Descrição
O SpyAxe, SpyFalcon e Spyware Quake são anti-spywares falsos. Eles tentam convencê-lo de que há serios riscos de segurança no seu computador e que você deve comprá-los para que eles removam esses problemas. É comum que um sistema onde um deles está presente realmente possua spywares, já que eles são instalados através de cavalos-de-tróia.
Esses anti-spywares se tratam de uma variante do SmitFraud. Ao invés de instalar os anti-spywares PSGuard e SpySheriff, o SpyAxe, Spyware Quake, SpyFalcon ou Spy Trooper é instalado.
Sintomas
A presença do SpyAxe, SpyFalcon ou Spyware Quake e redirecionamentos e navegador redirecionado com mensagens dizendo “You are infected” com um X vermelho no relógio.
Ferramentas Necessárias
Usuários de Windows 2000/XP devem seguir todos os passos, incluindo aqueles classificados como únicos para essa plataforma. Usuários de Windows 98/ME devem executar todos os procedimentos, com exceção daqueles separados como Somente Windows 2000/XP
Nota: Apenas faça o download dessas ferramentas, mas não execute nenhuma delas ainda!
- Baixe o HijackThis: Download
- Baixe o Killbox: Download
- Baixe o smitRem e salve-o em sua área de trabalho: Download
- Baixe o DelDomains: Download [Clique com o botão direito e vá em 'Salvar destino como']
- Baixe o FixSF: Download [Clique com o botão direito e vá em 'Salvar destino como']
- Baixe o CCleaner: Download
Apenas para Windows 2000/XP
- Faça o download do AVG Anti-Spyware: Download
- Selecione “Português” como idioma para a instalação
- Clique em Seguinte, Aceito, Seguinte. Instalar. Quando tiver terminado, clicar em Terminar.
- Quando o AVG Anti-Spyware abrir, ao lado de Proteção Residente, clique em Alterar Estado para desativá-la. Faça o mesmo com o Atualizações automáticas.
- Depois disso, clique em Atualizar. Clique em Iniciar atualização
- Após isso, saia do AVG Anti-Spyware e não faça um exame ainda.
- Baixe o SmitfraudFix: Download
Ações para Remoção
- Clique em Iniciar -> Painel de Controle > Adicionar/Remover Programas. Desinstale:
- SpyAxe
- SpywareStrike
- SpyFalcon
- Security Toolbar
- TitanShield Antispyware
Desinstale, um a um, e reinicie o computador. Pode haver somente “SpyAxe” listado.
- É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima estapa entraremos em Modo Seguro e a conexão à internet não será possível.
- Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro ou Modo de Segurança.
- Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não execute nada dentro dessa pasta ainda.
- Execute o KillBox. Marque Delete on Reboot.
- Agora copie a lista abaixo em negrito para área de transferência (Selecione tudo com o mouse, depois clique em Editar –> Copiar).
- C:\WINDOWS\system32\mssearchnet.exe
- C:\WINDOWS\system32\nvctrl.exe
- C:\WINDOWS\system32\mscornet.exe
- C:\WINDOWS\system32\dfrgsrv.exe
- C:\WINDOWS\system32\svchosts.dll
- C:\WINDOWS\system32\netwrap.dll
- C:\WINDOWS\system32\dxmpp.dll
- C:\WINDOWS\System32\ginuerep.dll
- C:\WINDOWS\system32\replmap.dll
- C:\WINDOWS\system32\suprox.dll
- C:\WINDOWS\system32\xenadot.dll
- C:\WINDOWS\system32\sivudro.dll
- C:\WINDOWS\system32\stickrep.dll
- C:\WINDOWS\system32\ioctrl.dll
- C:\WINDOWS\system32\sbnudh.dll
- C:\WINDOWS\system32\fyhhxw.dll
- C:\WINDOWS\system32\iqzv.dll
- C:\WINDOWS\system32\oqipt.dll
- C:\WINDOWS\system32\htey.dll
- C:\WINDOWS\system32\appmagr.dll
- C:\WINDOWS\system32\reglogs.dll
- C:\WINDOWS\system32\ncompat.tlb
- C:\WINDOWS\system32\msvol.tlb
- C:\WINDOWS\system32\interf.tlb
- Retorne ao KillBox. Clique em File –> Paste from clipboard. Clique em All Files
- Clique no botão
. Responda Não à pergunta
- Execute o HijackThis, clique em Do a System Scan Only e marque as entradas abaixo, se existirem:
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp****.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [SpyAxe] C:\Arquivos de programas\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [SpywareStrike] C:\Arquivos de programas\SpywareStrike\SpywareStrike.exe /h
O4 - HKLM\..\Run: [SpyFalcon] C:\Arquivos de programas\SpyFalcon\SpyFalcon.exe /h
O4 - Startup: titanshield.lnk = C:\Arquivos de programas\TitanShield Antispyware\titanshield.exe
Clique em Fix Checked.
- Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat. Pode levar algum tempo. Seja paciente.
- Dê um duplo clique no arquivo FixSF.reg salvo anteriormente e confirme sua integração ao registro
- Clique com o botão direito no DelDomains.inf salvo anteriormente e clique em Instalar.
Somente Windows 2000/XP
- Abra o AVG Anti-Spyware e clique em Verificar e então em Verificação Completa do Sistema. Quando a verificação terminar, feche-o.
- Descompacte o conteúdo do SmitfraudFix para uma pasta própria. Entre na pasta criada para o SmitFraudFix e rode o SmitfraudFix.cmd. Aperte a opção 2 e aperte Enter.
Quando aparecer a mensagem “Do you want to clean the registry ?”, aperte y e aperte Enter.
Após concluídos os procedimentos
Reinicie o computador normalmente. O SpyAxe (ou outro anti-spyware falso) deve ter sido eliminado. Se ele ainda estiver na sua máquina, use a opção Adicionar/Remover Programas no Painel de Controle para remover o software. Ela deve funcionar depois que os cavalos-de-tróia adicionais foram removidos
Se o seu Gerenciador de Tarefas (CTRL+ALT+DEL / CTRL+SHIFT+ESC) está “desabilitado pelo administrador”, faça o download e execute o task-fix.reg.
É interessante também executar o CCleaner. Instale-o, depois abra o CCleaner e clique em Executar Cleaner.
Problemas?
Se você ainda tiver problemas, siga esse tutorial para postar um log do HijackThis no fórum e receber ajuda especializada.
Créditos
Ir direto para o menu
Ir direto para o conteúdo
