Os vilões

Recentemente duas pragas da família do CoolWebSearch estão conseguindo causar uma grande dor de cabeça nos usuários de Internet. Elas são as pragas
SE.DLL e a SP.DLL. Fique calmo, elas não são difíceis de serem removidas desde que você saiba o que está fazendo.

Siga atentamente todas as instruções. Em casos de dúvidas procure um
fórum onde alguém pode te ajudar.

SP.DLL

A primeira, provavelmente lançada na Internet no final de dezembro ou no início de janeiro, utiliza o arquivo sp.dll na sua página inicial.

Informações Gerais

Sintomas Página inicial about:blank com o título Search for… e entradas do HijackThis listadas abaixo
Nome
  • TR/StartPage.ix
  • Startpage.18.A
  • Trojan.Startpage-134
  • Win32.Startpage.FZ
  • Trojan.Win32.StartPage.IX
  • Trojan.StartPage.455
  • W32/StartPage.IS-tr
  • Trojan.StartPage

SE.DLL

A segunda variante. Estranhamente “SE” pode ser “Second Edition” em inglês, que significa “Segunda Edição”. Possui exatamente os mesmos sintomas da primeira, porém é mais evoluída e necessita alguns passos adicionais para a remoção.

Informações Gerais

Sintomas Pop-ups com páginas de busca, página inicial trocada para uma página de busca em about:blank
Nome
  • TR/StartPage.qr.DLL
  • Startpage.16.BD
  • Trojan.Startpage-227
  • Trojan.StartPage.514
  • Win32.Startpage.NS
  • Trojan.Win32.StartPage.gn
  • Trojan.StartPage

Informações Básicas

As duas variantes se instalam nas pastas de sistema e na pasta temporária do Windows. A partir de agora, essas duas pastas serão referidas como %SYSTEM% e
%TEMP%.

Abaixo, C:WINDOWS é a pasta onde foi instalado o Windows.

Windows 9x-ME

%SYSTEM% C:WINDOWSSYSTEM
%TEMP% C:WINDOWSTEMP

Windows NT/2000/XP/2003

%SYSTEM% C:WINDOWSsystem32
%TEMP% C:Documents and Settings<usuário>Configurações LocaisTemp
<usuário> é o seu nome de usuário.

Dica: Você pode acessar a pasta temporária diretamente usando o comando
%TEMP% em Iniciar » Executar e clicando em OK.

Identificando e Eliminando o Problema

Primeiro teremos que identificar qual a variante que você tem. Faça o download e execute o HijackThis. Siga as instruções cuidadosamente e não execute o HijackThis de dentro do ZIP — coloque-o em uma pasta fixa como explica o documento acima.

Depois de clicar em ‘Do a system scan and save a logfile’, seu Bloco de Notas ou editor de texto favorito deve abrir com o log.

Caso 1: SP.DLL

Examine a presença das seguintes linhas:

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://%TEMP%sp.dll/sp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://%TEMP%sp.dll/sp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank

O2 – BHO: (no name) – {A9DE5026-8AAB-11D9-8FE9-00508645F35B} – %SYSTEM%ARQUIVO.DLL

O18 – Filter: text/html – {A9DE5025-8AAB-11D9-8FE9-005076976D2C} – %SYSTEM%ARQUIVO.DLL
O18 – Filter: text/plain – {A9DE5025-8AAB-11D9-8FE9-005076976D2C} – %SYSTEM%ARQUIVO.DLL

Seu log não deve ter a seguinte linha:

O4 – HKLM..Run: [sp] rundll32 %TEMP%SE.DLL,DllInstall

O truque é basicamente esse: a mesma entrada de um DLL no O2 e duas vezes ele no O18 como text/html e text/plain. Ele não vai se chamar ARQUIVO.DLL, porém será igual nas duas. Não se guie pela identificação dentro das chaves (A9DE…), pois ela será diferente no seu log.

Note que no caso de o seu log apresentar about:NavigationFailure ou possuir uma DLL diferente de sp.dll nas entradas que iniciam com R1, você não está infectado com essa variante e o seu caso é mais complicado, portanto procure um fórum de ajuda.

Instruções de Remoção

Após confirmar que você está infectado com essa variante, desabilite o seu antivírus e siga as seguintes instruções:

  1. Clique em Iniciar » Painel de Controle
  2. Se você utiliza Windows XP ou ME, coloque o Painel de Controle em modo
    clássico usando uma opção no menu esquerdo
  3. Vá até a opção Adicionar/Remover Programas. Na lista procure a entrada
    Search Assistant Uninstall
  4. Desinstale

Embora seja estranho que um trojan tenha uma entrada no Adicionar/Remover Programas, ele tem.

