Por Gabriel Torres em 19 de janeiro de 2005
Introdução
A praga mais comum hoje em dia são os spywares, programas que servem somente para torrar a paciência do usuário com propagandas e modificações no comportamento do micro. Só não são classificados como vírus porque geralmente não fazem nada de grave na máquina, como apagar arquivos.
Atualmente tão importante quanto ter um antivírus na máquina é ter um programa removedor de spywares instalado e atualizado. Um dos mais famosos é o Ad-Aware, que pode ser baixado em http://www.spychecker.com/download/download_adaware.html. Normalmente basta rodar este programa para limpar o seu micro dessas pragas e voltar a ter o micro funcionando corretamente.
Só que tem um spyware chamado Home Search Assistant (HSA) que não sai do micro nem por um decreto. Este camarada – que também é conhecido como Only The Best, Home Search Extender e Shopping Wizard – modifica o Internet Explorer de modo que apareça sempre uma página de pesquisa (a tal Home Search Assistant) quando você abre o Internet Explorer. Não adianta removê-lo usando programas anti-spyware, porque o spyware percebe isso e infecta o micro novamente. Na coluna de hoje explicaremos o que você deve fazer para remover esta praga do seu micro.
Só para lembrar, há outro famoso spyware que também modifica o Internet Explorer, chamado CoolWebSearch (CWS), só que este spyware, ao contrário do HSA, pode ser facilmente removido usando o programa CWShredder (http://www.spychecker.com/download/download_cwshredder.html).
O grande problema do HSA é que existem diversas versões dele por aí, justamente para dificultar a sua remoção. Existe um programa chamado HSRemove (http://www.hsremove.com) que é capaz de remover várias versões desta praga. Se seu micro estiver infectado por este spyware, rode este programa e veja o que acontece. Se ele não conseguir remover o HSA, então você terá de remover o spyware manualmente, conforme explicamos a seguir.
Rode o programa HijackThis (http://www.spychecker.com/program/hijackthis.html). Atenção: não mande o programa consertar nada por enquanto. Para facilitar, imprima o relatório gerado por este programa. Neste relatório aparecerão várias chaves, preste atenção nas chaves R1, R0, 02 e 04. Você verá algo como:
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSalcfa.dll/sp.html#76985
02 - BHO: (no name) - {5EA09FEA-8849-F5FF-50D8-97E69A569E394} - C:WINDOWSaddex.dll
04 - HKLM..Run: [ntet.exe] C:WINDOWSntet.exe
Os arquivos .dll e .exe listados (alcfa.dll, addex.dll e ntet.exe neste exemplo) são parte do spyware e são os arquivos que devem ser apagados manualmente. Importante notar que esses nomes são aleatórios e modificados pelo HSA a cada nova infecção. Então no seu micro os nomes usados serão outros. Poderão aparecer listados também programas legítimos, por exemplo "04 - HKCU..Run [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe". Se você apagar arquivos legítimos do sistema operacional (como o ctfmon.exe) o seu micro não funcionará corretamente. Saber se um arquivo é parte do spyware ou parte do sistema é mais ou menos simples; como os arquivos que fazem parte do HSA estão ocultos, navegando pelo Windows Explorer, clique com o botão direito sobre o arquivo que você quer saber se é parte do spyware ou não, clique na opção Propriedades e verifique se o atributo "Oculto" está ou não ativado. Nos arquivos legítimos do sistema, este atributo não estará marcado, enquanto nos arquivos do spyware este atributo estará ativado.
Só há um problema. Se você simplesmente apagar esses arquivos, o spyware continuará na memória e infectará o micro novamente. É por isso que este spyware é chato de ser removido.
Removendo Spywares
Como os arquivos do spyware estão ocultos, a primeira coisa que você precisa fazer é configurar o Windows para mostrar arquivos ocultos. Abra o Meu Computador, Ferramentas, Opções de pasta, guia Modo de exibição, em "Pastas e arquivos ocultos", marcar "Mostrar pastas e arquivos ocultos". Desmarque as caixas "Ocultar arquivos protegidos do sistema operacional (recomendado)" e "Ocultar as extensões dos tipos de arquivos conhecidos".
