Bonjour à tous !
Après avoir bêtement chopé un virus par clé usb, j'ai un problème d'association de fichiers. Quand j'ouvre le lecteur C, ça lance une une recherche.

De plus, dans Option des dossiers/Types de fichier, impossible de mettre une autre action par défaut, le bouton "défaut" est grisé. (ça marche sur un ordi sans le virus).
Au passage, quelle est cette action "find" par défaut lors de l'ouverture d'un lecteur ? Je pense que c'est elle qui a été modifiée, mais comment la remettre dans son état initial ?

Impossible aussi de modifier les options pour voir ou non les fichiers cachés, des fichiers systèmes, des extensions de fichiers connus (je peux cocher ou décocher, mais ça n'a aucun résultat)

Comment remettre tout ça en ordre ? C'est possible de remettre tout ça par défaut ? Je précise que je ne peux pas formater, c'est un ordi de travail qui ne m'appartient pas

Merci d'avance pour votre aide, j'en ai bien besoin !

Le plus gros problème, c'est l'ouverture de lecteur qui ne marche pas par défaut. J'ai aucune piste pour régler ça pour l'instant
 
Pour le problèmes des fichiers cachés, j'ai essayé de voir la base de registre :

Ca change rien, je pense que cocher ou décocher les cases dans "Options des dossiers" change cette valeur en fait, mais elle n'a aucune influence sur l'affichage des fichiers cachés.

Après avoir lu ça :
http://forum.zebulon.fr/index.php? [...] wentry=617
j'ai également bien vérifié, et j'ai pas d'autorun.inf sur le C (vérifié avec un live CD ubuntu). Le virus semble bien avoir disparu.

J'ai aussi essayé à tout hasard de supprimer "Option des dossiers" et de le remettre, au cas où ça pouvait remettre les paramètres à zéro :

executer - "gpedit.msc" / Stratégie ordinateur local / Configuration utilisateur / Modèles d'administration / Explorateur Windows / "Supprimer l'élément de menu Option des dossiers du menu Outil" (Activer, désactiver, ...).
Ça ne marche pas, c'est juste le raccourcis qui part et qui revient, mais le problème reste le même.

Sinon je viens de penser à un truc : j'ai gardé le virus dans un coin (au cas où). C'est ce virus qui a modifié la base de registre ou autre chose.

Pour savoir exactement ce que le virus a fait, il faudrait que je le lance sur une machine cobaye, ou une machine virtuelle, avec sauvegarde de la base de registre avant et après l'infection...
Question : il existe quoi comme logiciel pour comparer deux versions de la base de registre ?

Edit : je vais utiliser Regshot

Bon je me lance dans l'install d'une machine virtuelle.

Au cas où certains auraient le même problème, ce virus est répertorié comme suit :
A-Squared le nomme Trojan.Crypt!IK
AntiVir le nomme Tr/Crypt.XPACK.Gen
F-PROT le nomme W32/SuspPack.AA.gen!Eldorado
IKARUS le nomme Trojan.Crypt

Les autres antivirus ne le détectent pas (à savoir ArcaVir, Avast, bitdefender, ClamAV, CPSecure, DrWeb, F-SECURE, G DATA, Kaspersky, NOD32, NORMAN, Panda, Quick Heal, SOPHOS, VBA32, VirusBuster)

Bon ben échec.. Le virus ne veut pas se lancer.
J'ai peut être pas pris le bon fichier : celui par lequel l'infection est arrivée (dur externe) a été supprimé directement.
Le fichier que j'ai gardé se trouvait à la racine du C de l'ordi infecté (autorun.inf et 8dtyjjf.exe). Apparemment, il ne veut pas se lancer le bougre...

Je suis un peu déçu...

Vous savez où je peux le re-chopper ce virus ?

Bon j'ai pas vraiment l'impression de déchainer les foules...
Je vais essayer de me concentrer sur un éventuel moyen de restaurer toutes les associations de fichier par défaut.

Je viens de tomber là dessus :
http://www.dougknox.com/xp/file_assoc.htm

Apparemment il y a un reg pour restaurer l'association de fichier des lecteurs ( http://www.dougknox.com/xp/fileass [...] on_fix.zip )

Edit : testé sur la machine virtuelle, ça marche nickel !

Il ne me reste plus que le problèmes des extensions de fichiers toujours masquées, des fichiers cachés et fichiers systèmes toujours cachés.

