Segue uma lista de métodos de desinfecção para que você se livre definitivamente de seus trojans, vírus, vermes, spywares, publicidades... Primeiro, aparecerá o nome da infecção e depois, o método para erradicá-la.

SpyAxe, SpySheriff, Antivírus Gold, desvio de desktop (desktop hijack)

• Baixar SmitfraudFix (de S!Ri) no desktop.
• Clicar duas vezes em SmitfraudFix.exe (No Vista, é preciso cliquar no lado direito do mouse> em SmitfraudFix e escolher <gras>Executar como administrador).
• Escolher a opção 1, que vai gerar o relatório.
• Copiar-colar o relatório numa mensagem do fórum Vírus/Segurança para encontrar ajuda.

- Na foto : Link
----------------------------------------------------------------------------
Iniciar em modo de segurança :
Pra isto, pressionar a tecla F8continuamente, sem tirar o dedo, assim que ligar o computador .
Uma janela vai se abrir. Mover as setas do teclado para Iniciar em modo de segurança e Entrar. Quando estiver no desktop, se todas as cores e ícones ainda não estiverem aí , é normal !
(Se o F8 não funcionar, utilize a tecla F5).
----------------------------------------------------------------------------

• Reiniciar o programa SmitfraudFix.
• Desta vez, escolher a opção 2 e responder sim a tudo.
• Salvar o relatório , reiniciar normalmente, copiar/colar o relatório salvo no fórum (do tema abordado, se for o caso).

Arquivo wininet infectado ?

Seguir o mesmo método com SmitfraudFix / Smitrem (de acordo com as versões do Windows). No caso desses dois programas não encontrarem um arquivo substituto, fazer os updates do sistema ( = Update Windows)

Alerta « Serviços de afixagem de mensagens »

Muitas vezes, aparecem mensagens de alerta (te convidando para telefonar para um determinado número ou outro) assim : "Serviço de afixagem de mensagens". Para para restas mensagens você deve :

• Iniciar
• Painel de controle
• Ferramentas de administratção
• Serviços
• Procurar Afixagem das Mensagens
• Clicar, com o lado direito do mouse, em Propriedades
• No menu, colocar « Desativado ». Na parte inferior da janela, por « Parar »
• Aplicar
• Reiniciar o PC

---> Estas mensagens proveem de más atualizaçõese do seu computador. Passar para o SP1 ou SP2 resolverá seu problema. Para navegar sem preocupaçõesconsulte esta dica.

---> Desativar o serviço de afixagem de mensagens (mesmo método)

Infecção EGDAccess-xxx

• Administrar um relatório HijackThis.
• Identificar e corrigir o seguinte : as linhas que tiverem o nome de sua infecção + egdaccess, egauth, sysnetsvc.

Exemplo :
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab

O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab

Outro método : (Merci Philae)

• Baixar Brute Force Uninstaller (de Merijn).
• Descomprimir num arquivo próprio (C:\BFU).
• Clicar com o lado direito do mouse AQUI e escolher "Salvar como" (no IE é "Salvar o link como...") para baixar EGDACCESS Remover (de Metallica). O backup dentro do arquivo criado (C:\BFU).
• Iniciar "Brute Force Uninstaller" clicando duas vezes em BFU.exe no scriptline to execute.
• Copiar-colar C:\bfu\EGDACCESS.bfu
• Clicar emexecutar e o deixar trabalhar.
• Esperar que complete script execution apareça e clicar emOK.
• Recomeçar as mesmas manipulações, com este arquivo.
• Clicar em « Exit » para fechar o programa BFU.
• Reiniciar e postar um relatório HijackThis novo.

Ver também : : Infecção Navipromo/Magic.Control/Instant Access/EgdAccess

Nail.exe

Esta infecção se apresenta da seguinte maneira :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Saiba que ele está associado a uma 04 :
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r

Como identificar esta 04 ? Existem vários índices a nossa disposição :

• É uma 04
• Ela se encontra no arquivo system32
• Depois do « .exe » tem um "r"
• As letras entre [...] e o « xxx.exe » são aleatórias, não tem nenhum significado e você não encontrará nenhuma informação a respeito.

Como livrar-se delas :
A seguir, então, imprimir este ítem pois a manipulação é longa e tem que ser feita rigorosamente.

1) Importante :
Não deixar o computador se reinicializar em modo normal entre cada manipulação (Você corre o risco de ter de começar tudo de novo).

