Adware.Iefeats

Versão para impressão

Atualizado: February 13, 2007 11:41:53 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: High
Nomes de arquivos: Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Sistemas afetados: Windows

Comportamento


O Adware.Iefeats é um componente de adware que redireciona a página inicial do Internet Explorer e altera a funcionalidade de pesquisa sem a permissão do usuário. Esse risco exibe anúncios em janelas pop-ups e faz o download de arquivos sem o conhecimento do usuário, podendo espalhar outros riscos à segurança e causar outros danos.

Sintomas


O produto Symantec detecta este risco à segurança como Adware.Iefeats.

Transmissão


Este componente de adware pode ser instalado manualmente ou como um componente de outro programa.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release April 21, 2018 revisão 004
  • Versão inicial diária certificada March 05, 2004
  • Última versão diária certificada April 22, 2018 revisão 007
  • Data da versão inicial semanal certificada March 10, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:41:53 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: High
Nomes de arquivos: Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Sistemas afetados: Windows


Ao ser executado, o Adware.Iefeats executa as seguintes ações:

  1. Cria o arquivo:


    %SystemDrive%\f2install.log

    Nota:
    %SystemDrive% é uma variável que se refere à unidade onde o Windows está instalado. Por padrão, é a unidade C.

  2. Adiciona o valor:

    "[nome do arquivo de instalação]" = "[local e nome do arquivo de instalação]"

    à sub-chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    para que o instalador seja executado sempre que o Windows for iniciado.

  3. Cria e define valores para a seguinte sub-chave de registro:

    HKEY_CLASSES_ROOT\CLSID\[instalador do CLSID]

    onde [instalador do clsid] é um CLSID parcialmente aleatório determinado pelo local e nome do instalador.

  4. Faz o download de serviço criptografado e Browser Helper Object a partir de um ou mais dos seguintes domínios:

    • u47.cc
    • u45.cx
    • u48.cc
    • u46.cx

      Decodifica os arquivos, adiciona até 1024 bytes aleatórios a esses arquivos e os salva como %Windir%\[nome executável aleatório] ou %System%\[nome executável aleatório], onde [nome executável aleatório] é o nome gerado pelo instalador, combinando uma das seguintes seqüências:

    • sdk
    • java
    • cr
    • d3
    • ms
    • ie
    • sys
    • win
    • add
    • app
    • atl
    • mfc
    • api
    • net
    • ip
    • nt

      com duas letras aleatórias geralmente seguidas de "32" e com uma das seguintes extensões:

    • .dll
    • .exe

      Além disso, o instalador faz o download de um arquivo criptografado de recursos a partir de um dos domínios listados acima. Depois, decodifica esse arquivo e o salva como %Windir%\[5 letras aleatórias].dll ou %System%\[5 letras aleatórias].dll

      Nota : %Windir% é uma variável que se refere a uma pasta de instalação do Windows. Por padrão é C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).

  5. Adiciona o valor:

    "[nome do arquivo de serviço]" = "[local e nome do arquivo de serviço]"

    para o serviço descarregado à sub-chave do registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    para que o serviço seja executado quando o Windows for iniciado.

  6. Para o serviço descarregado e Browser Helper Object, cria e define valores para as seguintes sub-chaves do registro:

    HKEY_CLASSES_ROOT\CLSID\[serviço CLSID]
    HKEY_CLASSES_ROOT\CLSID\[BHO CLSID]

    Nota: [serviço CLSID] e [BHO CLSID] são CLSIDs parcialmente aleatórios determinados pelo local e nome dos componentes.

  7. Executa o serviço e inicia o Browser Helper Object.

  8. Pode exibir periodicamente caixas de mensagem ou balões, aparentando um comportamento legítimo do sistema operacional, na tentativa de enganar o usuário, fazendo-o visitar sites de conteúdo malicioso.

