Assine:
Spysheriff.
Tutorial para remoção.
Escrito por jgarcia em Segurança. Data: 26/08/2006
Licença: Alguns direitos reservados. Dar créditos ao autor e linkar este original
Removendo o SpySheriff.
Sintomas da Infecção:
Esta infecção modifica as configurações de seu Desktop, de modo que apareça um falso alerta sobre a existência de malwares na máquina. O mesmo alerta sugere a utilização de um suposto antispy intitulado “SpySheriff”.
Na verdade o malware é o próprio “SpySheriff”.
Ferramentas necessárias à desinfecção:
a. HijackThis
Extraia o HijackThis para uma pasta própria, tipo c:\Hijack, mas não o execute ainda.
b. Killbox
Baixe, mas não o execute ainda.
c. Smitfraud.reg
Clique no link acima, vá a Arquivo em seu Navegador e escolha Salvar como. Salve-o em seu Desktop como Smitfraud.reg, mas não o execute ainda.
d. AVG AntiSpyware
d.1. Dê duplo-clique sobre o ícone do arquivo baixado;
d.2 Selecione Português como idioma para instalação;
d.3 Na janela de boas-vindas do Assistente do AVG Anti-Spyware clique em Seguinte >;
d.4 Na janela do Contrato de Licença clique em Aceito;
d.5 Clique em Seguinte > Instalar > aguarde o término do processo de instalação > clique em Terminar;
d.6 Quando a janela do AVG Anti-Spyware abrir, escolha Atualizar e aguarde o término do processo, mas não o execute ainda.
e. Cleanup
Faça o download e instale o Cleanup, mas não o execute ainda.
OBS.: O Cleanup será utilizado, SOMENTE, para a limpeza de arquivos temporários / pastas temporárias.
Instruções para remoção:
Em 13/11/2005 --> Há informações de que o Spybot Search & Destroy remove esta praga. Assim sendo, sugiro que o usuário baixe, atualize e o execute antes de seguir os procedimentos abaixo.
1. Execute o KillBox:
1.1) Selecione Delete on reboot;
1.2) Full path of file to delete;
1.3) Coloque:
C:\winstall.exe - Aperte X. Responda "não" à pergunta.
Repita a operação para (talvez não hajam todas estas):
É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.
2. Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).
3. Já em Modo Seguro, abra o Cleanup, dando duplo-clique sobre o ícone contido em seu Desktop (ou por meio de Iniciar > menu Todos os Programas). Configure o programa, conforme a seguir:
3.1 Clique em Options.
3.2 Vá até Custom CleanUp.
3.3 Observe a marcação das seguintes opções:
Empty Recycle Bins
Delete Cookies
Delete Prefetch files
Scan local drives for temporary files
Cleanup All Users
3.4 Clique em Ok.
3.5 Aperte o botão Cleanup para dar inicio a limpeza.
4. Execute agora o AVG AntiSpyware.
4.1 Execute o AVG Anti-Spyware e clique em Status. Em Última verificação escolha Verificar agora > Verificação completa do sistema > aguarde o término da varredura;
4.2 Quando a varredura terminar verifique a coluna Ameaça e, sobretudo, a Ação que será executada. Caso não possua certeza sobre a exclusão de algum arquivo ou tenha certeza de que ele é legítimo, basta selecioná-lo dar um clique direito e escolher Ignorar uma vez ou Adicionar à lista de exceções;
