Como os arquivos do spyware estão ocultos, a primeira coisa que você precisa fazer é configurar o Windows para mostrar arquivos ocultos. Abra o Meu Computador, Ferramentas, Opções de pasta, guia Modo de exibição, em "Pastas e arquivos ocultos", marcar "Mostrar pastas e arquivos ocultos". Desmarque as caixas "Ocultar arquivos protegidos do sistema operacional (recomendado)" e "Ocultar as extensões dos tipos de arquivos conhecidos".
Desative a restauração do sistema, clicando com o botão direito do mouse em Meu Computador, clicando em Propriedades, guia Restauração do sistema, marcando a caixa "Desativar restauração do sistema em todas as unidades".
Depois de fazer isso, você precisa desabilitar o spyware. Isso pode ser feito indo a Iniciar, Executar, Services.msc. Procure por um dos seguintes serviços (atenção: o nome tem que ser exatamente o mesmo como listamos a seguir, mesmo no Windows em português): "Network Security Service", "Workstation NetLogon Service" ou "Remote Procedure Call (RPC) Helper". Clique com o botão direito sobre o serviço, clique em Propriedades, e, em "Tipo de Inicialização", coloque "Desativado".
Agora é que vem o pulo do gato. Você precisará reiniciar o micro. Mas se você reiniciar da forma tradicional, o spyware voltará para a memória. Por este motivo, você precisará retirar o micro do plugue da tomada. Sim, você leu certo. Não pressione o botão de liga/desliga nem use a opção Iniciar, Desligar, senão você jogará o trabalho por água abaixo.
Ligue novamente o micro, pressione a tecla F8 e escolha a opção "Modo Seguro". Existem várias variações ("com rede", "com prompt", etc), escolha a que tem somente "Modo Seguro" sem mais nada. Rode novamente o HijackThis só para ter certeza que o spyware não mudou o nome dos arquivos. Marque as caixas que chamam o spyware (todas R1, todas R0, a R3, a 02 e as duas 04 que estão chamando o spyware, ver coluna passada) e clique em Fix.
O próximo passo é apagar os arquivos do Spyware. No exemplo que demos, você deveria apagar os arquivos c:windowsalcfa.dll, c:windowsaddex.dll e c:windowsntet.exe.
Em seguida, abra o editor do Registro do Windows (Iniciar, Executar, Regedit) e vá atá a chave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices. Procure e apague qualquer pasta chamada "Network Security Service", "Workstation NetLogon Service", "Remote Procedure Call (RPC) Helper", "__NS_Service", "__NS_Service_2" ou "__NS_Service_3". Em nosso micro havia uma pasta com o nome todo embaralhado (como se estivesse corrompido) começando por um símbolo de quadrado (era uma das primeiras listadas), dentro desta pasta a descrição estava "Workstation NetLogon Service", então procure também por pastas com caracteres esquisitos. Em HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot procure por pastas com os mesmos nomes, só que começando com "LEGACY" (ex: "LEGACY Network Security Service"). Você também deverá apagar estas pastas. A mesma questão da pasta com nome embaralhado se aplica.
Apague todos os arquivos temporários e arquivos temporários da Internet. Para isso, vá em Iniciar, Executar, cleanmgr, escolha a unidade C, marque os arquivos temporários da Internet, os arquivos temporários e a lixeira.
O próximo passo é reiniciar o micro, mas usando novamente o método de remover o micro da tomada sem usar a opção de desligar.
Ligue o micro novamente e carregue o Windows. Rode novamente o HijackThis e remova as chaves que chamam o spyware (todas R1, todas R0, a R3, a 02 e as duas 04 que estão chamando o spyware) e clique em Fix, caso elas continuem sendo listadas.
Abra o seu Internet Explorer e veja se o problema foi resolvido. Caso o problema persista, você se esqueceu de algum detalhe durante o processo descrito. Repita novamente passo a passo o procedimento descrito.