2) Baixar :

• L2Mfix
• CleanUp!
• Pocket Killbox

Não fazer mais nada além disso.

3) Desativar a restauração do sistema (apenas no XP) :

• Clique com o lado direito do mouse na Estação de trabalho / Propriedades,
• Clique no separador Restauração do Sistema,
• Marcar a casa « Desativar a restauração » e aplicar.

Certifique-se de :

Afixar todos os arquivos e pastas :

• Clique em Iniciar / Painel de Controle/ Options de arquivos / Afixagem :
• Marcar "Afixar os arquivos ocultos",
• Desmarcarra casa "Ocultar arquivos protegidos do sistema operacional (recomendado)",
• Desmarcar "Ocultar extensões dos tipos conhecidos",
• Clique em «OK» para validar as alterações e em aplicar.

4) Esvaziar os arquivos temporários e « Temporary Internet Files » de todos os usuários :

• Utilizar Cleanup e Vídeo

5) : Utilização do L2Mfix

• Lançar L2Mfix.
• Descomprimí-lo (Clicar com o lado direito do mouse / Extraír tudo). Clicar duas vezes em L2Mfix.bat.
• Pressionar em qualquer tecla e escolher a opção 2.
• No final, o programa deve reinicializar o sistema e, a partir do início do BIOS, pressionar a tecla F8 para mudar para o modo de segurança (Atenção, émuito importante).

6) : Utilização do KillBox

• Clicar duas vezes em KillBox.exe.
• Abrir o bloco de notas e copiar a lista abaixo em negrito.
• Selecionar "Delete on Reboot"
• Voltar ao bloco de notas e destacar com cor a lista toda, depois clique em cima com o lado direito e clique em copiar.
• Voltar para o KillBox, e no menu superior, clicar em File, e em Paste from clipboard.
• Clicar no círculo vermelho..
• Uma janela aparece, para confirmação. Clicar em SIM.
• Uma outra janela pergunta se você quer reinicializa. Clicar em SIM.

Lista :

C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Ponha aqui o caminho encontrado do 04.

Se aparecer esta mensagem, ignorar :
http://tinypic.com/jsj7kl.jpg

Quando o KillBox reinicializa o PC, pressionar imediatamente o F8, para mudar para o modo de segurança.

7) Lançar o HijackThis e fixar :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------ Ou seja, o 04 previamente identificado

8) Repassar L2Mfix opção 2, deixar o computador reinicializar normalmente e refazer um relatório HijackThis.

Verificar se a infecção foi erradicada.

System Volume Information

Se, após a análise, a infecção estiver no :

C:\System Volume Information\_Restore....

Isto significa que é um dos pontos de restauração que está infectado (a saber : a infecção está inativa).

Para resolver este probleminha, é preciso desativar e reativar a restauração do sistema :

• Para o Windows XP.
• Para o Windows Vista.
• Para o Windows Me.

Infecção no Recycler

Isto significa que a sua lixeira contém elementos infectados. Então, esvazie a sua lixeira.
Se a lixeira já estiver vazia mas a análise detectou uma infecção , utilize o software Chaos Shredder para removê-lo.

Win32.Delf.pa, alias Trojan.Stwoyle

O que é um trojan e como reconhecê-lo ?

Criar um relatório HijackThis, se você encontrar isto, pode ter certeza de que é um trojan :

O2 - BHO: C:\WINDOWS\adsldpbc.dll
O20 - Winlogon Notify: style32
O20 - Winlogon Notify: style2

Removê-lo :

• Baixar Win32delfkil em sua area de trabalho.
• Clicar duas vezes em win32delfkil.exe e instalar. A pasta « win32delfkil » foi criada. *Fechar todas as janelas, abri resta pasta e clicar duas vezes em fix.bat.

Os Fix para diferentes vírus

A maior parte dos vírus mais propagados, mais devastadores, temum fix ( = pequeno programa de desinfecção) para eliminá-los. Consulte este site : clique aqui

Perda do tema XP

Se, por causa de uma infecção, você perdeu o seu tema XP e não consegue repô-lo nas opções ! Não se desespere...

• Baixar este zip e descompactá-lo.
• Pô-lo em C:\WINDOWS\Resources\Themes\Luna e clicar duas vezes.
• Tentar repor o estilo XP.

