Descrição:
O SpyAxe, SpyFalcon e Spyware Quake são anti-spywares falsos. Eles tentam convencê-lo de que há serios riscos de segurança no seu computador e que você deve comprá-los para que eles removam esses problemas. É comum que um sistema onde um deles está presente realmente possua spywares, já que eles são instalados através de cavalos-de-tróia.
Esses anti-spywares se tratam de uma variante do SmitFraud. Ao invés de instalar os anti-spywares PSGuard e SpySheriff, o SpyAxe, Spyware Quake, SpyFalcon ou Spy Trooper é instalado.
Sintomas
A presença do SpyAxe, SpyFalcon ou Spyware Quake e redirecionamentos e navegador redirecionado com mensagens dizendo “You are infected” com um X vermelho no relógio.
Ferramentas Necessárias
Nota: Apenas faça o download dessas ferramentas, mas não execute nenhuma delas ainda!
1. Baixe o HijackThis: Download
2. Baixe o Killbox: Download
3. Baixe o smitRem e salve-o em sua área de trabalho:
4. Baixe o DelDomains: Download [Clique com o botão direito e vá em ‘Salvar destino como’]
5. Baixe o FixSF: Download [Clique com o botão direito e vá em ‘Salvar destino como’]
6. Baixe o CCleaner:
Ações para Remoção
1. Clique em Iniciar -> Painel de Controle > Adicionar/Remover Programas. Desinstale:
* SpyAxe
* SpywareStrike
* SpyFalcon
* Security Toolbar
* TitanShield Antispyware
Desinstale, um a um, e reinicie o computador. Pode haver somente “SpyAxe” listado.
2. É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima estapa entraremos em Modo Seguro e a conexão à internet não será possível.
3. Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro ou Modo de Segurança.
4. Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não execute nada dentro dessa pasta ainda.
5. Execute o KillBox. Marque Delete on Reboot.
6. Agora copie a lista abaixo em negrito para área de transferência (Selecione tudo com o mouse, depois clique em Editar –> Copiar).
* C:\WINDOWS\system32\nvctrl.exe
* C:\WINDOWS\system32\mscornet.exe
* C:\WINDOWS\system32\dfrgsrv.exe
* C:\WINDOWS\system32\svchosts.dll
* C:\WINDOWS\system32\netwrap.dll
* C:\WINDOWS\system32\dxmpp.dll
* C:\WINDOWS\System32\ginuerep.dll
* C:\WINDOWS\system32\replmap.dll
* C:\WINDOWS\system32\suprox.dll
* C:\WINDOWS\system32\xenadot.dll
* C:\WINDOWS\system32\sivudro.dll
* C:\WINDOWS\system32\stickrep.dll
* C:\WINDOWS\system32\ioctrl.dll
* C:\WINDOWS\system32\sbnudh.dll
* C:\WINDOWS\system32\fyhhxw.dll
* C:\WINDOWS\system32\iqzv.dll
* C:\WINDOWS\system32\oqipt.dll
* C:\WINDOWS\system32\htey.dll
* C:\WINDOWS\system32\appmagr.dll
* C:\WINDOWS\system32\reglogs.dll
* C:\WINDOWS\system32\ncompat.tlb
* C:\WINDOWS\system32\msvol.tlb
* C:\WINDOWS\system32\interf.tlb
7. Retorne ao KillBox. Clique em File –> Paste from clipboard. Clique em All Files
8. Clique no botão 
. Responda Não à pergunta
9. Execute o HijackThis, clique em Do a System Scan Only e marque as entradas abaixo, se existirem:
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\System32\hp****.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [spyAxe] C:\Arquivos de programas\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [spywareStrike] C:\Arquivos de programas\SpywareStrike\SpywareStrike.exe /h
O4 - HKLM\..\Run: [spyFalcon] C:\Arquivos de programas\SpyFalcon\SpyFalcon.exe /h
O4 - Startup: titanshield.lnk = C:\Arquivos de programas\TitanShield Antispyware\titanshield.exe
Clique em Fix Checked.
10. Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat.
Pode levar algum tempo. Seja paciente.
11. Dê um duplo clique no arquivo FixSF.reg salvo anteriormente e confirme sua integração ao registro
12. Clique com o botão direito no DelDomains.inf salvo anteriormente e clique em Instalar.
Após concluídos os procedimentos
Reinicie o computador normalmente. O SpyAxe (ou outro anti-spyware falso) deve ter sido eliminado. Se ele ainda estiver na sua máquina, use a opção Adicionar/Remover Programas no Painel de Controle para remover o software. Ela deve funcionar depois que os cavalos-de-tróia adicionais foram removidos
Se o seu Gerenciador de Tarefas (CTRL+ALT+DEL / CTRL+SHIFT+ESC) está “desabilitado pelo administrador”, faça o download e execute o task-fix.reg.
É interessante também executar o CCleaner. Instale-o, depois abra o CCleaner e clique em Executar Cleaner.
Créditos
* Marco Aurélio [Sam Spade] pela matriz/rascunho da correção.
* Susan528 pelo tópico técnico sobre a infecção.
* O artigo do site Virus-Protect que detalha outros aspectos da infecção.
