Hoje me deparei com um malware chato que apareceu ao instalar o Foxit Reader (Versão em português de dezembro de 2012). Pois bem, o malware modifica sua pagina inicial em todos os navegadores e instala um programa chamado 365desk. O interessante de tudo isso é que nenhum antivírus até o presente momento (31/01/2013) detecta ou remove essa praga. Tentei remover com o Malwarebytes e o Combofix sem sucesso também.

Solução:

Primeiro desinstale o 365desk. Vá em iniciar, painel de controle, adicionar ou remover programas (Windows XP) ou desinstalar um programa (Windows 7), localize o programa 365desk na lista, clique nele e em seguida clique em desinstalar. Desinstale também da lista o programa CheckRun22Find. Em seguida abra o Windows Explorer e acesse a pasta: C:Arquivos de ProgramasSoftware Plate clique em uninstall, os arquivos dessa pasta irão sumir e ficará apenas 3. Depois que sobrar esses 3 apague  a pasta Software Plate.

Agora vamos resolver os problemas nos navegadores:

Firefox: Digite na barra de endereço: about:support   Clique no botão restaurar o Firefox. Ao reinciar você vai ver que ainda está abrindo o endereço do 22find, calma e siga os passos seguintes. Clique com o botão direito no atalho do Firefox e em seguida clique em propriedades. Remova tudo que está escrito após Firefox.exe” (Você vai remover a parte “http://www2… em diante). Conforme foto:

Internet Explorer: Clique em Ferramentas, Opções da Internet, aba Avançada, clique no botão Redefinir. Marque a caixa excluir configurações pessoais e clique novamente no botão redefinir. Ao terminar feche o Internet Explorer. Clique com o botão direito no atalho do Internet Explorer e em seguida clique em propriedades. Remova tudo que está escrito após iexplore.exe” (Você vai remover a parte “http://www2… em diante). Conforme foto:

Google Chrome: Acesse a pasta C:UsersNOME DO USUÁRIOAppDataLocalGoogleChromeApplication e em seguida delete a pasta User Data. Clique com o botão direito no atalho do Google Chrome e em seguida clique em propriedades. Remova tudo que está escrito após chrome.exe” (Você vai remover a parte “http://www2… em diante). Conforme foto: