Virus | Spyware
Favadd
À l'aide de ces sites Web, vous pouvez écarter le virus Favadd:
écarter Favadd virus
trojan.favaddTrojan.Favadd est un programme de Trojan Horse qui modifie les arrangements de page de début de Microsoft Internet Explorer d'un utilisateur.Quand Trojan.Favadd est exécuté, il fait ce qui suit :
Copies elle-même comme %Windir%\crcspider.ico
Note : %Windir% est une variable qui se rapporte à la chemise d'installation de Windows. Par défaut, c'est C:\Windows ou C:\Winnt.
Ajoute les valeurs :
"fissures de ButtonText"="Search à CrackSpider.NET"
"fissures de MenuText"="Search à CrackSpider.NET"
"fissures de MenuStatusBar"="Search à CrackSpider.NET"
"ClSid"="(1FBA04EE-3024-11d2-8F1F-0000F87ABD16)"
"Défaut Visible"="Yes"
"Exec" = "[ URL sur le domaine crackspider.net ]"
"HotIcon" = "%Windir%\crcspider.ico"
"icône" = "%Windir%\crcspider.ico"
à la clef d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)
Ajoute la valeur :
"{10954C80-4F0F-11d3-B17C-00C0DFE39736}" = "8193"
à la clef d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
Ajoute la valeur :
"SearchAssistant" = "[ URL sur le domaine crackspider.net ]"
à la clef d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
pour modifier la page de recherche d'Internet Explorer.
Ajoute la valeur :
"barre de recherche" = "[ URL sur le domaine crackspider.net ]"
à la clef d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Crée une chemise appelée des "fissures" dans la chemise de favoris dans l'Internet Explorer. Il contient les liens suivants et commente :
! TheBUGS.ws - Portail Relatif De Sécurité
[ URL sur le domaine thebugs.ws ]
! ! CrackSpider.NET - Fend le Search Engine
[ URL sur le domaine crackspider.net ]
allseek.info - Le portail souterrain
[ URL sur le domaine allseek.info ]
anyCracks.com - Keygens, pièces rapportées, fente
[ URL sur le domaine anycracks.com ]
Astalavista - Search Engine de fissures
[ URL sur le domaine astalavista.thebugs.ws ]
bestserials.com - Les meilleures publications périodiques
[ URL sur le domaine bestserials.com ]
CrackPortal.com - Fissures, numéro de série
[ URL sur le domaine crackportal.com ]
CrackSpider.DE - Fend le Search Engine
[ URL sur le domaine crackspider.de ]
CrackSpider.US - Fend le Search Engine
[ URL sur le domaine crackspider.us ]
CrackWay.com - Depuis 2001 fissures arhive
[ URL sur le domaine crackway.com ]
iCracks.net - Keygens, pièces rapportées, crackz.
[ URL sur le domaine icracks.net ]
KeyGen.US - Keygens, pièces rapportées, crackz...
[ URL sur le domaine keygen.us ]
mscrack.com - Fissures, numéros de série...
[ URL sur le domaine mscracks.com ]
Ajoute un bouton sur le ce toolbar d'Internet Explorer des liens à un emplacement de Web sur le domaine crackspider.net.
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme Trojan.Favadd.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Remettez à zéro le Home Page d'Internet Explorer.
Remettez à zéro la page de recherche d'Internet Explorer.
L'enlèvement du bouton s'est ajouté à l'Internet Explorer toolbar.
Enlevez les liens de la chemise de favoris.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
--------------------------------------------------------------------------------
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
--------------------------------------------------------------------------------
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées les jours d'affaires des ETATS-UNIS (du lundi par vendredi). Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de Trojan.Favadd, notez le chemin et le nom de fichier et cliquez alors l'effacement.
--------------------------------------------------------------------------------
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
--------------------------------------------------------------------------------
4. Pour supprimer la valeur de l'enregistrement
--------------------------------------------------------------------------------
AVERTISSEMENT : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
--------------------------------------------------------------------------------
Cliquez le début, et puis cliquez la course. (la zone de dialogue de course apparaît.)
Dactylographiez le regedit
Cliquez Alors BIEN. (le rédacteur d'enregistrement s'ouvre.)
