Forums Zebulon.fr: -= Ressources =- - Forums Zebulon.fr

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
ou
O4 - HKLM\..\Run: [kxvlygk] C:\WINDOWS\system32\auhvnjz.exe r

Aurora/Nail fix
(par racooper avec SwanDog46 & miekiemoes)

S'IL TE PLAIT, LIS ET SUIT SOIGNEUSEMENT CES DIRECTIVES ; TU POURRAIS PEUT-ETRE IMPRIMER OU SAUVEGARDER CES INSTRUCTIONS LOCALEMENT AVANT DE DEMARRER.

1. S'il te plaît, télécharge, installe et mets à jour la version gratuite d'Ewido Security Suite ( http://www.ewido.net/en/download/ ) :

  1. Quand tu lances Ewido la première fois, il se peut que tu aies un avertissement "La base de données n'a pas être trouvée !". Clique sur OK. Nous corrigerons ceci dans un moment.
  2. A partir de l'écran principal d'ewido, clique sur "mise à jour" dans le menu de gauche puis clique sur le bouton "Démarrer la mise à jour".
  3. Lorsque la mise à jour est terminée (la barre d'état en bas affichera "Mise à jour  réussie")
  4. Quitte Ewido. NE LANCE PAS LE SCAN maintenant.

Télécharge CCleaner ( http://www.ccleaner.com/ccdownload.asp ) et installe le mais ne le lance pas maintenant.

2. S'il te plaît, télécharge cet installeur révisé de l'antidote Nailfix ( http://www.noidea.us/easyfile/file.php?dow...050711214630636 ).
NE LE LANCE PAS maintenant.
Autres liens de téléchargement ci-dessous :
http://www.spywareed.../nf/nailfix.exe
http://www.spywareaid.com/index.php?file=s...22&softtype=exe

3. Redémarre en mode sans échec
Comment démarrer l'ordinateur en mode sans échec :
http://service1.symantec.com/SUPPORT/tsgen...src=sec_doc_nam

4. Une fois en mode sans échec, s'il te plaît double-clique sur nailfix.exe. Clique "Next" dans setup, puis assure-toi que "Run Nailfix" est coché et clique sur "Finish". Ton bureau et ses icônes disparaitrons et réapparaitrons et une fenêtre devrait s'ouvrir et se fermer très rapidement --- ceci est normal.

5. Ensuite, relance Ewido.

  1. Clique sur le bouton "Scanner" dans le menu de gauche, puis clique sur "Scan complet du système". Ce scan peut prendre un bon moment.
  2. Si Ewido trouve quelque chose, il affichera une notification. Nous avons trouvé quelques cas de faux positifs avec la nouvelle version d'Ewido, aussi nous avons besoin de vérifier les corrections une par une. Si Ewido trouve quelque chose que tu SAIS légitime (par exemple, des éléments de AVG Antivirus, AOL, pcAnywhere et le jeu "Risk" ont été repérés), sélectionne "Aucun" comme action. NE COCHE PAS "Effectuer cette action avec toutes les infections". Si tu n'es pas sûr de la donnée, sélectionne "aucune" pour le moment. Nous verrons cela dans le log que tu vas poster plus tard et nous te ferons savoir si Ewido doit être relancé.
  3. Quand le scan est terminé, clique sur "Sauver le rapport". Ceci va créer un fichier texte. Assure-toi de savoir où retrouver ce fichier.

Puis lance HijackThis, clique sur Scan et coche les éléments suivants (si trouvés) :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [random] c:\windows\system32\random.exe r
(adaptation ipl_001 O4 - HKLM\..\Run: [cxjlco] C:\WINDOWS\System32\yuouui.exe r)

Ferme toutes les fenêtres ouvertes à l'exception de HijackThis et clique sur Fix Checked. Note que la ligne O4 peut avoir un nom changé si tu as rebooté après avoir posté le log ; recherche une entrée avec un format similaire, qui aura toujours une lettre "r".

Repère et supprime le fichier suivant en GRAS :
c:\windows\system32\random.exe (ou ce en quoi le nom a pu être changé, comme dit ci-dessus).

6. Maintenant, lance CCleaner.

  1. Décoche "Cookies" sous "Internet Explorer".
  2. Si tu utilises Firefox : clique sur l'onglet "Applications" et décoche "Cookies" sous "Firefox".
  3. Clique sur Run Cleaner dans le coin en bas à droite. Ceci peut prendre un bon moment.

Finallement, redémarre ton ordinateur en mode normal et, s'il te plaît, poste un nouveau rapport HijackThis, en même temps que le log d'Ewido.

7. S'il te plaît, lancez une nouvelle discussion si tu as besoin d'aide. Ne postez pas dans la discussion de quelqu'un d'autre.

Merci !

