Autorun.info et le dossier %:\RECYCLED (penser à le faire sur les disques durs externes, les clef usb, etc ... qui sont sujet à ce virus. Si tu ne le fais pas, tu risques de te faire ré-infecter).
3° Rétablir la Base de registre :
Ouvre le registre : Démarrer > exécuter > regedit
Trouve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System et Supprime
Trouve HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system et supprime
Trouve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
et modifie ces clef là :
ShowSuperHidden = 0x00000000 tu mets ShowSuperHidden = 0x00000001
HideFileExt = 0x00000001 tu mets HideFileExt = 0x00000000
Trouve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
et modifie ValueName = "HideFileExt " en ValueName = "HideFileExt" (il faut enlever le dernier espace en fin de valeur)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
pareil, modifie ValueName = "ShowSuperHidden " en ValueName = "ShowSuperHidden"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
modifie Userinit = "%System%\userinit.exe,System" en Userinit = "%System%\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
la valeur load="System" vider la valeur (effacer System mais garder la clef).
Voilà chez moi ça a marché, je suis content ! :)
bonne année ;)
Petite aide pour enlever le virus WIN32.Worm.VB.NPM ou W32.SillyDC ou Worm.WIN32.Autorun virus qui masque les extensions de fichiers et qui se copie de disque en disque.
bon voici ce que j'ai fait : Je précise que jouer avec les fichiers système et la base de registre est dangeureux. Je ne serai pas responsable si vous avez des problèmes, je ne fais d'exposer mon aventure ;-)
0° Vérifier qu'il s'agit bien du même virus ... : Pour cela, ouvre le bloc notes, tu fais fichier > ouvrir, et dans "nom du fichier" tu tapes : C:\autorun.inf. Si le bloc notes ouvre un fichier contenant :
[autorun]
open=
shell\open\Command=RECYCLED\INFO.EXE
shell\open\Default=1
shell\explore\Command=RECYCLED\INFO.EXE
c'est qu'à priori tu as le même virus donc tu peux continuer ;-)
1° Désactiver le virus : Gestionnaire des tâches, Onglet Processus, System.exe => Terminer le processus (attention à ne pas confondre avec System sans le .exe qui est une partie de Windows). Pour ouvrir le gestionnaire des tâches, tu fais un cluc droit sur la barre des programme en bas puis Gestionnaire des Tâches.
2° Supprimer les fichiers : C'est une partie délicate, puisque le virus cache ses propre fichiers. Il faut trouver un moyen d'accéder à ces fichiers cachés. Pour ma part j'ai utilisé le programme FileZilla, qui même s'il est un client FTP peut accéder aux fichiers et dossiers cachés et les Effacer.
Les fichiers à supprimer sont ceux décrits sur la page donnée plus haut. Donc :
C:\Windows\Config\svchost.exe
C:\Windows\Config\System.exe
C:\System.exe
C:\Autorun.inf
et les dossiers suivants sont à supprimer aussi :
C:\Recycled
C:\Config
Il faut également supprimer sur chaque autre disque que le C:\ le fichier %:\Autorun.info et le dossier %:\RECYCLED (penser à le faire sur les disques durs externes, les clef usb, etc ... qui sont sujet à ce virus. Si tu ne le fais pas, tu risques de te faire ré-infecter).
3° Rétablir la Base de registre :
Ouvre le registre : Démarrer > exécuter > regedit
Trouve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System et Supprime
Trouve HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system et supprime
Trouve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
et modifie ces clef là :
ShowSuperHidden = 0x00000000 tu mets ShowSuperHidden = 0x00000001
HideFileExt = 0x00000001 tu mets HideFileExt = 0x00000000
Trouve HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
et modifie ValueName = "HideFileExt " en ValueName = "HideFileExt" (il faut enlever le dernier espace en fin de valeur)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
pareil, modifie ValueName = "ShowSuperHidden " en ValueName = "ShowSuperHidden"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
modifie Userinit = "%System%\userinit.exe,System" en Userinit = "%System%\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
la valeur load="System" vider la valeur (effacer System mais garder la clef).