  9. Tenta evitar ser removido:

    • fazendo backup do serviço associado e componentes de Browser Helper Object em arquivos de nome [6 caracteres].dat ou aleatoriamente nomeados a partir de sequências de dados NTFS obtidos a partir de arquivos existentes na pasta %Windir%;
    • recuperando componentes que faltam;
    • fazendo o download e reinstalando componentes que faltam, quando necessário;
    • recriando as sub-chaves do registro CLSID e atualizando-as com as informações necessárias para localizar outros componentes do Adware.Iefeats.

  10. Pode tentar fazer o download de outros riscos à segurança e ameaças.


Quando o serviço descarregado é executado, o mesmo executa as seguintes ações:
  1. Tenta apagar as seguintes sub-chaves do registro:

    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain
    HKEY_CLASSES_ROOT\CLSID\[HTML FILTER CLSID]
    HKEY_CLASSES_ROOT\CLSID\ [PLAIN FILTER CLSID]

    Nota: [HTML FILTER CLSID] e [PLAIN FILTER CLSID] são valores de entradas CLSID das sub-chaves:

    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain

    Além disso, tenta apagar os arquivos indicados pelas entradas-padrão das sub-chaves:

    HKEY_CLASSES_ROOT\CLSID\[HTML FILTER CLSID]\InProcServer32
    HKEY_CLASSES_ROOT\CLSID\[PLAIN FILTER CLSID] \InProcServer32

  2. Tenta remover o valor:

    "AppInit_DLLs"

    à seguinte sub-chave do Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    e apaga o arquivo indicado por este valor.

  3. Instala o serviço de nome desconhecido com caminho de imagem:

    "[Local e nome do arquivo de serviço] /s"

    e um dos seguintes nomes de exibição:

    • Network Security Service
    • Network Security Service (NSS)
    • Remote Procedure Call (RPC) Helper
    • Workstation NetLogon Service

Nota: o serviço duplica a seguinte funcionalidade do instalador para tentar evitar sua remoção:
    • recriando o valor na sub-chave de registro RunOnce;
    • criando cópias e recuperando, dos backups, os componentes de faltam;
    • recriando as sub-chaves do registro CLSID e atualizando-as com as informações necessárias para localizar outros componentes do Adware.Iefeats.


Ao ser inicializado, o Browser Helper Object descarregado realiza as seguintes ações:
  1. Cria e define valores para as seguintes sub-chaves de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW

    para criar links para páginas da Web fornecendo desinstaladores sem função para os seguintes programas:

    • Home Search Assistent
    • Search Extender
    • Shopping Wizard

  2. Cria e define valores para a seguinte sub-chave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[BHO CLSID]

    para registrar-se como um Browser Helper Object

  3. Substitui a funcionalidade de busca do Internet Explorer removendo as seguintes sub-chaves do registro:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

    e adiciona o valor:

    "[BHO CLSID]" = "0x00 [38 MEANINGLESS BYTES]"

    à nova sub-chave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

  4. Pode criar vários links nas seguintes pastas:
    • %UserProfile%\Favoritos
    • %UserProfile%\Favoritos\Sites

      Nota: %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão é C:\Documents and Settings\[Nome do Usuário Atual] (Windows NT/2000/XP).

Quando isso ocorre, com o Internet Explorer aberto, o Browser Helper Object faz o seguinte:
  1. Faz o download de arquivos de dados e configuração criptografados a partir de um ou mais de um dos seguintes domínios:

    • u47.cc
    • u45.cx
    • u48.cc
    • u46.cx

      Decodifica os arquivos e salva-os como %Windir%\[nome de arquivo aleatório] ou %System%\[nome de arquivo aleatório].

