Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par nail.exe


Messages recommandés

Bonjour a tous,

 

Poursuivons notre série des infections typiques par un malware assez coriace : nail.exe.

Aucun antimalware, ni meme des logiciels de type Killbox ne pourront en venir a bout.

Meme s ils arrivaient a le supprimer, il reviendrait systématiquement au prochain redémarrage.

Mais alors que pouvons nous faire? Heureusement pour nous, il existe un petit logiciel qui se chargera d éliminer cette saleté.

 

1/ Comment reconnaitre une infection par nail.exe?

 

Ci-dessous un extrait de rapport hijackthis infecté par nail.exe :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll

ou

O4 - HKLM\..\Run: [yryrpcy] C:\WINDOWS\system32\avhbel.exe r

 

La présence de nail.exe sur un rapport hijackthis ne trompe pas :

- présence sur un rapport hijackthis en ligne F2 du fichier nail.exe . Celle ligne apparait a chaque infection , donc aucun risque de se tromper dans l identification du malware.

- présence en ligne 02 d une dll aléatoire

ou

- présence en ligne 04 d un fichier exe aléatoire. Ce fichier exe est identifiable par la lettre r en fin du nom comme nous pouvons le voir en rouge sur l extrait au dessus a cette ligne :

O4 - HKLM\..\Run: [yryrpcy] C:\WINDOWS\system32\avhbel.exe r

 

 

2/ Comment désinfecter un systeme par nail.exe?

 

Comme je vous l ai dit, nail.exe ne peut etre supprimé par les nettoyeurs habituels. Pourtant, nous allons pouvoir l éliminer le plus simplement du monde, en utilisant un petit programme.

 

Mise en situation : procédure de désinfection de nail.exe

 

* Commencez par télécharger le fichier zip Nailfix.zip :

http://www.noidea.us/easyfile/file.php?dow...050515010747824 <- lien mort

 

Autres liens de téléchargement ci-dessous :

http://www.spywareedge.net/nf/nailfix.exe

http://www.spywareaid.com/index.php?file=s...22&softtype=exe <- lien mort

 

* Dézippez-le sur le Bureau.

Vous devez obtenir un dossier NailFix qui contient deux fichiers "nailfix.cmd" et "Process.exe"

 

* Redémarrez en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*Vérifiez d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

* Fixez les lignes correspondant a l infection :

Prenons l exemple de l extrait du rapport ci-dessus

 

Relancez un scan HijackThis, cliquez sur "Do a system scan only" et cochez les lignes ci-dessous (si présentes) :

 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll

ou

O4 - HKLM\..\Run: [yryrpcy] C:\WINDOWS\system32\avhbel.exe r

 

Fermez toutes les fenêtres sauf HijackThis et "Fix Checked".

 

* Une fois les lignes fixées, il faut supprimer les fichiers incriminés :

 

-C:\WINDOWS\Nail.exe

 

-C:\WINDOWS\Bolger.dll

ou

-C:\WINDOWS\system32\avhbel.exe

 

*A présent, il faut éxécuter le logiciel nailfix qui va vérifier et supprimer tous les "restes" de l infection et ainsi éviter que le malware réapparaisse au prochain démarrage.

 

Utilisation de NailFix :

Ouvrez le dossier NailFix placé sur votre bureau

Lancez nailfix.cmd

Le bureau disparait pendant un moment, puis réapparait.

 

Vous pouvez redémarrer votre systeme en mode normal! Vous voila débarrassez de nail.exe :P

Modifié par ipl_001
Lien à poster
Partager sur d’autres sites

rien à dire pour nailfix. :P

 

et j'avais vu ça aussi à une période,juste comme ça en passant:

 

Crées un fichier avec le bloc note et colle ce texte dedans :

 

ECHO OFF

cd\windows

Nail.exe /FULLREMOVE

sc config SvcProc start= disabled

sc stop SvcProc

sc delete SvcProc

attrib -s -r -h nail.exe

attrib -s -r -h svcproc.exe

del nail.exe

del svcproc.exe

exit

 

Enregistre le fichier sur ton bureau sous le nom remove.bat en séllectionnant "all" dans type de fichier

----

 

Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage).

 

Double-clic sur remove.bat. Une fenêtre devrait s'ouvrir et se fermer très rapidement --- c'est normale.

 

jamais testée,je sais pas ce que ça vaut!!!

Lien à poster
Partager sur d’autres sites
  • 3 weeks later...
  • 1 month later...

Bonjour a tous,

 

petit nouveau sur le forum, bien que le fréquentant régulierement, je voulais vous faire remarquer une erreur de pointage sur le lien suivant : http://www.noidea.us/easyfile/file.php?dow...050515010747824

La page renvoyée indique ceci :

No such file

 

 

The file you requested does not exist in our database.

Ceci dit, on retrouve facilement le soft recherché en cliquant sur le dossier Spyware Utils.

 

Voili voilou, la petite contribution du jour :P

 

Bonne journée a tous ...

Modifié par synthexe
Lien à poster
Partager sur d’autres sites
  • 1 month later...

Bonjour à tous,

 

Effectivement, 2 des liens indiqués par Jack_Burton sont morts (noidea et spywareaid) !

 

Quelques autres liens :

 

-> http://securityresponse.symantec.com/avcenter/FixBinet.exe

( Adware.BetterInternet http://securityresponse.symantec.com/avcen...erinternet.html )

 

-> http://www.spywareedge.net/nf/nailfix.exe

 

-> nailfix for XP at http://users/pandora.be/bluepatchy/nailfix.zip

-> nailfix for Win2K at http://users/pandora.be/bluepatchy/nailfix2k.zip

( http://www.computing.net/windowsxp/wwwboar...rum/132409.html )

 

-> http://www.noidea.us/easyfile/file.php?dow...050711214630636

 

-> http://www.noidea.us/easyfile/file.php?dow...050515010747824

 

Une page de Audora Networks qui jure ses grands dieux qu'ils n'y sont pour rien -> http://www.aurora.com/support/malware.html

Lien à poster
Partager sur d’autres sites
  • 1 month later...
  • 2 weeks later...

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...