[software] Removendo Spyaxe / Spyfalcon

[Northon 3]

Descrição:

 

O SpyAxe, SpyFalcon e Spyware Quake são anti-spywares falsos. Eles tentam convencê-lo de que há serios riscos de segurança no seu computador e que você deve comprá-los para que eles removam esses problemas. É comum que um sistema onde um deles está presente realmente possua spywares, já que eles são instalados através de cavalos-de-tróia.

 

Esses anti-spywares se tratam de uma variante do SmitFraud. Ao invés de instalar os anti-spywares PSGuard e SpySheriff, o SpyAxe, Spyware Quake, SpyFalcon ou Spy Trooper é instalado.

 

Sintomas

A presença do SpyAxe, SpyFalcon ou Spyware Quake e redirecionamentos e navegador redirecionado com mensagens dizendo “You are infected” com um X vermelho no relógio.

Ferramentas Necessárias

Nota: Apenas faça o download dessas ferramentas, mas não execute nenhuma delas ainda!

 

1. Baixe o HijackThis: Download

2. Baixe o Killbox: Download

3. Baixe o smitRem e salve-o em sua área de trabalho:

Download

4. Baixe o DelDomains: Download [Clique com o botão direito e vá em ‘Salvar destino como’]

5. Baixe o FixSF: Download [Clique com o botão direito e vá em ‘Salvar destino como’]

6. Baixe o CCleaner:

Download

 

Ações para Remoção

 

1. Clique em Iniciar -> Painel de Controle > Adicionar/Remover Programas. Desinstale:

* SpyAxe

* SpywareStrike

* SpyFalcon

* Security Toolbar

* TitanShield Antispyware

 

Desinstale, um a um, e reinicie o computador. Pode haver somente “SpyAxe” listado.

 

2. É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima estapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

3. Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro ou Modo de Segurança.

 

4. Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não execute nada dentro dessa pasta ainda.

 

5. Execute o KillBox. Marque Delete on Reboot.

 

6. Agora copie a lista abaixo em negrito para área de transferência (Selecione tudo com o mouse, depois clique em Editar –> Copiar).

 

 

* C:\WINDOWS\system32\mssearchnet.exe

* C:\WINDOWS\system32\nvctrl.exe

* C:\WINDOWS\system32\mscornet.exe

* C:\WINDOWS\system32\dfrgsrv.exe

* C:\WINDOWS\system32\svchosts.dll

* C:\WINDOWS\system32\netwrap.dll

* C:\WINDOWS\system32\dxmpp.dll

* C:\WINDOWS\System32\ginuerep.dll

* C:\WINDOWS\system32\replmap.dll

* C:\WINDOWS\system32\suprox.dll

* C:\WINDOWS\system32\xenadot.dll

* C:\WINDOWS\system32\sivudro.dll

* C:\WINDOWS\system32\stickrep.dll

* C:\WINDOWS\system32\ioctrl.dll

* C:\WINDOWS\system32\sbnudh.dll

* C:\WINDOWS\system32\fyhhxw.dll

* C:\WINDOWS\system32\iqzv.dll

* C:\WINDOWS\system32\oqipt.dll

* C:\WINDOWS\system32\htey.dll

* C:\WINDOWS\system32\appmagr.dll

* C:\WINDOWS\system32\reglogs.dll

* C:\WINDOWS\system32\ncompat.tlb

* C:\WINDOWS\system32\msvol.tlb

* C:\WINDOWS\system32\interf.tlb

 

7. Retorne ao KillBox. Clique em File –> Paste from clipboard. Clique em All Files

 

8. Clique no botão . Responda Não à pergunta

 

9. Execute o HijackThis, clique em Do a System Scan Only e marque as entradas abaixo, se existirem:

 

 

O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp****.tmp

 

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll

 

O4 - HKLM\..\Run: [spyAxe] C:\Arquivos de programas\SpyAxe\spyaxe.exe /h

O4 - HKLM\..\Run: [spywareStrike] C:\Arquivos de programas\SpywareStrike\SpywareStrike.exe /h

O4 - HKLM\..\Run: [spyFalcon] C:\Arquivos de programas\SpyFalcon\SpyFalcon.exe /h

O4 - Startup: titanshield.lnk = C:\Arquivos de programas\TitanShield Antispyware\titanshield.exe

 

Clique em Fix Checked.

 

10. Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat.

Pode levar algum tempo. Seja paciente.

 

11. Dê um duplo clique no arquivo FixSF.reg salvo anteriormente e confirme sua integração ao registro

 

12. Clique com o botão direito no DelDomains.inf salvo anteriormente e clique em Instalar.

 

Após concluídos os procedimentos

 

Reinicie o computador normalmente. O SpyAxe (ou outro anti-spyware falso) deve ter sido eliminado. Se ele ainda estiver na sua máquina, use a opção Adicionar/Remover Programas no Painel de Controle para remover o software. Ela deve funcionar depois que os cavalos-de-tróia adicionais foram removidos

 

Se o seu Gerenciador de Tarefas (CTRL+ALT+DEL / CTRL+SHIFT+ESC) está “desabilitado pelo administrador”, faça o download e execute o task-fix.reg.

 

É interessante também executar o CCleaner. Instale-o, depois abra o CCleaner e clique em Executar Cleaner.

 

Créditos

 

* Marco Aurélio [Sam Spade] pela matriz/rascunho da correção.

* Susan528 pelo tópico técnico sobre a infecção.

* O artigo do site Virus-Protect que detalha outros aspectos da infecção.

Editado Fevereiro 7, 2008 por Northon

[upking 14]

eh interessante, bom pra qm se infectou

[Northon 3]

Sim Upking

 

Achei Muito Interesante Pois No Xtibia nunca Ouvi Falar De Spyaxe

[Addict 12]

Nem sabia que existe isso, vlw.

[Northon 3]

Nem Eu

 

Eu Vi Isso Ai Resolver Trazer Para O XTibia

 

=D

[Powerzin 20]

Northon, rapaz, não precisa a cada resposta de tópico você responder, isso é considerado flood, aposto que depois dessa minha resposta você vai responder, lamentavel.Btw nice topic (mesmo eu já conhecendo.)

[lastsouls 31]

Haha,

Valeu pelo conteúdo ;]~

 

--

 

Powerzin²

[Gandalrf 0]

vlw pelo alerta sobre esses antispys falsos e pelo tutorial ensinando a remove-los

 

[]´s

Editado Fevereiro 7, 2008 por Gandalrf

[cirdan 0]

isso jah aconteceu com um amigo meu

tive que faze uma restauração de sistema pq eu não tava conseguindo

tira aquelas porcaria