Voilà chez moi ça a marché, je suis content ! :)
bonne année ;)
bonjour,
j'ai le même problème que vous
quelqu'un a-t-il une solution ? ce serait super, là je ne comprends plus rien :(
d'avance merci,
Tibo'
(et Bonne Année :):))
j'ai le même problème que vous
quelqu'un a-t-il une solution ? ce serait super, là je ne comprends plus rien :(
d'avance merci,
Tibo'
(et Bonne Année :):))
Bonjour,
J'ai exactement le même probleme sur mes deux pc depuis quelques semaines.
Et de même rien au scan Avast...
J'ai exactement le même probleme sur mes deux pc depuis quelques semaines.
Et de même rien au scan Avast...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai trouvé la solution ...
sur cette page : https://www.symantec.com?uid=b172ae37-2713-4d7d-8fc9-3ab837866f71
toutes les informations sur ce que fait le virus.
il faut défaire un à un.
enlever les fichiers, rétablir le registre, et ça marche.
bonne chance :)
sur cette page : https://www.symantec.com?uid=b172ae37-2713-4d7d-8fc9-3ab837866f71
toutes les informations sur ce que fait le virus.
il faut défaire un à un.
enlever les fichiers, rétablir le registre, et ça marche.
bonne chance :)
Bonjour Tibonum,
Pourrais tu expliquer clairement ce que tu as fait, j'ai du mal avec le lien que tu nous as communiquer. Je te remercie d'avance.
Pourrais tu expliquer clairement ce que tu as fait, j'ai du mal avec le lien que tu nous as communiquer. Je te remercie d'avance.
Alors là merci beaucoup, ca fonctionne !!!
Par contre ça veut dire qu'avast ne trouve pas ce ver du coup j'ai plus très confiance en ce soft pour le coup :-/
Par contre ça veut dire qu'avast ne trouve pas ce ver du coup j'ai plus très confiance en ce soft pour le coup :-/
C'est vrai qu'avast ne le trouve pas ...
mais bon, ni norto ni bitdefenter ni kaspersky n'a su me l'enlever alors qu'il l'avait détecté.
C'est pas vraiment mieux.
lol
mais bon, ni norto ni bitdefenter ni kaspersky n'a su me l'enlever alors qu'il l'avait détecté.
C'est pas vraiment mieux.
lol
Petite coquille dans mon post... ce ne sont pas les Autorun.info qu'il faut enlever (à priori ils n'existent pas) mais les Autorun.inf ;-) je pense que vous vous en doutiez.
Sinon, j'ai oublié le petit 4
4° Redémarrer le PC, et après tout remarche à merveille :-)
Voilà je crois que tout est dit.
P.S. : j'ai Windows XP Pro SP2. Je n'ai pas testé avec une autre version ...
Sinon, j'ai oublié le petit 4
4° Redémarrer le PC, et après tout remarche à merveille :-)
Voilà je crois que tout est dit.
P.S. : j'ai Windows XP Pro SP2. Je n'ai pas testé avec une autre version ...
Merci beaucoup à toi Tibonium.
Ni Avast, ni Kaspersky, ni Ad-Aware, ni Spybot S&D ne l'ont nettoyé correctement chez moi.
Grace à toi, ça refonctionne parfaitement.
Ni Avast, ni Kaspersky, ni Ad-Aware, ni Spybot S&D ne l'ont nettoyé correctement chez moi.
Grace à toi, ça refonctionne parfaitement.
PS: Moralité, méfiez vous des clefs usb et des disques durs externes. Vous avez beau être super prudent avec votre matos, si les autres le sont pas, vous trinquez quand même.
Un grand merci.
Panda antivirus ne le detecte pas non plus...
Une question quand même:
Je suis tombé sur cette discussion de virus en cherchant à résoudre un problème de session se refermant automatiquement dès son ouverture sur un premier ordi. Il s'avere qu'un deuxieme pc etant effectivement infecté par le virus décrit ci-dessus, il est tres probable que mon premier pc (bloqué) soit touché par ce virus. Y a t il des cas ou ce virus a entrainé des blocages plus importants avec des machines plus anciennes? (mon pc bloqué est sous une des premières version d'XP, upgradé à sp2).