4.3 Feito o procedimento acima clique em Aplicar todas as ações.
5. Com o scan finalizado, saia do AVG AntiSpyware e reinicie em Modo Normal.
6. Vá a Iniciar --> Painel de Controle --> Adicionar/Remover Programas.
7. Desinstale o SpySheriff.
8. Localize e delete as seguintes entradas, se existirem (só as partes em negrito):
C:\Documents and Settings\user account\Start Menu\Programs\SpySheriff --> a pasta
C:\Documents and Settings\user account\Application Data\Install.dat
C:\Program Files\SpySheriff --> a pasta
C:\ProgramFiles\Daily Weather Forecast\
Desconecte o PC da internet e feche todos os demais programas. Execute o HijackThis, pressionando Do a System Scan Only, marque apenas as entradas abaixo (talvez não hajam todas estas) e clique em FIX CHECKED:
9. Feche o HiJackThis.
10. Renonecte o PC à internet, dê duplo-clique em Smitfraud.reg contido em seu Desktop e escolha Sim.
11. Após a mensagem de sucesso, utilize o Windows Explorer e navegue até a seguinte pasta:
C:\Windows\Prefetch
12. Se houverem arquivos contidos na pasta Prefetch, delete TODOS. (NÃO delete a pasta. Delete APENAS os arquivos lá contidos).
13. Reinicie o computador em Modo Normal.
14. Após estas providências a máquina deve voltar ao normal, inclusive suas configurações de Desktop.
Obs.: Caso o seu Desktop pareça ter perdido as configurações e passe a ter aparência de Win 98 crie um tópico na seção Segurança e Malwares, a fim de que possamos ajudá-lo a restaurá-las.
Créditos:
À Bananafanafo pela proposição do Fix original e Grinler pela adaptação e Fix final.
Tutorial adaptado do original:
How to Remove SpySheriff
Adaptação e tradução: José Carlos Moura Garcia Junior.
Sintomas da Infecção:
Esta infecção modifica as configurações de seu Desktop, de modo que apareça um falso alerta sobre a existência de malwares na máquina. O mesmo alerta sugere a utilização de um suposto antispy intitulado “SpySheriff”.
Na verdade o malware é o próprio “SpySheriff”.
Ferramentas necessárias à desinfecção:
a. HijackThis
Extraia o HijackThis para uma pasta própria, tipo c:\Hijack, mas não o execute ainda.
b. Killbox
Baixe, mas não o execute ainda.
c. Smitfraud.reg
Clique no link acima, vá a Arquivo em seu Navegador e escolha Salvar como. Salve-o em seu Desktop como Smitfraud.reg, mas não o execute ainda.
d. AVG AntiSpyware
d.1. Dê duplo-clique sobre o ícone do arquivo baixado;
d.2 Selecione Português como idioma para instalação;
d.3 Na janela de boas-vindas do Assistente do AVG Anti-Spyware clique em Seguinte >;
d.4 Na janela do Contrato de Licença clique em Aceito;
d.5 Clique em Seguinte > Instalar > aguarde o término do processo de instalação > clique em Terminar;
d.6 Quando a janela do AVG Anti-Spyware abrir, escolha Atualizar e aguarde o término do processo, mas não o execute ainda.
e. Cleanup
Faça o download e instale o Cleanup, mas não o execute ainda.
OBS.: O Cleanup será utilizado, SOMENTE, para a limpeza de arquivos temporários / pastas temporárias.
Instruções para remoção:
Em 13/11/2005 --> Há informações de que o Spybot Search & Destroy remove esta praga. Assim sendo, sugiro que o usuário baixe, atualize e o execute antes de seguir os procedimentos abaixo.
1. Execute o KillBox:
1.1) Selecione Delete on reboot;
1.2) Full path of file to delete;
1.3) Coloque:
C:\winstall.exe - Aperte X. Responda "não" à pergunta.
Repita a operação para (talvez não hajam todas estas):
QUOTE
C:\Windows\Desktop.html
c:\secure32.html
C:\WINDOWS\system32\cmd32.exe
C:\WINDOWS\system32\paytime.exe
c:\secure32.html
C:\WINDOWS\system32\cmd32.exe
C:\WINDOWS\system32\paytime.exe
É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.
2. Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).
