Jump to content

Archived

This topic is now archived and is closed to further replies.

Recommended Posts

Removendo o SpySheriff.

 

 

Sintomas da Infecção:

Esta infecção modifica as configurações de seu Desktop, de modo que apareça um falso alerta sobre a existência de malwares na máquina. O mesmo alerta sugere a utilização de um suposto antispy intitulado “SpySheriff”.

 

SpySheriff.jpg

 

Na verdade o malware é o próprio “SpySheriff”.

 

 

Ferramentas necessárias à desinfecção:

a. HijackThis

 

Extraia o HijackThis para uma pasta própria, tipo c:\Hijack, mas não o execute ainda.

 

b. Killbox

 

Baixe, mas não o execute ainda.

 

c. Smitfraud.reg

 

Clique no link acima, vá a Arquivo em seu Navegador e escolha Salvar como. Salve-o em seu Desktop como Smitfraud.reg, mas não o execute ainda.

 

d. AVG AntiSpyware

 

d.1.duplo-clique sobre o ícone do arquivo baixado;

d.2 Selecione Português como idioma para instalação;

d.3 Na janela de boas-vindas do Assistente do AVG Anti-Spyware clique em Seguinte >;

d.4 Na janela do Contrato de Licença clique em Aceito;

d.5 Clique em Seguinte > Instalar > aguarde o término do processo de instalação > clique em Terminar;

d.6 Quando a janela do AVG Anti-Spyware abrir, escolha Atualizar e aguarde o término do processo, mas não o execute ainda.

 

e. Cleanup

 

Faça o download e instale o Cleanup, mas não o execute ainda.

 

OBS.: O Cleanup será utilizado, SOMENTE, para a limpeza de arquivos temporários / pastas temporárias.

 

 

Instruções para remoção:

 

Em 13/11/2005 --> Há informações de que o Spybot Search & Destroy remove esta praga. Assim sendo, sugiro que o usuário baixe, atualize e o execute antes de seguir os procedimentos abaixo.

 

1. Execute o KillBox:

1.1) Selecione Delete on reboot;

1.2) Full path of file to delete;

1.3) Coloque:

C:\winstall.exe - Aperte X. Responda "não" à pergunta.

 

Repita a operação para (talvez não hajam todas estas):

C:\Windows\Desktop.html

c:\secure32.html

C:\WINDOWS\system32\cmd32.exe

C:\WINDOWS\system32\paytime.exe

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

2. Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

3. Já em Modo Seguro, abra o Cleanup, dando duplo-clique sobre o ícone contido em seu Desktop (ou por meio de Iniciar > menu Todos os Programas). Configure o programa, conforme a seguir:

3.1 Clique em Options.

3.2 Vá até Custom CleanUp.

3.3 Observe a marcação das seguintes opções:

Empty Recycle Bins

Delete Cookies

Delete Prefetch files

Scan local drives for temporary files

Cleanup All Users

3.4 Clique em Ok.

3.5 Aperte o botão Cleanup para dar inicio a limpeza.

 

4. Execute agora o AVG AntiSpyware.

4.1 Execute o AVG Anti-Spyware e clique em Status. Em Última verificação escolha Verificar agora > Verificação completa do sistema > aguarde o término da varredura;

4.2 Quando a varredura terminar verifique a coluna Ameaça e, sobretudo, a Ação que será executada. Caso não possua certeza sobre a exclusão de algum arquivo ou tenha certeza de que ele é legítimo, basta selecioná-lo dar um clique direito e escolher Ignorar uma vez ou Adicionar à lista de exceções;

4.3 Feito o procedimento acima clique em Aplicar todas as ações.

 

5. Com o scan finalizado, saia do AVG AntiSpyware e reinicie em Modo Normal.

 

6. Vá a Iniciar --> Painel de Controle --> Adicionar/Remover Programas.

 

7. Desinstale o SpySheriff.

 

8. Localize e delete as seguintes entradas, se existirem (só as partes em negrito):

C:\Documents and Settings\user account\Start Menu\Programs\SpySheriff --> a pasta

C:\Documents and Settings\user account\Application Data\Install.dat

C:\Program Files\SpySheriff --> a pasta

C:\ProgramFiles\Daily Weather Forecast\

 

Desconecte o PC da internet e feche todos os demais programas. Execute o HijackThis, pressionando Do a System Scan Only, marque apenas as entradas abaixo (talvez não hajam todas estas) e clique em FIX CHECKED:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

O4 - HKCU\..\Run: [spySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe

O4 - HKLM\..\Run: [cmd32] C:\WINDOWS\system32\cmd32.exe

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe

9. Feche o HiJackThis.

 

10. Renonecte o PC à internet, dê duplo-clique em Smitfraud.reg contido em seu Desktop e escolha Sim.

 

11. Após a mensagem de sucesso, utilize o Windows Explorer e navegue até a seguinte pasta:

 

C:\Windows\Prefetch

 

12. Se houverem arquivos contidos na pasta Prefetch, delete TODOS. (NÃO delete a pasta. Delete APENAS os arquivos lá contidos).

 

13. Reinicie o computador em Modo Normal.

 

14. Após estas providências a máquina deve voltar ao normal, inclusive suas configurações de Desktop.

 

Obs.: Caso o seu Desktop pareça ter perdido as configurações e passe a ter aparência de Win 98 crie um tópico na seção Segurança e Malwares, a fim de que possamos ajudá-lo a restaurá-las.

 

 

Créditos:

 

À Bananafanafo pela proposição do Fix original e Grinler pela adaptação e Fix final.

 

Tutorial adaptado do original:

How to Remove SpySheriff

 

Adaptação e tradução: José Carlos Moura Garcia Junior.

Share this post


Link to post
Share on other sites

caí na arapuca do sheriff e não consegui sair nem com este tutorial... já to com o estilão win98 mas não matei o problema inteiro, acham exagero formatar o computador por causa deste spysheriff??

Share this post


Link to post
Share on other sites
caí na arapuca do sheriff e não consegui sair nem com este tutorial... já to com o estilão win98 mas não matei o problema inteiro, acham exagero formatar o computador por causa deste spysheriff??

Sim. Poste o log do HijackThis na seção Segurança & Malwares.

 

Abraços.

Share this post


Link to post
Share on other sites

Ow... eu fiz o procedimento q me passou e depois disso o ewido detectou alguns objetos infectados e o meu desk ficou com cara de windows98... como eu fasso pra deixar do jeito q estava?no aguardoAumer

Share this post


Link to post
Share on other sites
Ow... eu fiz o procedimento q me passou e depois disso o ewido detectou alguns objetos infectados e o meu desk ficou com cara de windows98... como eu fasso pra deixar do jeito q estava?

 

no aguardo

 

Aumer

Opa Aumer,

 

Será um prazer lhe ajudar, mas peço que crie um tópico em Segurança & Malwares, ok. ;)

 

Abraços.

Share this post


Link to post
Share on other sites
Em 13/11/2005 --> Há informações de que o Spybot Search & Destroy remove esta praga

 

o SpyBot realmente detecta e remove o Spysheriff, porém não remove todas as entradas, porque eu continuo com o problema... :cry:

 

vou executar os demais passos e depois informo o resultado..

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.