  2. Adiciona o valor:

    "Set"

    à sub-chave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft

  3. Adiciona o valor:

    "ImageDescriptor"

    à sub-chave de registro:

    HKEY_CLASSES_ROOT\icofile

  4. Altera os valores:

    "Default_Page_URL" = "about:blank"
    "Default_Search_URL" = "res://[local e nome do arquivo de recurso]/sp.html#37049
    "Use Search Asst" = "no"

    na sub-chave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

  5. Altera os valores:

    "Search Bar" = "res://[local e nome do arquivo de recurso]/sp.html#37049
    "Search Page" = "res://[local e nome do arquivo de recurso]/sp.html#37049
    "Start Page" = "about:blank"

    na sub-chave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

  6. Altera os valores:

    "SearchAssistant" = "res://[local e nome do arquivo de recurso]/sp.html#37049

    na sub-chave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

  7. Tenta desativar e danificar vários riscos à segurança, finalizando processos, apagando arquivos e removendo sub-chaves de registro. Como o algoritmo utilizado por este adware não é capaz de uma detecção adequada dos riscos à segurança, alguns processos e arquivos legítimos podem ser danificados. Além disso, o adware apaga o seguinte arquivo legítimo:

    %System%\drivers\etc\hosts

    e a pasta:

    %Windir%\LastGood

  8. Cria a seguinte sub-chave de registro:

    HKEY_CLASSES_ROOT\CLSID\{676575dd-4d46-911d-8037-9b10d6ee8bb5}

  9. Exibe anúncios em janelas pop-ups e acessa vários websites sem a permissão do usuário.

Nota: o Browser Helper Object duplica a seguinte funcionalidade do instalador para dificultar a remoção do adware:
    • criando cópias e recuperando, dos backups, os componentes de faltam;
    • fazendo o download e reinstalando componentes que faltam, quando necessário;
    • recriando as sub-chaves do registro CLSID e atualizando-as com as informações necessárias para localizar outros componentes do Adware.Iefeats.


Versões anteriores desse adware podem:
  1. Adicionar o valor:

    "Image"= "rundll32 [LOCATION OF image.dll]\image.dll,UpdateDll fs"

    às sub-chaves de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

  2. Adicionar o valor:

    "Updater"= "rundll32 [local do arquivo iefeatsl.dll]iefeatsl.dll\1.new,UpdateDll fs"

    à sub-chave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  3. Criar e definir valores para a sub-chave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ iefeatsl

  4. Adicionar Browser Helper Objects ao Registro criando e definindo valores às seguintes sub-chaves do registro:

    HKEY_CLASSES_ROOT\CLSID\{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}
    HKEY_CLASSES_ROOT\CLSID\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CLASSES_ROOT\CLSID\ {FD9BC004-8331-4457-B830-4759FF704C22}
    HKEY_CLASSES_ROOT\iefeatsl.ViewSource
    HKEY_CLASSES_ROOT\iefeatsl.ViewSource.1
    HKEY_CLASSES_ROOT\Image.Image
    HKEY_CLASSES_ROOT\Image.Image.1
    HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject
    HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject.1
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{FD9BC004-8331-4457-B830-4759FF704C22}

  5. Configurar a página inicial do Internet Explorer para abrir no domínio mshp.dll e, então, exibir uma página de busca quando o navegador for aberto.

  6. Fazer o download dos seguintes arquivos:

    • [pasta do adware]\iefeatsl.dll
    • [pasta do adware]\image.dll
    • [pasta do adware]\msiesh.dll
    • [pasta do adware]\mssearch.dll (não disponível no momento de publicação deste documento)
    • %Windir%\mshp.dll
    • [pasta do adware]\dict.dat (um arquivo de configuração)
    • [pasta do adware]\keywords.dat (um arquivo de configuração)
    • [pasta do adware]\update.txt (um arquivo de configuração)

      onde [pasta do adware] é a pasta de instalação do adware, geralmente %UserProfile%\Application Data\iefeatsl

      Nota:
      %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão é C:\Documents and Settings\[Nome do Usuário Atual] (Windows NT/2000/XP).


