Como remover o spyware search extender do seu computador - Dicas, Aprenda Como fazer, Tutorial e Livros.

Tutomania - Dicas, Aprenda Como fazer, Tutorial...

Login:
Senha:
Salvar |  Cadastre-se

 

Home | Arquivo | Envio | Jogos Online | Política de Privacidade | Contato

Informática / Segurança

Como remover o spyware search extender do seu computador

remova o spyware mais chato da web!


DOCUMENTO:


ESTATÍSTICAS:

Comentários: 1 comentários (Comentar)
Nota: (Dar Nota)
Valor: 10 crédito(s)
Enviado por: felipevbl (5)
Publicado em: 18/11/05 23:17hs.

LINKS PATROCINADOS:

DOCUMENTO:

Introdução

A praga mais comum hoje em dia são os spywares, programas que servem somente para torrar a paciência do usuário com propagandas e modificações no

comportamento do micro. Só não são classificados como vírus porque geralmente não fazem nada de grave na máquina, como apagar arquivos.

Atualmente tão importante quanto ter um antivírus na máquina é ter um programa removedor de spywares instalado e atualizado. Um dos mais famosos é o

Ad-Aware, que pode ser baixado em http://www.spychecker.com/download/download_adaware.html. Normalmente basta rodar este programa para limpar o seu micro

dessas pragas e voltar a ter o micro funcionando corretamente.

Só que tem um spyware chamado Home Search Assistant (HSA) que não sai do micro nem por um decreto. Este camarada ? que também é conhecido como Only The Best,

Home Search Extender e Shopping Wizard ? modifica o Internet Explorer de modo que apareça sempre uma página de pesquisa (a tal Home Search Assistant) quando

você abre o Internet Explorer. Não adianta removê-lo usando programas anti-spyware, porque o spyware percebe isso e infecta o micro novamente. Na coluna de

hoje explicaremos o que você deve fazer para remover esta praga do seu micro.

Só para lembrar, há outro famoso spyware que também modifica o Internet Explorer, chamado CoolWebSearch (CWS), só que este spyware, ao contrário do HSA, pode

ser facilmente removido usando o programa CWShredder (http://www.spychecker.com/download/download_cwshredder.html).

O grande problema do HSA é que existem diversas versões dele por aí, justamente para dificultar a sua remoção. Existe um programa chamado HSRemove

(http://www.hsremove.com) que é capaz de remover várias versões desta praga. Se seu micro estiver infectado por este spyware, rode este programa e veja o que

acontece. Se ele não conseguir remover o HSA, então você terá de remover o spyware manualmente, conforme explicamos a seguir.

Rode o programa HijackThis (http://www.spychecker.com/program/hijackthis.html). Atenção: não mande o programa consertar nada por enquanto. Para facilitar,

imprima o relatório gerado por este programa. Neste relatório aparecerão várias chaves, preste atenção nas chaves R1, R0, 02 e 04. Você verá algo como:

 

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSalcfa.dll/sp.html#76985

02 - BHO: (no name) - {5EA09FEA-8849-F5FF-50D8-97E69A569E394} - C:WINDOWSaddex.dll

04 - HKLM..Run: [ntet.exe] C:WINDOWSntet.exe

Os arquivos .dll e .exe listados (alcfa.dll, addex.dll e ntet.exe neste exemplo) são parte do spyware e são os arquivos que devem ser apagados manualmente.

Importante notar que esses nomes são aleatórios e modificados pelo HSA a cada nova infecção. Então no seu micro os nomes usados serão outros. Poderão

aparecer listados também programas legítimos, por exemplo "04 - HKCU..Run [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe". Se você apagar arquivos legítimos do

sistema operacional (como o ctfmon.exe) o seu micro não funcionará corretamente. Saber se um arquivo é parte do spyware ou parte do sistema é mais ou menos

simples; como os arquivos que fazem parte do HSA estão ocultos, navegando pelo Windows Explorer, clique com o botão direito sobre o arquivo que você quer

saber se é parte do spyware ou não, clique na opção Propriedades e verifique se o atributo "Oculto" está ou não ativado. Nos arquivos legítimos do sistema,

este atributo não estará marcado, enquanto nos arquivos do spyware este atributo estará ativado.

Só há um problema. Se você simplesmente apagar esses arquivos, o spyware continuará na memória e infectará o micro novamente. É por isso que este spyware é

chato de ser removido.