Merci par avance.
Panda antivirus ne le detecte pas non plus...
Une question quand même:
Je suis tombé sur cette discussion de virus en cherchant à résoudre un problème de session se refermant automatiquement dès son ouverture sur un premier ordi. Il s'avere qu'un deuxieme pc etant effectivement infecté par le virus décrit ci-dessus, il est tres probable que mon premier pc (bloqué) soit touché par ce virus. Y a t il des cas ou ce virus a entrainé des blocages plus importants avec des machines plus anciennes? (mon pc bloqué est sous une des premières version d'XP, upgradé à sp2).
Merci par avance.
Pour répondre a ma propre question:
J'ai réparé Windows via le cd d'install (bizzarement ca marche pour l instant).
J ai pu constater que ce virus etait bien présent sur ce pc, mais comme mon disque dur system est le D: , ca a bloqué le virus.
Ainsi, dans la base de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit avait pour valeur: "D:\...\userinit.exe,C:\...\userinit.exe,System"
Et toutes les autres valeurs décrites ci-dessus etait modifiés pareillement (sauf HideFileExt et ShowSuperHidden).
En fait je m'en suis apercu, car le probleme que j'avais ressemblait a un ver appelé "BlazeFind" qui fait planter un pc quand il est nettoyé (mal) par un antivirus... voir: http://www.hotline-pc.org/demarrageproblemes.htm#0401
Et ce ver modifie également la même ligne de registe: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> Userinit.
Ca semble logique, et l'explication vient surement du fait que dans les deux cas on a un chemin qui mene a rien et qui fait planter le pc. Le reliquat du ver Blazefind de facon generale tout comme le virus nommé ci dessus quand le disque C: n'est pas le disque systeme...
Peut etre que quelqu un de plus calé que moi pourra infirmer ou confirmer cette analyse.
J'ai réparé Windows via le cd d'install (bizzarement ca marche pour l instant).
J ai pu constater que ce virus etait bien présent sur ce pc, mais comme mon disque dur system est le D: , ca a bloqué le virus.
Ainsi, dans la base de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit avait pour valeur: "D:\...\userinit.exe,C:\...\userinit.exe,System"
Et toutes les autres valeurs décrites ci-dessus etait modifiés pareillement (sauf HideFileExt et ShowSuperHidden).
En fait je m'en suis apercu, car le probleme que j'avais ressemblait a un ver appelé "BlazeFind" qui fait planter un pc quand il est nettoyé (mal) par un antivirus... voir: http://www.hotline-pc.org/demarrageproblemes.htm#0401
Et ce ver modifie également la même ligne de registe: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> Userinit.
Ca semble logique, et l'explication vient surement du fait que dans les deux cas on a un chemin qui mene a rien et qui fait planter le pc. Le reliquat du ver Blazefind de facon generale tout comme le virus nommé ci dessus quand le disque C: n'est pas le disque systeme...
Peut etre que quelqu un de plus calé que moi pourra infirmer ou confirmer cette analyse.
J'ai un souci avec un des fichiers \Recycled sur un disk dur externe.
A chaque tentative de le suprimer windows refuse car un programme est lance a partir de ce fichier. toute tentative de suprimer le contenu a l'interieur est futile car ce qui est supprimer
(ex: Dj101)est immediatement remplacer par un meme fichier (Dj102).
je vois pas comment faire :(
A chaque tentative de le suprimer windows refuse car un programme est lance a partir de ce fichier. toute tentative de suprimer le contenu a l'interieur est futile car ce qui est supprimer
(ex: Dj101)est immediatement remplacer par un meme fichier (Dj102).
je vois pas comment faire :(
s'agit-il bien du même virus ?
as-tu pu désactiver le virus ? (étape 1° Désactiver le virus)
sais-tu quel programme utilise ce fichier ?
peut-être en mode sans échec ...
as-tu pu désactiver le virus ? (étape 1° Désactiver le virus)
sais-tu quel programme utilise ce fichier ?
peut-être en mode sans échec ...