Dirigez à la clef :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\(10954C80-4F0F-11d3-B17C-00C0DFE39736)
Dans le carreau droit, supprimez les valeurs :
"fissures de ButtonText"="Search à CrackSpider.NET"
"fissures de MenuText"="Search à CrackSpider.NET"
"fissures de MenuStatusBar"="Search à CrackSpider.NET"
"ClSid"="(1FBA04EE-3024-11d2-8F1F-0000F87ABD16)"
"Défaut Visible"="Yes"
"Exec"="[URL sur le domaine crackspider.net ]"
"HotIcon"="%Windir%\crcspider.ico"
"Icon"="%Windir%\crcspider.ico"
Dirigez à la clef :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
Dans le carreau droit, supprimez la valeur :
"{10954C80-4F0F-11d3-B17C-00C0DFE39736}" = "8193"
Dirigez à la clef :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
Dans le carreau droit, supprimez la valeur :
"SearchAssistant"="[URL sur le domaine crackspider.net ]"
Dirigez à la clef :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Dans le carreau droit, supprimez la valeur :
"recherchez Bar"="[URL sur le domaine crackspider.net ]"
Sortez le rédacteur d'enregistrement.
5. Pour remettre à zéro le Home Page d'Internet Explorer
Commencez Microsoft Internet Explorer.
Reliez à l'Internet, et puis allez à la page que vous voulez placer en tant que votre Home Page.
Cliquez Les Outils > Les Options D'Internet.
Dans la section de Home Page de l'étiquette générale, cliquez le courant d'utilisation > CORRECT.
Pour l'information additionnelle, ou si ce procédé ne fonctionne pas, lisez l'article® de base de connaissance de Microsoft, "des changements d'arrangement de Home Page inopinément, ou vous ne pouvez pas changer votre arrangement de Home Page, l'identification 320159 d'article."
6. Pour remettre à zéro la page de recherche d'Internet Explorer
Suivez les instructions pour votre version de Windows.
Windows 98/Me/2000
Commencez Microsoft Internet Explorer.
Cliquez le bouton de recherche sur le toolbar.
Dans le carreau de recherche, le clic adaptent aux besoins du client.
Remise de clic.
Arrangements D'Autosearch De Clic.
Choisissez un site de recherche à partir de la liste drop-down, et puis cliquez BIEN.
Cliquez BIEN.
Windows.xp
Puisque Windows.xp est placé par défaut aux caractères animés par utilisation dans la recherche, comment vous faites ceci peut changer. Lisez toutes les instructions avant que vous commenciez.
Commencez Microsoft Internet Explorer.
Cliquez le bouton de recherche sur le toolbar.
Faites un de ce qui suit :
Si le carreau qui ouvre des sembler semblables à cette image :
cliquez le mot adaptent aux besoins du client. Sautez alors pour faire un pas h.
Si le carreau qui s'ouvre a les mots "recherchent le compagnon" au dessus, et les sembler centraux semblables à cette image :
cliquez les préférences de changement lient comme montré ci-dessus. Procédez à l'étape d.
Cliquez le lien de comportement de recherche d'Internet de changement.
Sous "Le Comportement De Recherche D'Internet," Cliquez Avec La Recherche Classique D'Internet.
Cliquez BIEN. Fermez alors l'Internet Explorer. (étroit le programme pour le changement à l'effet de prise.)
Commencez L'Internet Explorer. Quand le carreau de recherche s'ouvre, il devrait maintenant sembler semblable à ceci :
Cliquez le mot adaptent, et puis procèdent aux besoins du client à la prochaine étape.
Dans le carreau de recherche, le clic adaptent aux besoins du client.
Remise de clic.
Arrangements D'Autosearch De Clic.
Choisissez un site de recherche à partir de la liste drop-down, et puis cliquez BIEN.
Cliquez BIEN.
Faites un de ce qui suit :
Si vous employiez (ou voulez continuer d'employer) le panneau "de recherche classique d'Internet", arrêtez ici (ou procédez à la prochaine section).
Si vous voulez aller de nouveau à la recherche "de compagnon de recherche" (elle a habituellement un caractère animé au bouton), procédez à l'étape n.
Cliquez le mot adaptent aux besoins du client encore.
Dans la fenêtre "adaptez de recherche arrangements aux besoins du client", cliquent le compagnon de recherche d'utilisation > CORRECT.
Fermez L'Internet Explorer. La prochaine fois que vous l'ouvrez, il emploiera encore le compagnon de recherche
7. L'enlèvement du bouton s'est ajouté à l'Internet Explorer toolbar
a. Commencez Microsoft Internet Explorer
b. Redressez le Clic le bouton et choisi adaptez aux besoins du client.
c. Choisissez les fissures de recherche à CrackSpider.NET dans le carreau droit.
d. Le clic enlèvent.
8. Enlevant des liens supplémentaires aux favoris
Commencez L'Internet Explorer.
Cliquez les favoris, et puis organisez les favoris.
Supprimez la chemise appelée des "fissures", qui contient les liens aux emplacements de Web que le Trojan a ajoutés.