 Como os arquivos do spyware estão ocultos, a primeira coisa que você precisa fazer é configurar o Windows para mostrar arquivos ocultos. Abra o Meu

Computador, Ferramentas, Opções de pasta, guia Modo de exibição, em "Pastas e arquivos ocultos", marcar "Mostrar pastas e arquivos ocultos". Desmarque as

caixas "Ocultar arquivos protegidos do sistema operacional (recomendado)" e "Ocultar as extensões dos tipos de arquivos conhecidos".

Desative a restauração do sistema, clicando com o botão direito do mouse em Meu Computador, clicando em Propriedades, guia Restauração do sistema, marcando a

caix "Desativar restauração do sistema em todas as unidades".

Depois de fazer isso, você precisa desabilitar o spyware. Isso pode ser feito indo a Iniciar, Executar, Services.msc. Procure por um dos seguintes serviços

(atenção: o nome tem que ser exatamente o mesmo como listamos a seguir, mesmo no Windows em português): "Network Security Service", "Workstation NetLogon

Service" ou "Remote Procedure Call (RPC) Helper". Clique com o botão direito sobre o serviço, clique em Propriedades, e, em "Tipo de Inicialização", coloque

"Desativado".

Agoa é que vem o pulo do gato. Você precisará reiniciar o micro. Mas se você reiniciar da forma tradicional, o spyware voltará para a memória. Por este

motivo, você precisará retirar o micro do plugue da tomada. Sim, você leu certo. Não pressione o botão de liga/desliga nem use a opção Iniciar, Desligar,

senão você jogará o trabalho por água abaixo.

Ligue novamente o micro, pressione a tecla F8 e escolha a opção "Modo Seguro". Existem várias variações ("com rede", "com prompt", etc), escolha a que tem

somente "Modo Seguro" sem mais nada. Rode novamente o HijackThis só para ter certeza que o spyware não mudou o nome dos arquivos. Marque as caixas que chamam

 spyware (todas R1, todas R0, a R3, a 02 e as duas 04 que estão chamando o spyware, ver coluna passada) e clique em Fix.

O próximo passo é apagar os arquivos do Spyware. No exemplo que demos, você deveria apagar os arquivos c:windowsalcfa.dll, c:windowsaddex.dll e

c:windowsntet.exe.

Em seguida, abra o editor do Registro do Windows (Iniciar, Executar, Regedit) e vá atá a chave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices. Procure e

apague qualquer pasta chamada "Network Security Service", "Workstation NetLogon Service", "Remote Procedure Call (RPC) Helper", "__NS_Service",

"__NS_Service_2" ou "__NS_Service_3". Em nosso micro havia uma pasta com o nome todo embaralhado (como se estivesse corrompido) começando por um símbolo de

quadrado (era uma das primeiras listadas), dentro desta pasta a descrição estava "Workstation NetLogon Service", então procure também por pastas com

caracteres esquisitos. Em HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRoot procure por pastas com os mesmos nomes, só que começando com "LEGACY" (ex:

"LEGACY Network Security Service"). Você também deverá apagar estas pastas. A mesma questão da pasta com nome embaralhado se aplica.

Apague todos os arquivos temporários e arquivos temporários da Internet. Para isso, vá em Iniciar, Executar, cleanmgr, escolha a unidade C, marque os

arquivos temporários da Internet, os arquivos temporários e a lixeira.

O próximo passo é reiniciar o micro, mas usando novamente o método de remover o micro da tomada sem usar a opção de desligar.

Ligue o micro novamente e carregue o Windows. Rode novamente o HijackThis e remova as chaves que chamam o spyware (todas R1, todas R0, a R3, a 02 e as duas

04 que estão chamando o spyware) e clique em Fix, caso elas continuem sendo listadas.

Abra o seu Internet Explorer e veja se o problema foi resolvido. Caso o problema persista, você se esqueceu de algum detalhe durante o processo descrito.

Repita novamente passo a passo o procedimento descrito.

VEJA TAMBÉM:

COMENTÁRIOS:

vieirasobral     12/10/2009 15:07hs.
otimo recurso para bloquear spyware,
porem muito trabalhoso, mas valioso
otimo tutorial.

Comentar:

Título:
Autor:   Anônimo (Efetue login para comentar identificado)
Comentário:    

OPÇÕES

ENTRE COM SEU LOGIN E SENHA

Olá visitante! Para interagir com este documento, você precisa estar logado.

Login:
Senha:  
Salvar Dados  |  Cadastre-se!

O cadastro é gratis! É muito fácil e rápido fazer o seu cadastro.

Home | Termos de Uso | Sobre o Tutomania | Publicidade | Contato
2005 - 2013 ® Tutomania.