Rode o HijackThis como antes. As entradas no log devem possuir uma nota ‘file missing’. Isso significa que o trojan foi removido corretamente. Apague as entradas no log para uma limpeza final. Você adicionalmente pode ir até a pasta TEMP (que depende do seu sistema operacional, veja a tabela acima) e apagar o arquivo sp.dll.

Se este método não funcionar, apenas marque todas as entradas no
Modo de Segurança e apague os arquivos relacionados. Você também deve utilizar o “Uninstall Manager” (disponível na seção “Misc Tools” do HijackThis) para apagar a entrada “Search Assistant Uninstall” do menu Adicionar/Remover Programas.

Caso 2: SE.DLL

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://%TEMP%se.dll/sp.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://%TEMP%se.dll/sp.html
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank

O2 – BHO: (no name) – {A9DE5026-8AAB-11D9-8FE9-00508645F35B} – %SYSTEM%ARQUIVO.DLL

O4 – HKLM..Run: [sp] rundll32 %TEMP%SE.DLL,DllInstall

O18 – Filter: text/html – {A9DE5025-8AAB-11D9-8FE9-005076976D2C} – %SYSTEM%ARQUIVO.DLL
O18 – Filter: text/plain – {A9DE5025-8AAB-11D9-8FE9-005076976D2C} – %SYSTEM%ARQUIVO.DLL

O truque é o mesmo da primeira variante: a mesma entrada de um DLL no O2 e duas vezes ele no O18 como text/html e text/plain. Ele não vai se chamar ARQUIVO.DLL, porém será igual nas duas. Não se guie pela identificação dentro das chaves (A9DE…), pois ela será diferente no seu log.

Note que no caso de o seu log apresentar about:NavigationFailure ou possuir uma DLL diferente de se.dll nas entradas que iniciam com R1, você não está infectado com essa variante e o seu caso é mais complicado, portanto procure um fórum de ajuda.

Diferentemente da primeira, esta algumas vezes não possui uma entrada no Painel de Controle e, quando há, ela não funciona. O arquivo se.dll fica todo o tempo na memória e recria a chave [SP] a cada segundo.

O problema dessa variante é que ela, em algumas ocasiões, especialmente no Windows 98 e ME, cria um arquivo escondido que é quase impossível de remover, mesmo no Modo de Segurança e que geralmente precisa ser removido em modo MS-DOS — porém poucos possuem habilidades para trabalhar em ambiente DOS. Felizmente foi criada uma ferramenta de remoção para essa variante, disponível no seguinte link:

http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix

Após baixar a ferramenta, clique em “Start Desinfection”. O processo para remover os arquivos e as entradas no registro será iniciado. Logo depois o seu computador será reiniciado para apagar os arquivos.

Depois que o computador reiniciar, você deve ver a tela da ferramenta. Feche a tela para continuar. Verifique novamente a presença das entradas no HijackThis citadas acima. Se encontrar, marque-as e clique em Fix Checked para finalizar a remoção.

Problemas com a ferramenta

É possível que o seu Internet Explorer pare de funcionar após rodar essa ferramenta. Para corrigir isso:

  1. Clique com o botão direito no ícone do Internet Explorer na área de trabalho e selecione
    Propriedades
  2. Clique no botão Excluir arquivos, marque a caixa de seleção “Excluir todo conteúdo offline” e clique em OK
  3. Tente executar o navegador novamente

Se você ainda não conseguiu resolver o problema, vá em frente e crie um novo tópico no nosso fórum.

Finalizando

Antes de continuar, utilize o Windows Update para atualizar o Windows. Se você não fizer isso, os buracos pelos quais esse trojan entrou não serão fechados e você acabará sendo reinfectado.

Caso prefira, instale um navegador alternativo como o Mozilla Firefox. Isso pode lhe garantir mais segurança. Usar um navegador diferente do Internet Explorer é principalmente recomendado se você não utiliza Windows XP ou 2003, já que as novas versões do Internet Explorer provavelmente não serão lançadas para as versões antigas do Windows.

Visite também o artigo Proteja Seu PC para evitar futuras infecções.

Se os problemas continuam

Se os problemas ainda continuarem é possível que você possua outras infecções no seu computador. Procure ajuda em um fórum como o nosso

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.