Merci Tibonum pour ta solution qui a marché sur le pc d'un ami mais pas sur le mien alors que les symptômes sont exactement les mêmes :(
Comme Cedric, impossible via Filezilla de supprimer C:\ Recycled dans l'étape 2) de Tibonum.
Autorun.inf est bien sur le C:\ et a le contenu suivant (le même que celui donné par Tibonum):
[autorun]
open=
shell\open\Command=RECYCLED\INFO.EXE
shell\open\Default=1
shell\explore\Command=RECYCLED\INFO.EXE
Je valide toutes les autres étapes mais la suppression du Recycled sur le C: génère le message :
Impossible de supprimer Recycled : cette ressource est utilisée par un autre programme.
Y compris en mode sans échec.
En rentrant dans le répertoire Recycled, la suppression des fichiers (dont INFO.EXE, ) ne donne rien. Comme le dit Cedric, un nouveau fichier avec un indice incrémenté de 1 par rapport au fichier tout juste supprimé est créé. Les fichiers commencent pour la plupart par Dc et non par Dj comme Cedric.
Quelqu'un aurait il une solution ??? please
Comme Cedric, impossible via Filezilla de supprimer C:\ Recycled dans l'étape 2) de Tibonum.
Autorun.inf est bien sur le C:\ et a le contenu suivant (le même que celui donné par Tibonum):
[autorun]
open=
shell\open\Command=RECYCLED\INFO.EXE
shell\open\Default=1
shell\explore\Command=RECYCLED\INFO.EXE
Je valide toutes les autres étapes mais la suppression du Recycled sur le C: génère le message :
Impossible de supprimer Recycled : cette ressource est utilisée par un autre programme.
Y compris en mode sans échec.
En rentrant dans le répertoire Recycled, la suppression des fichiers (dont INFO.EXE, ) ne donne rien. Comme le dit Cedric, un nouveau fichier avec un indice incrémenté de 1 par rapport au fichier tout juste supprimé est créé. Les fichiers commencent pour la plupart par Dc et non par Dj comme Cedric.
Quelqu'un aurait il une solution ??? please
Pour répondre à Cedric,
Le virus en question est probablement Brontok qui existe semble t il en moult versions.
Des infos sur le topic :
http://www.commentcamarche.net/forum/affich 2899424 virus infecte par brontok a
Je n'ai pas encore eu le temps de tester la solution proposée.
@+
Le virus en question est probablement Brontok qui existe semble t il en moult versions.
Des infos sur le topic :
http://www.commentcamarche.net/forum/affich 2899424 virus infecte par brontok a
Je n'ai pas encore eu le temps de tester la solution proposée.
@+
Bonjour,
J'ai aussi choppé cette chose innommable, avec son lot d'autorun.inf, system.exe, etc. copiés sur tous les disques ainsi que sur les clés USB.
Pour netoyer les clés USB, un truc imparable : se trouver une vieille config windows98. Cet OS les voit et on peut les effacer sans qu'ils se recopient automatiquement sur la clé. De plus Win98 est immunisé contre ce virus (maintenant, je n'utilise plus qu'un vieil ordi sous Win98 pour internet et j'ai déconnecté ma bécane de travail du réseau, ça limite les possibilités d'infection).
ET pour la machine de travail sous Win XP2, j'ai simplement lancé le scan online de https://www.bitdefender.fr/ et ça a été efficace.
Bon courage à tous,
Stéphane
J'ai aussi choppé cette chose innommable, avec son lot d'autorun.inf, system.exe, etc. copiés sur tous les disques ainsi que sur les clés USB.
Pour netoyer les clés USB, un truc imparable : se trouver une vieille config windows98. Cet OS les voit et on peut les effacer sans qu'ils se recopient automatiquement sur la clé. De plus Win98 est immunisé contre ce virus (maintenant, je n'utilise plus qu'un vieil ordi sous Win98 pour internet et j'ai déconnecté ma bécane de travail du réseau, ça limite les possibilités d'infection).
ET pour la machine de travail sous Win XP2, j'ai simplement lancé le scan online de https://www.bitdefender.fr/ et ça a été efficace.
