Origine:

Comme vous êtes plusieurs à me poser la question sur le nouveau module O106 de ZHPDiag, autant faire cette mise au point avec cet article.
Depuis quelques semaines, certains processus malwares se sont infiltrés dans une clé particulière du registre « ShellIconOverlayIdentifiers ». Cette clé de registre comporte généralement quelques sous clés qu’il faut que ZHPDiag énumére. Bien sûr les clés enumérées ne sont pas forcément malwares, on peut y trouver par exemple celles de OneDrive, Acronis ou Dropbox. La recherche se fait dans la branche du registre « HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer » (32 et 64bits)

Principe:

Pour l’instant, je n’ai pas plus d’information sur l’action menée par les processus malwares qui s’installent sous la clé « ShellIconOverlayIdentifiers » et sur leur exploitation de cette fonctionnalité. Tout ce que je peux dire c’est que c’est lié au Gestionnaire de superposition d’icône (Icon Overlay Handler) et que cela permet d’afficher une icône de recouvrement sur un objet pour fournir des informations supplémentaires. Par exemple Dropbox utilise cette superposition afin de montrer si les icônes sont synchronisées ou non. (Voir la capture d’écran sur le lien donné dans la documentation)

Exemple d’énumération :

—\\ ShellIconOverlayIdentifiers (SIOI) (8) – 0s
O106 – SIOI: Acronis True Image Shell Sync Error Icon Overlay Extension [AcronisSyncError] – {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED}. (.Acronis – Acronis True Image Shell Extensions.) — C:\Program Files\Acronis\TrueImageHome\tishell.dll ©
O106 – SIOI: Acronis True Image Shell Sync In Progress Icon Overlay Extension [AcronisSyncInProgress] – {00F848DC-B1D4-4892-9C25-CAADC86A215D}. (.Acronis – Acronis True Image Shell Extensions.) — C:\Program Files\Acronis\TrueImageHome\tishell.dll ©
O106 – SIOI: Acronis True Image Shell Sync Ok Icon Overlay Extension [AcronisSyncOk] – {71573297-552E-46fc-BE3D-3DFAF88D47B7}. (.Acronis – Acronis True Image Shell Extensions.) — C:\Program Files\Acronis\TrueImageHome\tishell.dll ©
O106 – SIOI: Enhanced Storage Icon Overlay Handler Class [EnhancedStorageShell] – {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}. (.Microsoft Corporation – DLL d’extension d’environnement de stockage.) — C:\Windows\System32\EhStorShell.dll ©
O106 – SIOI: Sharing Overlay (Private) [SharingPrivate] – {08244EE6-92F0-47f2-9FC9-929BAA2E7235}. (.Microsoft Corporation – Extensions de l’interpréteur de commandes p.) — C:\Windows\System32\ntshrui.dll ©
O106 – SIOI: avast [00avast] – {472083B0-C522-11CF-8763-00608CC02F24}. (.AVAST Software – avast! Shell Extension.) — C:\Program Files\AVAST Software\Avast\ashShell.dll
O106 – SIOI: DropboxExt1 Class [DropboxExt1] – {FB314ED9-A251-47B7-93E1-CDD82E34AF8B}. (.Dropbox, Inc. – Dropbox Shell Extension.) — C:\Users\van den Berg\AppData\Roaming\Dropbox\bin\DropboxExt.27.dll
O106 – SIOI: Groove Explorer Icon Overlay 4 (GFS Unread Mark) [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] – {2916C86E-86A6-43FE-8112-43ABE6BF8DCC}. (.Microsoft Corporation – Microsoft SharePoint Workspace Extensions.) — C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL

Feedbacks:

Comme d’habitude, pour chaque nouveau module, il faut un certain temps de traitement pour que ZHPDiag et/ou ZHP qualifient ces lignes en fonction des remontées des utilisateurs et des helpers.

Documentation:

Microsoft How to Register Icon Overlay Handlers
.NET Shell Extensions – Shell Icon Overlay Handlers – Dropbox