Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Nombre: Aurora Nail
Tipo: Troyano con funciones de Hijacker.
Alias: Adware:Adware/Transponder, Troj/Stervis.b, Trojan.Win32.Stervis.b,Trojan-Stervis.b, Dloader.LI, Trojan horse Generic.CZ, Trojan horse Dropper.Agent.AG, Trojan horse Generic.EA, Troj/Dropper.Agent.AG, Troj/Generic, Hacktool.Rootkit, Trojan.Win32.Madtol.a, Trojan_Madtol, Win32.Afrootix, Troj/Nail, Trojan.Nail, Aurora, Bolger.

Este troyano descarga su archivo principal llamado Nail.exe el cual se copia dentro del System.ini de Windows y al tener funciones de Hijacker se apodera no solo de la pagina de inicio del navegador sino que también del escritorio donde pone enlaces a falsas herramientas para su reparación.

Pasos para su eliminación.

Paso 1- Apague el "Restaurar Sistema" (solo en Win Me y XP)

Paso 2- Descargue la herramienta llamada NailFix.zip y descomprímalo en el escritorio de Win pero aun no lo ejecute, si aun no lo tiene también descargue la ultima versión de HijackThis

Paso 3- Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro)

Paso 4- Con todos los programas cerrados ejecutar el archivo NailFix.exe, este va a abrir una ventana azul con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

**Nota ** Esta herramienta aparte de eliminar las entradas en el registro de Windows pertenecientes a este parásito, libera la pagina de inicio del IE de su secuestro, dejando la de nuestro foro Foro de Spywares, Adwares, Malwares - InfoSpyware momentáneamente la cual puede ser cambiada por el usuario en cualquier momento.

Paso 5- Con todos los programas cerrados ejecute HijackThis y dele a estas entradas:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll (file missing)

O4 - HKLM\..\Run: [ivdktc] c:\windows\system32\rrfeor.exe r<- En esta entrada 04 el archivo será aleatorio con la particularidad de tener la letra "r" al final.

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Paso 6- Prender la opción de "Ver archivos ocultos y del sistema"

Paso 7- Buscar y elimina este archivo manualmente (aunque puede que no este)

C:\WINDOWS\Nail.exe
C:\WINDOWS\svcproc.exe
C:\Windows\system32\DrPMon.dll


Paso 8- Usar el Disk Cleaner para limpiar cookies y temporales.

Paso 9- Reiniciar en modo normal y pasarle Ewido Scanner Online

**Nota** Si el problema persiste o necesitan ayudar en alguno de los pasos pueden pegar su log para ser analizado en el "Foro de HijackThis"





Descargar NailFix.zip Actualizado al 11 de Noviembre del 2005