Sintomas

Seu papel de parede está azul, você não pode trocá-lo e nele está escrito que você pode estar infectado com o Trojan-Spy.HTML.Smitfraud.c.

Papel de parede modificado

Security Warning

A fatal error in IE has ocurred at 0028:C0011E36 in VXD VMM<01> + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c.

* System can not function in normal mode.
Please check your security settings.

* Scan your PC with any available antivirus / spyware remover to fix the problem.

Importante: Nem sempre o papel de parede estará trocado e nem sempre o papel de parede estará assim. Esse tutorial também remove Antivirus Gold e o SpySheriff, pois se tratam exatamente da mesma infecção.

Resolvendo o problema

Se você utiliza Windows 98/ME, ignore todos os passos refentes ao ewido, pois ele não roda nesse sistema.

Configure o Windows para mostrar todos os arquivos.

Abra o Painel de Controle e vá em Adicionar/Remover Programas. Desinstale os seguintes programas:

  • Security IGuard
  • Virtual Maid
  • Search Maid
  • PSGuard

Faça o download do smitRem.exe e salve-o na sua área de trabalho: Download

Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não entre nela ainda.

Se você ainda não tiver, instale o Ad-Aware SE. Atualize-o mas não rode um scan ainda!

Faça o download do AVG Anti-Spyware: Download

  • Selecione “Português” como idioma para a instalação
  • Clique em Seguinte, Aceito, Seguinte. Instalar. Quando tiver terminado, clicar em Terminar.
  • Quando o AVG Anti-Spyware abrir, ao lado de Proteção Residente, clique em Alterar Estado para desativá-la. Faça o mesmo com o Atualizações automáticas.
  • Depois disso, clique em Atualizar. Clique em Iniciar atualização
  • Após isso, saia do AVG Anti-Spyware e não faça um exame ainda.

Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro ou Modo de Segurança. Pode ser conveniente imprimir essas instruções para fácil acesso.

Quando o computador iniciar no Modo de Segurança, siga os seguintes passos:

  1. Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat. Pode levar um tempo. Seja paciente.
  2. Rode um scan completo com o Ad-Aware
  3. Abra o AVG Anti-Spyware e clique em Verificar e então em Verificação Completa do Sistema. Quando a verificação terminar, feche-o.
  4. Apague as seguintes pastas caso encontre-as:
    • C:Arquivos de ProgramasSearch Maid
    • C:Arquivos de ProgramasVirtual Maid
    • C:WindowsSystem32Log Files
    • C:Arquivos de ProgramasSecurity IGuard
    • C:Arquivos de ProgramasSpySheriff
    • C:Arquivos de ProgramasAntiVirusGold
    • C:Arquivos de ProgramasPSGuard

    Importante: Se suas pastas Windows ou Arquivos de Programas estão em outro lugar, ajuste os caminhos das pastas arquivos de acordo.

  5. Reinicie o computador normalmente
  6. Faça um scan online no Panda Activescan e faça uma verificação completa. Tenha certeza de que caixa Autoclean está Marcada.
  7. Faça o download do Hoster. Abra o programa hoster.exe, clique em Restore Original Hosts e aperte em OK. Depois disso, finalize o programa.
  8. Faça o download do DelDomains. Dê um clique-direito no arquivo deldomains.inf e então clique em Instalar. Executar o arquivo diretamente não funciona.
  9. Faça o download e rode o HijackThis. Clique em Do a System scan only. Procure uma entrada na lista que se inicia com F2, por exemplo:
    F2 – REG:system.ini: Shell=Explorer.exe, msmsgs.exe

    No lugar de msmsgs.exe pode estar qualquer arquivo. Se você ver uma entrada iniciada com O2 que possui um arquivo .tmp valor, marque-a também. Se encontrar qualquer uma das entradas, marque-a(s) e clique em Fix Checked.

Reinicie o computador outra vez e ele deve estar limpo. Se o seu papel de parede ainda não puder ser trocado, execute o Desk-Fix..

Infecções Conjuntas

Um sistema infectado com Trojan-Spy.HTML.Smitfraud.c pode ser infectado com:

Problemas?

Se você ainda tiver problemas, verifique a área Remoção de Malware no fórum.

Arquivos relacionados com essa infecção

  • intell32.exe
  • wp.exe
  • bsw.exe

Créditos

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.