Bon, petit retour en arrière : j'ai finalement réussi à mettre la main sur le virus (sur une image disque de la machine infectée faite juste après l'infection).

Le fichier récupéré se nomme olhrwef.exe. Il se trouvait dans Temp.
Scan de ce fichier :

Je fais un instantané de la base de registre avec RegShot, ensuite j'execute ce fichier (olhrwef.exe). Je le vois aussitôt disparaitre. Je fais un autre instantané de la base de registre. Je vais voir dans le C: (en faisant exécuter / "c:" ) je vois bien tous les fichiers, et là je vois qu'il y a autorun.inf et 8dtyjjf.exe. Ils ont été mis là par le premier fichier. Je sors de c et j'entre en faisait ouvrir et là tous les fichiers cachés disparaissent. Impossible de les retrouver en cochant/décochant dans "Option des dossiers" . Je refais donc un troisième instantané de la base de registre.

Maintenant je vais comparer ces différents instantanés pour voir ce qu'il s'est passé en détail.

Pour commencer le programme copie dans à la racine de C :
Autorun.inf
xxx.exe

Il copie dans Temp :
olhrwef.exe

Il crée les clés suivantes :

HKLM\SYSTEM\ControlSet001\Services\AVPsys
HKLM\SYSTEM\ControlSet001\Services\AVPsys\Security
HKLM\SYSTEM\ControlSet001\Services\AVPsys\Enum
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Security
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Enum

Qu'il rempli de trucs (je vais pas donner tout le détail, je vais virer tout ça de toute façon).

Il crée ces trois valeurs :

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\sryvk158\Ohernh\nn\byuejrs.rkr: 01 00 00 00 06 00 00 00 90 1A E0 0D A6 13 CA 01
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft: "C:\DOCUME~1\felix158\LOCALS~1\Temp\olhrwef.exe"
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\felix158\Bureau\aa\olhrwef.exe: "olhrwef"

Et enfin modifie ces 6 valeurs (valeur originale en NOIR, valeur modifiée en ROUGE) :

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: C1 E9 79 D5 6C FA 6A A4 64 1B A9 77 08 C0 B6 0F 81 AD 77 5E B6 A9 9A B4 5A 49 A4 4F 03 51 AC 62 74 E7 B5 E3 34 19 47 CB 49 F4 BA 5B 70 CE 4A 4A 05 B1 6E 57 90 13 E2 6D 35 14 77 B0 85 8F 99 6A C7 6A A0 37 28 F6 D3 02 7F 6F 27 D8 FA A8 E4 AF
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 3D 14 7B 49 38 FD 63 11 6F 2D 63 63 48 8F 83 B8 63 B5 87 0A 91 9F 15 93 95 F2 D9 A8 52 1A F0 EF 31 03 A3 D9 34 BF 98 26 4B 48 7B FB 8D 74 99 32 D9 C3 B6 A6 B1 98 3F 29 81 B4 8B 14 E5 CD 64 35 82 41 C9 44 97 4F E2 34 61 2C A8 A2 B3 A4 FA F6

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000000

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000001
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000002

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000001
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 01 00 00 00 1B 00 00 00 50 59 01 F8 A5 13 CA 01
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 01 00 00 00 1C 00 00 00 90 1A E0 0D A6 13 CA 01

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 04 00 00 00 01 00 00 00 00 00 00 00 02 00 00 00 06 00 00 00 05 00 00 00 03 00 00 00 FF FF FF FF
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 06 00 00 00 04 00 00 00 01 00 00 00 00 00

Alors j'ai supprimé les fichiers infectés, et modifié les clés (sauf HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed.... vu que la valeur avait encore changé.

et aussi les S-1-5-21-448539723-1078145449-1343024091-1003 que je n'arrive pas a trouver.

Sinon, tout remarche nickel, la machine virtuelle est bien désinfectée, et les fichiers cachés sont de nouveau visibles, on peut ouvrir les lecteurs normalement.
J'ai plus qu'à suivre cette procédure demain sur l'ordi qui a été infecté

Merci à tous pour votre aide précieuse !

 
Merci à toi, j'ai choppé ce machin et je viens de comprendre d'où (moi qui croyais que l'admin avait bloqué la possibilité d'afficher les fichiers cachés ) et en prime tu files clef en main la méthode pour le dézinguer, si c'est pas beau...