3. Já em Modo Seguro, abra o Cleanup, dando duplo-clique sobre o ícone contido em seu Desktop (ou por meio de Iniciar > menu Todos os Programas). Configure o programa, conforme a seguir:
3.1 Clique em Options.
3.2 Vá até Custom CleanUp.
3.3 Observe a marcação das seguintes opções:
Empty Recycle Bins
Delete Cookies
Delete Prefetch files
Scan local drives for temporary files
Cleanup All Users
3.4 Clique em Ok.
3.5 Aperte o botão Cleanup para dar inicio a limpeza.
4. Execute agora o AVG AntiSpyware.
4.1 Execute o AVG Anti-Spyware e clique em Status. Em Última verificação escolha Verificar agora > Verificação completa do sistema > aguarde o término da varredura;
4.2 Quando a varredura terminar verifique a coluna Ameaça e, sobretudo, a Ação que será executada. Caso não possua certeza sobre a exclusão de algum arquivo ou tenha certeza de que ele é legítimo, basta selecioná-lo dar um clique direito e escolher Ignorar uma vez ou Adicionar à lista de exceções;
4.3 Feito o procedimento acima clique em Aplicar todas as ações.
5. Com o scan finalizado, saia do AVG AntiSpyware e reinicie em Modo Normal.
6. Vá a Iniciar --> Painel de Controle --> Adicionar/Remover Programas.
7. Desinstale o SpySheriff.
8. Localize e delete as seguintes entradas, se existirem (só as partes em negrito):
C:\Documents and Settings\user account\Start Menu\Programs\SpySheriff --> a pasta
C:\Documents and Settings\user account\Application Data\Install.dat
C:\Program Files\SpySheriff --> a pasta
C:\ProgramFiles\Daily Weather Forecast\
Desconecte o PC da internet e feche todos os demais programas. Execute o HijackThis, pressionando Do a System Scan Only, marque apenas as entradas abaixo (talvez não hajam todas estas) e clique em FIX CHECKED:
QUOTE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [cmd32] C:\WINDOWS\system32\cmd32.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [cmd32] C:\WINDOWS\system32\cmd32.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
9. Feche o HiJackThis.
10. Renonecte o PC à internet, dê duplo-clique em Smitfraud.reg contido em seu Desktop e escolha Sim.
11. Após a mensagem de sucesso, utilize o Windows Explorer e navegue até a seguinte pasta:
C:\Windows\Prefetch
12. Se houverem arquivos contidos na pasta Prefetch, delete TODOS. (NÃO delete a pasta. Delete APENAS os arquivos lá contidos).
13. Reinicie o computador em Modo Normal.
14. Após estas providências a máquina deve voltar ao normal, inclusive suas configurações de Desktop.
Obs.: Caso o seu Desktop pareça ter perdido as configurações e passe a ter aparência de Win 98 crie um tópico na seção Segurança e Malwares, a fim de que possamos ajudá-lo a restaurá-las.
Créditos:
À Bananafanafo pela proposição do Fix original e Grinler pela adaptação e Fix final.
Tutorial adaptado do original:
How to Remove SpySheriff
Adaptação e tradução: José Carlos Moura Garcia Junior.
Mais recentes em Segurança
- Seu micro seguro em quatro lições
- Por Lucasbr - Todos os dias surgem novas formas de ataques por meio...
- Removendo a versão bagle com rootkit - versão
- Por jgarcia - A praga que desabilita o anti-vírus....
- Qual anti-virus usar?
- Por Muleke - De tantos que existem.....
- Cartilha de segurança para internet
- Por DudS - Olá pessoal, - como o título já diz, trata-se da cartilha...
- Conheça extensões de arquivo perigosas
- Por jgarcia - Conheça extensões de arquivo perigosas e evite baixá-las...
Ver mais Artigos de Segurança.
Ver e retirar outras dúvidas no fórum Webly.
Alguns Direitos Reservados | RSS | O Fórum
Webly Portal e Fóruns - Internet + Humana | Design by ArthurHenrique.com