Atualizado: February 13, 2007 11:41:53 AM
Tipo: Adware
Versão: n/a
Autor: n/a
Impacto do risco: High
Nomes de arquivos: Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Sistemas afetados: Windows


Ferramenta de remoção
O Symantec Security Response desenvolveu uma ferramenta de remoção para o Adware.Iefeats. Utilize essa ferramenta primeiro, já que é a maneira mais fácil de se remover este risco.

A ferramenta pode ser encontrada em: http://securityresponse.symantec.com/avcenter/FixIefts.exe

A versão atual da ferramenta é 1.0.1 e a assinatura digital possui hora equivalente a quinta-feira, 2 de dezembro, 3h03 am (PST).

Nota: a data e a hora exibidas serão ajustadas de acordo com o fuso horário local caso o computador não esteja definido para o fuso horário do Pacífico.


As instruções a seguir se aplicam a todos os produtos antivírus Symantec que suportam a detecção de riscos à segurança.

  1. Atualize as definições
  2. Imprima esta instrução de remoção
  3. Reinicie o computador em Modo de Segurança ou em Modo VGA
  4. Execute a verificação, anotando o caminho completo e o nome do arquivo e apagando os arquivos
  5. Reinicie o computador em Modo Normal.
  6. Localize e desativando o serviço (Windows NT/2000/XP)
  7. Reverta as alterações feitas no Registro
  8. Apague os websites adicionados ao menu Favoritos do Internet Explorer.
  9. Reinstale o produto antivírus Symantec
  10. Redefina a página inicial do Internet Explorer.
  11. Restaure a página de pesquisa do Internet Explorer

Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.


1. Atualizando as definições
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.


2. Imprimindo esta instrução de remoção
Como o Adware.Iefeats funciona como um plugin do Microsoft Internet Explorer, é necessário fechar todas as janelas do Internet Explorer para removê-lo. Se estiver lendo este documento no Internet Explorer, imprima-o utilizando a versão para impressão na parte superior desta página ou anote as instruções a seguir. Em seguida, feche todas as janelas do navegador.


3. Reiniciando o computador no Modo de Segurança ou em Modo VGA
Desligue o computador. Aguarde pelo menos 30 segundos e reinicie o computador em Modo de Segurança ou em Modo VGA.
  • No Windows 95, 98, Me, 2000 ou XP, reinicie o computador em Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador em Modo de Segurança.
  • No Windows NT 4, reinicie o computador em Modo VGA.


4. Executando a verificação, anotando o caminho completo e o nome do arquivo e apagando os arquivos
  1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
  2. Se algum arquivo for detectado como Adware.Iefeats ou Adware.CoolWebSearch, dependendo da versão do programa utilizada, é possível que uma ou mais das seguintes opções sejam exibidas:

    Nota: isso somente se aplica às versões do Norton AntiVirus que suportam a detecção de riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que suporta a detecção de riscos à segurança e essa opção estiver ativada, somente será possível ver uma caixa de mensagem fornecendo os resultados da verificação. Se tiver dúvidas em relação a essa situação, entre em contato com o administrador de rede.

    • Excluir (Não recomendado): se clicar nesse botão, o risco à segurança será definido de forma a não ser mais detectado. Isto é, o programa antivírus manterá o risco à segurança no computador e não o detectará futuramente para que seja removido.

    • Ignorar: esta opção ignora o risco à segurança somente na verificação em execução no momento. O risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

    • Cancelar: esta é uma nova opção do Norton AntiVirus 2005 que é utilizada quando o programa determina que não é possível apagar um risco à segurança. Essa opção ignora o risco à segurança somente nessa verificação. Assim, o risco à segurança será detectado novamente da próxima vez que uma verificação for executada.

      Para apagar de fato o risco à segurança:
      • Clique no nome do arquivo (sob a coluna Nome do arquivo).
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.

