Imprimir artigo
Removendo o Spyware que Modifica o Internet Explorer
19/01/2005 às 9h29min por Gabriel Torres em Tutoriais
143.804 visualizações
Página 1 de 2

Introdução

A praga mais comum hoje em dia são os spywares, programas que servem somente para torrar a paciência do usuário com propagandas e modificações no comportamento do micro. Só não são classificados como vírus porque geralmente não fazem nada de grave na máquina, como apagar arquivos.

Atualmente tão importante quanto ter um antivírus na máquina é ter um programa removedor de spywares instalado e atualizado. Um dos mais famosos é o Ad-Aware, que pode ser baixado em http://www.spychecker.com/download/download_adaware.html. Normalmente basta rodar este programa para limpar o seu micro dessas pragas e voltar a ter o micro funcionando corretamente.

Só que tem um spyware chamado Home Search Assistant (HSA) que não sai do micro nem por um decreto. Este camarada – que também é conhecido como Only The Best, Home Search Extender e Shopping Wizard – modifica o Internet Explorer de modo que apareça sempre uma página de pesquisa (a tal Home Search Assistant) quando você abre o Internet Explorer. Não adianta removê-lo usando programas anti-spyware, porque o spyware percebe isso e infecta o micro novamente. Na coluna de hoje explicaremos o que você deve fazer para remover esta praga do seu micro.

Só para lembrar, há outro famoso spyware que também modifica o Internet Explorer, chamado CoolWebSearch (CWS), só que este spyware, ao contrário do HSA, pode ser facilmente removido usando o programa CWShredder (http://www.spychecker.com/download/download_cwshredder.html).

O grande problema do HSA é que existem diversas versões dele por aí, justamente para dificultar a sua remoção. Existe um programa chamado HSRemove (http://www.hsremove.com) que é capaz de remover várias versões desta praga. Se seu micro estiver infectado por este spyware, rode este programa e veja o que acontece. Se ele não conseguir remover o HSA, então você terá de remover o spyware manualmente, conforme explicamos a seguir.

Rode o programa HijackThis (http://www.spychecker.com/program/hijackthis.html). Atenção: não mande o programa consertar nada por enquanto. Para facilitar, imprima o relatório gerado por este programa. Neste relatório aparecerão várias chaves, preste atenção nas chaves R1, R0, 02 e 04. Você verá algo como:

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSalcfa.dll/sp.html#76985
02 - BHO: (no name) - {5EA09FEA-8849-F5FF-50D8-97E69A569E394} - C:WINDOWSaddex.dll
04 - HKLM..Run: [ntet.exe] C:WINDOWSntet.exe

Os arquivos .dll e .exe listados (alcfa.dll, addex.dll e ntet.exe neste exemplo) são parte do spyware e são os arquivos que devem ser apagados manualmente. Importante notar que esses nomes são aleatórios e modificados pelo HSA a cada nova infecção. Então no seu micro os nomes usados serão outros. Poderão aparecer listados também programas legítimos, por exemplo "04 - HKCU..Run [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe". Se você apagar arquivos legítimos do sistema operacional (como o ctfmon.exe) o seu micro não funcionará corretamente. Saber se um arquivo é parte do spyware ou parte do sistema é mais ou menos simples; como os arquivos que fazem parte do HSA estão ocultos, navegando pelo Windows Explorer, clique com o botão direito sobre o arquivo que você quer saber se é parte do spyware ou não, clique na opção Propriedades e verifique se o atributo "Oculto" está ou não ativado. Nos arquivos legítimos do sistema, este atributo não estará marcado, enquanto nos arquivos do spyware este atributo estará ativado.

Só há um problema. Se você simplesmente apagar esses arquivos, o spyware continuará na memória e infectará o micro novamente. É por isso que este spyware é chato de ser removido.

ARTIGOS RELACIONADOS
Removendo Programas Bisbilhoteiros
19/02/2003 às 10h39min por Gabriel Torres em Vírus
Removendo o Vírus Sircam
01/08/2001 às 0h00min por Gabriel Torres em Vírus
ÚLTIMAS NOTÍCIAS EM VÍRUS
ÚLTIMOS ARTIGOS
448.702 usuários cadastrados
2.095 usuários on-line