Desative a restauração do sistema, clicando com o botão direito do mouse em Meu Computador, clicando em Propriedades, guia Restauração do sistema, marcando a caixa "Desativar restauração do sistema em todas as unidades".
Depois de fazer isso, você precisa desabilitar o spyware. Isso pode ser feito indo a Iniciar, Executar, Services.msc. Procure por um dos seguintes serviços (atenção: o nome tem que ser exatamente o mesmo como listamos a seguir, mesmo no Windows em português): "Network Security Service", "Workstation NetLogon Service" ou "Remote Procedure Call (RPC) Helper". Clique com o botão direito sobre o serviço, clique em Propriedades, e, em "Tipo de Inicialização", coloque "Desativado".
Agora é que vem o pulo do gato. Você precisará reiniciar o micro. Mas se você reiniciar da forma tradicional, o spyware voltará para a memória. Por este motivo, você precisará retirar o micro do plugue da tomada. Sim, você leu certo. Não pressione o botão de liga/desliga nem use a opção Iniciar, Desligar, senão você jogará o trabalho por água abaixo.
Ligue novamente o micro, pressione a tecla F8 e escolha a opção "Modo Seguro". Existem várias variações ("com rede", "com prompt", etc), escolha a que tem somente "Modo Seguro" sem mais nada. Rode novamente o HijackThis só para ter certeza que o spyware não mudou o nome dos arquivos. Marque as caixas que chamam o spyware (todas R1, todas R0, a R3, a 02 e as duas 04 que estão chamando o spyware, ver coluna passada) e clique em Fix.
O próximo passo é apagar os arquivos do Spyware. No exemplo que demos, você deveria apagar os arquivos c:windowsalcfa.dll, c:windowsaddex.dll e c:windowsntet.exe.
Em seguida, abra o editor do Registro do Windows (Iniciar, Executar, Regedit) e vá atá a chave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices. Procure e apague qualquer pasta chamada "Network Security Service", "Workstation NetLogon Service", "Remote Procedure Call (RPC) Helper", "__NS_Service", "__NS_Service_2" ou "__NS_Service_3". Em nosso micro havia uma pasta com o nome todo embaralhado (como se estivesse corrompido) começando por um símbolo de quadrado (era uma das primeiras listadas), dentro desta pasta a descrição estava "Workstation NetLogon Service", então procure também por pastas com caracteres esquisitos. Em HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot procure por pastas com os mesmos nomes, só que começando com "LEGACY" (ex: "LEGACY Network Security Service"). Você também deverá apagar estas pastas. A mesma questão da pasta com nome embaralhado se aplica.
Apague todos os arquivos temporários e arquivos temporários da Internet. Para isso, vá em Iniciar, Executar, cleanmgr, escolha a unidade C, marque os arquivos temporários da Internet, os arquivos temporários e a lixeira.
O próximo passo é reiniciar o micro, mas usando novamente o método de remover o micro da tomada sem usar a opção de desligar.
Ligue o micro novamente e carregue o Windows. Rode novamente o HijackThis e remova as chaves que chamam o spyware (todas R1, todas R0, a R3, a 02 e as duas 04 que estão chamando o spyware) e clique em Fix, caso elas continuem sendo listadas.
Abra o seu Internet Explorer e veja se o problema foi resolvido. Caso o problema persista, você se esqueceu de algum detalhe durante o processo descrito. Repita novamente passo a passo o procedimento descrito.
Originalmente em http://www.clubedohardware.com.br/artigos/949
© 1996-2008, Clube do Hardware. Todos os direitos reservados.
É expressamente proibida a reprodução total ou parcial do conteúdo deste site e dos textos disponíveis, seja através de
mídia eletrônica, impressa, ou qualquer outra forma de distribuição. Os infratores serão indiciados e punidos com base na lei nº 9.610 de 19/02/1998.
Não nos responsabilizamos por danos materiais e/ou morais de qualquer espécie promovidos pelo uso das informações contidas no Clube do Hardware.