Jump to content



Foto

Como remover o Homepage Hijacker "about:blank" manualmente




Existem 118 respostas neste tópico

#1 E-ponto    

E-ponto

    Windows Expert Consumer MVP

  • Administrador
  • 15734 mensagens

Publicado 04 July 2004 - 10:03 PM


O Homepage Hijacker about:blank é composto na maioria dos casos por dois arquivos dinamic link library (.dll) que devem ser deletados.
Para tanto vamos precisar do auxílio do CD do Windows XP para uso da Console de Recuperação e de dois programas:


 

Como existem inúmeras variações nos nomes das dll's vamos convencionar chama-las pelos nomes fictícios de HIDDEN.DLL e OBVIOUS.DLL
Um dos arquivos dll é oculto (HIDDEN.DLL) e o outro (OBVIOUS.DLL) pode ser visto com o HijackThis.


Lembre-se de apagar todos temporários da Internet e desabilitar a restauração do sistema antes de começar o procedimento descrito abaixo.

 

1- Caso não esteja tendo acesso ao regedit use o "Reglite.exe" encontre o nome da dll oculta, navegue até a chave:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
De um duplo clique no valor AppInit_DLLs, o valor dos dados revelam o nome da dll oculta
Neste exemplo fictício seria HIDDEN.DLL, não faça nada por enquanto, apenas anote o nome e feche o editor de registro.

 

2- Renomeie o arquivo dll oculto:
Reboot a máquina e entre na console de recuperação (necessário CD do XP) ou no modo de segurança com prompt de comando:
No modo de segurança com prompt de comandos navegue até o diretório "windowssystem32"

No caso de usar a console de recuperação basta digitar: cd system32

Modifique os atributos da dll oculta: attrib -r HIDDEN.DLL
Renomeie a mesma: rename HIDDEN.DLL OBSCURE.DLL
Lembre-se que HIDDEN.DLL é o nome encontrado no item 1 e OBSCURE.DLL é um nome qualquer que você escolher.
Digite exit e sera realizado o reboot, atenção para entrar agora no modo de segurança normal.

 

3- Edite o registro para remover a entrada da dll oculta:
Pelo "Reglite.exe" vá de novo até a chave:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
De um duplo clique no valor AppInit_DLLs
Delete o conteúdo dos dados deixando-o em branco (vazio).
Aplique as alterações e feche o Reglite.exe

 

4- Remova do registro as entradas da segunda dll (lembre-se que convencionamos aqui chama-la pelo nome fictício de OBVIOUS.DLL):
Execute o HiJackThis.exe e pressione SCAN
Marque as caixas para remover as seguintes entradas:
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32OBVIOUS.DLL/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32OBVIOUS.DLL/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32OBVIOUS.DLL/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32OBVIOUS.DLL/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32OBVIOUS.DLL/sp.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32OBVIOUS.DLL/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank

 

5- Finalmente delete as duas dll's ("OBSCURE.DLL" e "OBVIOUS.DLL"), procure por HIDDEN.DLL (não deve ser encontrada) para se certificar que procedeu corretamente os passos anteriores. Limpe os arquivos temporários da Internet novamente.

 

Reboot e entre normalmente no Windows, e aprenda de uma vez por todas:
NÃO SE DEVE JAMAIS NAVEGAR NA NET COMO ADMINISTRADOR DO SISTEMA.......................... http://www.babooforu...on_reclamao.gif

 

Nota: Todos créditos e direitos para Ttime2Early do fórum www.computercops.biz 

UPDATED: 01/08/2004



#2 lBoBl_04    

lBoBl_04
  • Participante
  • 396 mensagens

Publicado 04 July 2004 - 10:16 PM

Muito bom E-ponto, não estou com esse problema, mas o que tem de gente abrindo tópico com isso.....
provavelmente isso deve funcionar e remover de uma vez por todas esse about:blank..´só uma coisa, aonde você colocou "reglite.exe" é isso mesmo ou regedit.exe?

Flw...

#3 E-ponto    

E-ponto

    Windows Expert Consumer MVP

  • Administrador
  • 15734 mensagens

Publicado 04 July 2004 - 10:23 PM

Preferencialmente use o reglite.exe pois algumas variantes espertas se previnem caso você altere o registro via regedit.exe


#4 atomic    

atomic
  • Participante
  • 3665 mensagens

Publicado 04 July 2004 - 10:23 PM

muito bom em E-ponto, você é fera

não estou com este ploblema mas estou vendo muitos tópicos sobre este mesmo ploblema 


#5 AVE PHOENIX    

AVE PHOENIX
  • Participante
  • 4700 mensagens

Publicado 04 July 2004 - 10:42 PM

Beleza E-Ponto Mais um ítem para minha biblioteca operacional! He...He...He!!!

#6 lBoBl_04    

lBoBl_04
  • Participante
  • 396 mensagens

Publicado 04 July 2004 - 10:47 PM

----------------
E-ponto escreveu:


Preferencialmente use o reglite.exe pois algumas variantes espertas se previnem caso você altere o registro via regedit.exe


----------------

OK..mais isso é para digitar o executar? não estou conseguindo abrir...hehe


#7 E-ponto    

E-ponto

    Windows Expert Consumer MVP

  • Administrador
  • 15734 mensagens

Publicado 04 July 2004 - 10:50 PM

lBoBl_04, tem o link para para fazer o download deste editor de registro no post inicial.


#8 lBoBl_04    

lBoBl_04
  • Participante
  • 396 mensagens

Publicado 04 July 2004 - 11:00 PM

----------------
E-ponto escreveu:


lBoBl_04, tem o link para para fazer o download deste editor de registro no post inicial.


----------------

Putz, mal aewww, eu pulei as partes dos links até porque eu tenho os programas citados, menos esse reglite...
Vlw...

#9 MILE    

MILE
  • Participante
  • 616 mensagens

Publicado 04 July 2004 - 11:22 PM

Você é mesmo imprescindível aqui no fórum, E-ponto

 

Mas estou com uma dúvida.

O Cwshredder na versão atual, a 1.59.1, não está conseguindo eliminar por completo este hijacker?

Fica alguma coisa dele no Registro, depois de passar o shredder? 

 

Continue com seus tópicos quentes e um abraço

 

"Que o Rock role a noite inteira"


#10 E-ponto    

E-ponto

    Windows Expert Consumer MVP

  • Administrador
  • 15734 mensagens

Publicado 04 July 2004 - 11:47 PM

MILE, eu apenas postei este procedimento manual pois estou achando por demais estranho que as pessoas não estão conseguindo eliminar o about:blank com o CWShredder, ou as pessoas estão fazendo algo de forma inadequada ou temos novas dll's mais espertas no pedaço.