Bon courage à tous,
Stéphane
Salut tout le monde
J'ai eut aussi ce "super" vers, et avec les infos de ce thread, j'ai pu éradiquer ce "virus".
Etant donné que la casi totalité des postes de nos salles informatiques sont inféctés par ce petit "chenapant",
j'ai fait un batch qui permet de supprimer ce vers.
J'espère qu'il fonctionnera pour tout le monde, et que je n'ai pas commit trop d'erreurs dans les lignes de codes,
c'est un batch, donc vous pouvez jeter un oeil dans le "code", et si jamais il y aurait un/pls erreurs,
je préfèrerais que vous m'en informiez par mail : tendre_l@pinou _-_AT-_- hotmail -POINT- fr
(supprimer le @ et le remplacer par un a normal)
(désolé pour cette adresse un peu farfeulue, mais lutte anti-spam (si ça marche comme ça ...))
vous pouvez télécharger le ZIP à http://willy.is-a-chef.net/ATI/supp_Worm.Win32.AutoRun.aha.zip
autre chose :
CONNECTEZ TOUTES VOS CLES USB, DISQUE DURS, et compagnie avant de lancer "supp autorun.bat"
n'oubliez pas de terminer le processus "System.exe" comme l'a précisé Tibonum, et lisez bien les instruction
d'ailleurs, je tiens à remercier Tibonum pour ces explications,
et corrige en même temps une modification à apporter pour son 3e post
c'est c:\window\System.exe qu'il faut supprimer
et c:\windows\Config
(%windir%\Config et %windir%\System.exe exactement)
Voilà, j'espère que les fichiers joints dans cette archive vous permettra de supprimer ce vers bcp plus rapidement
Willy
J'ai eut aussi ce "super" vers, et avec les infos de ce thread, j'ai pu éradiquer ce "virus".
Etant donné que la casi totalité des postes de nos salles informatiques sont inféctés par ce petit "chenapant",
j'ai fait un batch qui permet de supprimer ce vers.
J'espère qu'il fonctionnera pour tout le monde, et que je n'ai pas commit trop d'erreurs dans les lignes de codes,
c'est un batch, donc vous pouvez jeter un oeil dans le "code", et si jamais il y aurait un/pls erreurs,
je préfèrerais que vous m'en informiez par mail : tendre_l@pinou _-_AT-_- hotmail -POINT- fr
(supprimer le @ et le remplacer par un a normal)
(désolé pour cette adresse un peu farfeulue, mais lutte anti-spam (si ça marche comme ça ...))
vous pouvez télécharger le ZIP à http://willy.is-a-chef.net/ATI/supp_Worm.Win32.AutoRun.aha.zip
autre chose :
CONNECTEZ TOUTES VOS CLES USB, DISQUE DURS, et compagnie avant de lancer "supp autorun.bat"
n'oubliez pas de terminer le processus "System.exe" comme l'a précisé Tibonum, et lisez bien les instruction
d'ailleurs, je tiens à remercier Tibonum pour ces explications,
et corrige en même temps une modification à apporter pour son 3e post
c'est c:\window\System.exe qu'il faut supprimer
et c:\windows\Config
(%windir%\Config et %windir%\System.exe exactement)
Voilà, j'espère que les fichiers joints dans cette archive vous permettra de supprimer ce vers bcp plus rapidement
Willy
29 févr. 2008 à 02:41
jai exactement les memes symptomes avec la clé HideFileExt (décrit par julien au début de la discussion)
la solution miracle de tibonum ne marche malheureusement pas pour moi: je ne dépasse pas l'étape 0 puisque "c:\autorun.inf" n'existe pas sur mon pc! il ne s'agit visiblement pas du mm virus...
des idées..?
23 mars 2010 à 14:56
pour ceux qui ne trouve pas les premières étapes, allez tous de même voir dans votre registre.
les anti virus corrigent ou efface les premiers fichiers mentionnées mais pas les clés de registre, ceux qui fait que le virus n'est plus présent mais les modifications qu'il a apportées ne sont pas remise en ordre, capito?
6 janv. 2011 à 04:36