    • Apagar: esta opção tentará apagar os arquivos detectados. Em alguns casos, não será possível fazer isso.
      • Se a seguinte mensagem for exibida: “Falha na exclusão” (ou mensagem semelhante), apague o arquivo manualmente.
      • Sob a coluna Nome do arquivo, clique no nome do arquivo do risco à segurança.
      • Nas informações do item que são exibidas, anote o caminho completo e o nome do arquivo.
      • Depois, utilize o Windows Explorer para localizar e apagar o arquivo.


5. Reiniciando o computador em Modo Normal
  1. Feche todos os programas.
  2. Clique em Iniciar > Executar.
  3. Digite  msconfig e clique em OK.
  4. Na guia Geral, clique em Avançado.
  5. Na caixa de diálogo de Configurações avançadas de solução de problemas, selecione Ativar o menu Iniciar e clique em OK.
  6. Clique em OK quando o Utilitário de configuração do sistema for exibido novamente.
  7. Quando a reinicialização do computador for solicitada, clique em Sim.
  8. Quando o menu Iniciar do Windows 98 (ou Me) for exibido, selecione Modo Normal e pressione Enter.


6. Localizando e desativando o serviço (Windows NT/2000/XP)
  1. Clique em Iniciar > Executar.
  2. Digite  services.msc e clique em OK.
  3. Localize e selecione o serviço detectado como Adware.Iefeats ou Adware.CoolWebSearch.

    Nota: para localizar o serviço, pode ser necessário verificar as seguintes entradas na janela Serviços:
    • Network Security Service
    • Network Security Service (NSS)
    • Remote Procedure Call (RPC) Helper
    • Workstation NetLogon Service

  4. Clique em Ação > Propriedades.
  5. Certifique-se de que o campo Caminho para executável indica um dos arquivos detectados, clique em Parar e altere Tipo de inicialização para Manual.
  6. Clique em OK e feche a janela Serviços.


7. Desfazendo as alterações feitas no Registro
Importante: A Symantec recomenda fazer um backup do registro antes de fazer quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as sub-chaves especificadas. Consulte o documento Fazendo backup do Registro do Windows para mais informações.

  1. Clique em Iniciar > Executar.

  2. Digite   regedit
  3. Clique em OK.

  4. Navegue até a sub-chave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    e, no painel direito, apague o valor:

    "[nome do arquivo detectado]" = "[local e nome do arquivo detectado]"

  5. Navegue até a sub-chave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    e, no painel direito, apague o seguinte valor (se existir):

    "[nome do arquivo detectado]" = "[local e nome do arquivo detectado]"

  6. Navegue até a sub-chave:

    HKEY_CLASSES_ROOT\

    e clique em Editar > Localizar. No campo Localizar, digite o nome do arquivo .dll que foi detectado como Adware.Iefeats na seção 7. Pesquise por entradas do formulário:

    "(Default)" = "[local e nome do arquivo .dll detectado]"

    na sub-chave de registro:

    HKEY_CLASSES_ROOT\CLSID\[CLSID parcialmente aleatório]\InProcServer32

    e anote o valor [CLSID parcialmente aleatório]. Pode ser necessário repetir esta etapa para outros arquivos .dll detectados na seção 7.

  7. Navegue até a seguinte sub-chave e, no painel esquedo, apague a sub-chave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[CLSID parcialmente aleatório]

    onde [CLSID parcialmente aleatório] corresponde ao valor encontrado na busca anterior.

  8. Navegue até a seguinte sub-chave:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

    e, no painel direito, apague o valor:

    "[CLSID parcialmente aleatório]"

    onde [CLSID parcialmente aleatório] corresponde ao valor encontrado na busca anterior.

  9. Navegue até a seguinte sub-chave e, no painel esquedo, apague a sub-chaves:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW

  10. Navegue até a chave:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

  11. No painel esquerdo, selecione a chave "Internet Explorer", clique com o botão direito e selecione Novo > Chave. Dê o nome UrlSearchHooks à nova chave.