Edité pour la nouvelle version de Nailfix du 22 Juillet 2005

filename: popuper.exe
changes to the system:
starts as popuper.exe (seen in task manager)
drops intmonp.exe (seen in task manager)
resists at
C:\WINDOWS\System32\popuper.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\sites.ini
creates Registry Keys:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\explorer\run
notepad2.exe popuper.exe

Décompresse le, double-clique et choisis l'option 1
Poste le rapport généré

Relance le programme et choisis cette fois l'option 2 et réponds oui à tout
Redemarre et donne le nouveau rapport

Complète par un scan HijackThis que tu posteras aussi

  1. Télécharge le fichier autoextractible smitRem.exe ( http://noahdfear.geekstogo.com/click%20cou.../click.php?id=1 ) et sauvegarde le fichier sur ton Bureau.
          * Double clique sur l'icône Smitrem.exe sur ton Bureau.
          * Puis clique sur Run>Start et un dossier Smitrem apparaîtra également sur ton Bureau.

  2. Crée un raccourci vers Panda ActiveScan sur ton Bureau ( http://www.pandasoftware.com/activescan/co...n_principal.htm ).

  3. Télécharge la version d'essai Ewido Security Suite ( http://www.ewido.net/en/download/ ).

  4. S'il te plaît, lis les instructions de paramétrage d'Ewido ( http://rstones12.gee.../ewidosetup.htm )
          * Installe le programme
          * Mets à jour les définitions.
          * NE LE LANCE PAS MAINTENANT

  5. Installe Ad-Aware SE 1.06 ( http://www.lavasoft..../download/#free ), follow these download and setup instructions.
          * Paramétrage d'Ad-Aware SE ( http://rstones12.gee...areSE_setup.htm )
          * Mets les définitions à jour
          * NE LE LANCE PAS MAINTENANT

  6. REDEMARRE ton ordinateur en Mode sans échec en faisant ce qui suit :
        1. Redémarre ton ordinateur
        2. Après avoir entendu l'ordinateur beeper une fois au démarrage, mais avant que l'icône de Windows apparaisse, presse F8.
        3. Au lieu du chargement normal de Windows, un menu devrait apparaitre
        4. Sélectionne la première option pour lancer Windows en Mode sans échec.

  7. Maintenant ouvre HJT, clique SCAN et mets une coche devant chacun des éléments suivants :

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
      R3 - Default URLSearchHook is missing
      O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
      O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-A3EE-FB7FA682AA7D} - (no file)
      O4 - HKLM\..\Run: [779T35O] dspomput.exe
      O4 - HKLM\..\Run: [nutdos] C:\WINDOWS\repair\nutdos.exe
      O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe
      O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
      O4 - HKCU\..\Run: [Mwq3RRi7U] dsdwsx.exe
      O4 - Global Startup: updater.lnk = C:\Program Files\Common Files\updater\wupdater.exe
      O16 - DPF: {C3B2B2F0-6406-11D9-9669-0800200C9A66} - http://fad-1111.nyc1.../c2/svcmm32.cab


  8. Clique sur le bouton Fix Checked et QUITTE HJT

  9. En utilisant Windows Explorer, s'il te plaît trouve et SUPPRIME les fichiers/dossiers suivants (avec tout leur contenu), s'ils sont encore présents :

      dspomput.exe<===Tu auras à rechercher celui-ci
      C:\WINDOWS\repair<===Dossier
      C:\WINDOWS\system32\msmsgs.exe
      dsdwsx.exe<===Recherche celui-ci aussi
      C:\Program Files\Common Files\updater<===Dossier


  10. Ouvre le dossier smitRem
          * Double clique sur le fichier RunThis.bat pour démarrer l'outil.
          * Suis les indications sur l'écran.
          * Attends que l'outil se termine et le nettoyage ait fini.


      NOTE : L'utilitaire créera un rapport nomé smitfiles.txt à la racine du disque, par exemple : Disque Local C: ou de la partition où est installé ton système d'exploitation. S'il te plaît, poste ce log en même temps que tous les autres demandés dans ta prochaine réponse.

  11. Ouvre Ad-aware et fais un examen complet. Supprime tout ce qu'il trouve.

  12. Lance Ewido :
          * Clique sur Scanner
          * Clique sur Scan complet du système et le scan va commencer.
          * NOTE : Durant certains scans avec ewido on trouve quelques cas de faux positifs.
          * Tu devras appliquer la procédure de nettoyage des fichiers un par un.
          * Si ewido détecte un fichier que tu SAIS être légitime, sélectionne Aucun comme action.
          * NE SELECTIONNE PAS "Effectuer cette action avec toutes les infections"
          * Si tu n'es pas sûr d'une entrée trouvée, sélectionne Aucun pour le moment.
          * Quand le scan est fini, clique sur le bouton Sauver le rapport en bas de l'écran.
          * Sauvegarde le rapport sur ton Bureau
          * Ferme Ewido

  13. Ensuite va dans le Panneau de configuration, clique sur Affichage > Bureau > Personnalisation du Bureau > Web > décoche "Information de Sécurité" si présent.

  14. REDEMARRE en Mode Normal

  15. Clique sur le raccourci Panda ActiveScan
          * Fais un scan système complet.
          * Assure toi que la case Autoclean est cochée !

  16. Sauvegarde le rapport du scan et poste le avec un nouveau rapport HijackThis, le contenu du rapport smitfiles.txt et le rapport d'Ewido en utilisant Répondre.


Dis moi si tu as encore des problèmes qui subsistent.

Cordialement,

Trevuren