Infecção nos arquivos temporários ou Temporary Internet Files

Não se preocupe pois é uma infeção menos grave. Ela pode ter sido causada por um download e seu antivírus a detectou em:

• C:\Documents and Settings\sua conta\Local Settings\Temporary Internet Files\Content.IE5...
• C:\Documents and Settings\sua conta\Local Settings\Temp...
• C:\Documents and Settings\todas as outras contas\Local Settings\Temp...
• C:\Windows\Temp...

Nada mais simples, 2 soluções :

Primeira solução : exclusão manual

• Afixar os arquivos ocultos :
  • Clicar em iniciar / Painel de controle / Ferramentas / Opções de arquivos / Afixagem.
  • Marcar « Afixar os arquivos e pastas ocultos »
  • Desmarcar a casa "Ocultar os arquivos protegidos do sistema operacional (recomendado)"
  • Desmarcar « Ocultar as extensões cujo estilo é conhecido »
  • E clicar em «OK» para validar as alterações.
  • A aplicar !
• Esvaziar o conteúdo dos arquivos temporários e Temporary Internet Files :
  • C:\Documents and Settings\sua conta\Local Settings\Temp
  • C:\Documents and Settings\todas as outras contas\Local Settings\Temp
  • C:\Windows\Temp
• Esvaziar o conteúdo do arquivo Prefetch
  • C:\WINDOWS\Prefetch <= exceto o arquivo layout.ini
  • Não se esqueça de esvaziar a lixeira !

Segunda solução : Utilizar CleanUp! (remoção automática)

CleanUp! :

Anti-spywares ineficazes (vilões)

http://www.spywarewarrior.com/rogue_anti-spyware.htm

Um « rogue » quer dizer que o valor desses produtos é desconhecido, incerto ou duvidoso como proteção de um anti-spyware. Alguns produtos citados nesta dica simplesmente não tem a proteção comprovada e fiável de um anti-spyware. Outros podem usar a tática errada, enganosa, para forçar, através de publicidades fraudulentas e mentirosas, usuários crédulos, confusos e inexperientes a comprar o produto. Alguns são famosos por instalar , eles mesmos, os spywares e/ou adwares.

Look to me

Esta infecção é responsável pelas publicidades na internet. Eu proponho um método mas, se este não funcionar, dirijam-se ao fórum forum Vírus/Segurança.

Criar um relatóio HijackThis ; concretamente, a infencção se apresenta da seguinte maneira :

O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll

Como desinfetar ?

• Baixar L2Mfix na área de trabalho.
• Clique duas vezes em L2Mfix.exe para lançar a extração.
• Na pasta l2mfix, clique duas vezes em l2mfix.bat e escolha a opção #1 e valide com a tecla « entrar ».
• O bloco de notas vai se abrir com o resultado da análise.
• Fazer um copiar-colar do resultado no fórum.

Relançar o L2Mfix e escolher a opção 2.
Aceitar a reinicialização do PC.

Verificar que o 020 desapareceu (se ainda estiver presente, passar a opção 2 em modo de segurança e, se ainda assim não funcionar, utilize o KillBox...).

Shop at home ou Home Search Assistant

• Baixar Cws-hsa.reg.
• Instalá-lo na área de trabalho e clicar duas vezes em cima do ícone.
• Ou baixar e utilizar Hsremove.

Pokapoka recalcitrante

Para o pokapoka, existe um bat (batch) que o exclui assim como outros arquivos que não são detectados pelo HijackThis.
Em alguns casos, raros, a pasta ETB só é visível no DOS.

• Baixe LQfix na áea de trabalho.
• Descompactá-lo e executar lqfix.bat em modo de segurança, se possível).

Spybot "erro de paridade"

• Trocar de servidor na lista proposta por Spybot (botão ao lado de "Busca de updates").
• Escolher um com (Europa ou Brasil) escrito ao lado do nome.

Desinstalar o Norton

Se você não consegue desinstalar o Norton, utilize este desinstalador : Lien

Conhecer a lista dos programas no Acréscimo/Remoção de programas

• Com HijackThis :
  • Executar HijackThis.
  • Clicar em Open the Misc Tools sections.
  • Depois escolher Open Uninstall Manager...
• Com CCleaner :
  • Baixar et instalar CCleaner Slim.
  • Executee. Ir em Ferramentas e Programas de desinstalação.

Artigo original publicado por regis59