  12. Navegue até a nova chave e crie um valor novo clicando com o botão direito no painel e selecionando Novo > Valor da seqüência. O valor deve ser {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.

  13. Saia do Editor do Registro.


8. Apagando os websites adicionados ao menu Favoritos do Internet Explorer
  1. Inicie o Microsoft Internet Explorer.
  2. Clique em Favoritos > Organizar Favoritos
  3. Apague os Favoritos que julgar duvidosos e que possam ter sido adicionados pelo risco

9. Reinstalando o produto antivírus Symantec
Como esse adware tenta remover os arquivos e as sub-chaves do Registro utilizados pelo produto antivírus Symantec, pode ser necessário reinstalar o programa. Se o produto antivírus Symantec não funcionar corretamente, desinstale e reinstale o produto.


10. Redefinindo a página inicial do Internet Explorer
  1. Inicie o Microsoft Internet Explorer.
  2. Conecte-se à Internet e acesse a página que deseja definir como página inicial.
  3. Clique em Ferramentas > Opções da Internet.
  4. Na guia Geral, na seção Página inicial, clique em Usar Atual > OK.

Para mais informações, ou se esse procedimento não funcionar, consulte o artigo 320159 da Base de conhecimento da Microsoft®: Home Page Setting Changes Unexpectedly, or You Cannot Change Your Home Page Setting, Article ID 320159 .


11. Restaurando a página de pesquisa do Internet Explorer
Siga as instruções de acordo com a sua versão do Windows.

Windows 98/Me/2000
  1. Inicie o Microsoft Internet Explorer.
  2. Na barra de ferramentas, clique em Pesquisar.
  3. No painel Pesquisar, clique em Personalizar.
  4. Clique em Redefinir.
  5. Clique em Configurações de Busca Automática.
  6. Selecione um site de pesquisa na lista suspensa e clique em OK.
  7. Clique em OK.

Windows XP
Como o Windows XP é configurado por padrão para utilizar personagens animados na pesquisa, o procedimento a ser feito pode variar. Leia todas as instruções antes de começar.
  1. Inicie o Microsoft Internet Explorer.
  2. Na barra de ferramentas, clique em Pesquisar.
  3. Proceda de uma das seguintes maneiras:
    • Se o painel exibido for semelhante à seguinte ilustração, clique em Personalizar e prossiga com a próxima etapa:




    • Se o painel exibir "Assistente de Pesquisa" na parte superior e o centro for semelhante à seguinte ilustração, clique no link Alterar preferências prossiga com a próxima etapa.




  4. Clique no link Alterar o comportamento de busca na Internet.
  5. Sob Comportamento de Busca na Internet, clique em Com a Pesquisa Clássica da Internet.
  6. Clique em OK. Depois feche o Internet Explorer. (Feche o programa para que a alteração seja efetivada).
  7. Abra o Internet Explorer. Quando o painel pesquisar for exibido, este deve ser semelhante à seguinte ilustração:





    Clique em Personalizar e vá para a próxima etapa.

  8. No painel Pesquisar, clique em Personalizar.
  9. Clique em Redefinir.
  10. Clique em Configurações de Busca Automática.
  11. Selecione um site de pesquisa na lista suspensa e clique em OK.
  12. Clique em OK.
  13. Proceda de uma das seguintes maneiras:
    • Se estiver utilizando (ou deseja continuar utilizando) o painel "Busca Clássica da Internet", pare aqui (ou vá para a próxima seção).
    • Se desejar retornar para a busca com o "Assistente de Pesquisa" (geralmente existe um personagem animado no botão), vá para a próxima etapa.

  14. Clique novamente em Personalizar .
  15. Na janela "Personalizar Configurações de Busca", clique em Use o Assistente de Pesquisa > OK.
  16. Feche o Internet Explorer. Da próxima vez que você o abrir, o navegador utilizará novamente o Assistente de Pesquisa.