Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

jgarcia

[Resolvido] SpyAxe / SpywareStrike / SpyFalcon.

Recommended Posts

Removendo o SpyAxe / SpywareStrike / SpyFalcon / Titan Shield / VirusBurst.

 

 

Sintomas da Infecção.

 

A presença do antispyware denominado SpyAxe que, a bem da verdade, é um soft ruim e representa um risco de segurança ao usuário.

 

sec2k-t.pngSpyAxe / SpywareStrike

 

 

180px-SpyFalcon.jpgSpyFalcon (clique aqui para ampliar)

 

 

Ferramentas necessárias à remoção.

 

1. Baixe o HijackThis em:

HijackThis

 

Baixe e extraia o Hijack para uma pasta própria, mas não execute ainda.

 

2. Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

3. Baixe o smitRem.exe em:

smitRem

 

Salve-o em sua área de trabalho.

 

Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não execute ainda.

 

4. Baixe o FixSF.reg em:

FixSF.reg

 

Baixe e salve-o como FixSF.reg em seu Desktop, mas não execute ainda.

 

5. Baixe o AVG AntiSpyware em:

AVG AntiSpyware

 

5.1.duplo-clique sobre o ícone do arquivo baixado;

5.2 Selecione Português como idioma para instalação;

5.3 Na janela de boas-vindas do Assistente do AVG Anti-Spyware clique em Seguinte >;

5.4 Na janela do Contrato de Licença clique em Aceito;

5.5 Clique em Seguinte > Instalar > aguarde o término do processo de instalação > clique em Terminar;

5.6 Quando a janela do AVG Anti-Spyware abrir, escolha Atualizar e aguarde o término do processo, mas não o execute ainda.

 

6. Baixe o Deldomains em:

Deldomains

 

Extraia e salve o Deldomains.inf em seu Desktop.

 

Não o execute ainda.

 

7. Baixe o CCleaner em:

CCleaner

 

Baixe, mas não execute ainda.

 

 

Ações para remoção.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

É válido utilizar o SmitfraudFix antes mesmo de efetivar os procedimentos abaixo. Talvez o SmitfraudFix resolva o problema (Apenas usuários de WIN 2000/XP).

 

1. Desinstale:

 

--> SpyAxe

--> SpywareStrike

--> SpyFalcon

--> Security Toolbar

--> TitanShield Antispyware

 

Utilize Adicionar / Remover programas.

 

Obs.1: Talvez só haja o SpyAxe.

 

Obs.2: Desinstale, um a um, e reinicie em Modo Seguro, conforme abaixo explicitado.

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

2. Execute o KillBox:

2.1) Marque a opção Delete on Reboot;

 

2.2) Agora copie a lista abaixo em negrito para área de transferência (Selecione --> Editar --> Copiar).

C:\Arquivos de programas\SpyAxe

C:\Arquivos de programas\SpywareStrike

C:\Arquivos de programas\SpyFalcon

C:\Arquivos de programas\Security Toolbar

C:\Arquivos de programas\TitanShield Antispyware

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\system32\nvctrl.exe

C:\WINDOWS\system32\mscornet.exe

C:\WINDOWS\system32\dfrgsrv.exe

C:\WINDOWS\system32\svchosts.dll

C:\WINDOWS\system32\netwrap.dll

C:\WINDOWS\system32\dxmpp.dll

C:\Windows\System32\ginuerep.dll

C:\WINDOWS\system32\replmap.dll

C:\WINDOWS\system32\suprox.dll

C:\WINDOWS\system32\xenadot.dll

C:\WINDOWS\system32\sivudro.dll

C:\WINDOWS\system32\stickrep.dll

C:\WINDOWS\system32\ioctrl.dll

C:\WINDOWS\system32\sbnudh.dll

C:\WINDOWS\system32\fyhhxw.dll

C:\WINDOWS\system32\iqzv.dll

C:\WINDOWS\system32\oqipt.dll

C:\WINDOWS\system32\htey.dll

C:\WINDOWS\system32\appmagr.dll

C:\WINDOWS\system32\reglogs.dll

C:\WINDOWS\system32\ncompat.tlb

C:\WINDOWS\system32\msvol.tlb

C:\WINDOWS\system32\interf.tlb

C:\WINDOWS\System32\hp****.tmp

2.3) Retorne ao KillBox. Clique em File --> Paste from clipboard --> All Files;

 

2.4) Clique no "X". Responda "Não" à pergunta.

 

**** representa uma combinação aleatória, tipo FDRS, a qual poderá ser identificada facilmente por meio de uma entrada O2 - homônima - presente no log do HijackThis, conforme mostrado no passo 4 abaixo descrito.

 

Obs.: Caso o Killbox não encontre algum dos arquivos/pastas acima passe apenas para o próximo.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima estapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

3. Reinicie o computador em Modo Seguro novamente.

 

4. Execute o HijackThis, clique em Do a system scan only e marque (talvez já não existam mais):

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp****.tmp

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll

O4 - HKLM\..\Run: [spyAxe] C:\Arquivos de programas\SpyAxe\spyaxe.exe /h

O4 - HKLM\..\Run: [spywareStrike] C:\Arquivos de programas\SpywareStrike\SpywareStrike.exe /h

O4 - HKLM\..\Run: [spyFalcon] C:\Arquivos de programas\SpyFalcon\SpyFalcon.exe /h

O4 - Startup: titanshield.lnk = C:\Arquivos de programas\TitanShield Antispyware\titanshield.exe

Clique em Fix Checked.

 

PS.: Marque também entradas em HKLM\Software\Microsoft\Windows\CurrentVersion\Run e/ou HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices que contenham:

mssearchnet.exe

nvctrl.exe

mscornet.exe

svchosts.dll

5. Ainda em Modo Seguro:

 

5.1. Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat. Pode levar algum tempo. Seja paciente.

 

5.2.duplo-clique sobre o FixSF.reg contido em seu Desktop e responda "sim" à pergunta sobre as modificações no registro.

 

5.3. Execute o AVG AntiSpyware da seguinte forma:

* Execute-o e clique em Status. Em Última verificação escolha Verificar agora > Verificação completa do sistema > aguarde o término da varredura;

* Quando a varredura terminar verifique a coluna Ameaça e, sobretudo, a Ação que será executada. Caso não possua certeza sobre a exclusão de algum arquivo ou tenha certeza de que ele é legítimo, basta selecioná-lo dar um clique direito e escolher Ignorar uma vez ou Adicionar à lista de exceções;

* Feito o procedimento acima clique em Aplicar todas as ações.

* Quando o AVG AntiSpyware terminar, feche-o.

 

5.4. Clique com o botão direito do mouse sobre Deldomains.inf e depois em Instalar. Executar o arquivo diretamente não funciona.

 

6. Reinicie o computador em Modo Normal.

 

7. Execute o CCleaner e clique em Executar Cleaner.

 

8. Se o seu Gerenciador de Tarefas (CTRL+ALT+DEL / CTRL+SHIFT+ESC) está “desabilitado pelo administrador”, faça o download e execute o task-fix.reg.

 

Pronto. A esta altura você já deve ter se livrado do SpyAxe.

 

Caso o PC continue com sintomas da infecção crie um tópico no Fórum Segurança & Malwares.

 

 

Créditos:

 

A Sam Spade pela proposição da Matriz do Fix.

 

A Susan528 pelas informações contidas neste tópico aqui.

 

Às preciosas informações contidas no artigo da Vírus-protect.net.

 

Adaptação e tradução: José Carlos Moura Garcia Junior (jgarcia465).

 

Atualizado em: 11/09/2006.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.