Si cuando te conectas a Internet eres invadido por ventanas publicitarias, llamadas CID, que te proponen descargar diversos programas. Entonces lee este artículo que te explicará como quitarlas.
El responsable de estás ventanas que se abren intempestivamente es en realidad el adware Lop
Este adware se instala cuando instalamos los siguientes programas, a cambio de su llamada «gratuidad»:
* Patrocinadores MSN plus!
* Bittorent
* BitDownload
* BitGrabber
* NetPumper
* BitRoll
* TorrentQ
* Torrent101
* ...
Importante: siempre hay que estar muy atentos al momento de instalar un programa, y sobre todo darnos el tiempo de leer los terminos de uso, que en la mayoria de casos menciona la presencia de este adware!
MSN plus! es el único que pregunta explícitamente si se desea instalar al patrocinador (responsable de esta publicidad abusiva) y en el caso de que lo instalemos no permite desinstalarlo fácilmente.
Fragmento de los terminos de uso del contrato, si se acepta instalar al patrocinador:
"POLITICA DE PROTECCION A LA PRIVACIDAD"
CiD le provee un software gratuitamente o a un precio reducido a cambio de que acepte recibir mensajes publicitarios y promociónales enviados por CiD y terceros a su ordenador basados en parte en las palabras-claves de los sitios web que usted u otra persona que utiliza el ordenador visita.
El contenido complementario puede incluir publicidad, promociones, enlaces a sitios web de terceros u otras documentaciones enviadas a su ordenador que corresponden a temas de su interés, basados en parte en las palabras clave encontradas en los sitios web que visitó (...)"
La aceptacion de este contrato autorizará la aparición de publicidad emergente.
En el caso de los otros programas citados anteriormente, no es lo mismo, ya que desinstalando el programa P2P no conseguiremos eliminar al patrocinador, debido a que éste se encuentra oculto en otro programa llamado "CiDhelp" (o "CiD-algomás" en algunos casos).
Observación: por lo general, la publicidad generada por el adware lop nos pide bajar otros programas gratuitos, como juegos, canales de TV, radios etc, los que una vez bajados, instalarán a su vez otros malwares como: navipromo, dialer instant access … también generadores de publicidad!! Como resultado tendremos una infección en cadena que se traduce por una invasión de publicidad de todo tipo.
Método de desinfección Nro 1: Eliminación manual
Para una eliminación manual, sigue estos pasos:
* Inicias el PC en modo seguro
* Vas al menú Inicio
* Haces clic en Panel de control
* Haces doble clic en Agregar o quitar programas
* En el caso de Msn plus: tan solo hay que desinstalar al patrocinador:
En el caso de los programas p2p mencionados líneas arriba: hay que buscar y eliminar al patrocinador asociado al CiD:
* Elimina estos programas si los encuentras:
* Cid help
* Circle Developement
* Adverts
Método de desinfección Nro 2: utilizando una aplicación
Por lo general, los antivirus y antispywares se encargan de eliminar Cidhelp y otros programas relacionados directamente a Cid, pero no neutralizan completamente la infección lop.
¿Cómo identificar una infección debida al adware lop en un reporte hijackthis?
Es muy fácil identificar al adware.lop en un reporte hijackthis. Bajo Windows XP, éste aparece en una linea o incluso 2 lineas conteniendo archivos localizados en la carpeta "documents and settings" y en la carpeta ProgramData bajo Windows Vista
(las líneas en negrita del siguiente reporte)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:26, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\avast\aswUpdSv.exe
F:\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
F:\avast\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Archivos comunes\AOL\1177615087\ee\aolsoftware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Archivos comunes\AOL\ACS\AOLacsd.exe
c:\program files\archivos comunes\aol\1177615087\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\archivos comunes\aol\1177615087\ee\aolsoftware.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\AOL 9.0 VRb\waol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\AOL 9.0 VRb\shellmon.exe
C:\Program Files\Archivos comunes\AOL\Topspeed\3.0\aoltpsd3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = You are not allowed to view links.
Register or
LoginR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Ayuda para el enlace de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Archivoscomunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wambo] C:\Program Files\Wambo.com Swapper\Swapper.exe -auto
O4 - HKLM\..\Run: [avast!] F:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Burn Dvd Mail More] C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LOUD BURN] C:\Documents and Settings\Isabel\APPLIC~1\ACIDHI~1\SoftwareStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Herramienta de deteccion de soporte Picture Motion Browser.lnk = F:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Event Reminder.lnk = F:\printmaster\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Mémento.lnk = C:\quickenw\billmind.exe
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Busqueda - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - You are not allowed to view links.
Register or
LoginO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - You are not allowed to view links.
Register or
LoginO16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} - You are not allowed to view links.
Register or
LoginO17 - HKLM\System\CCS\Services\Tcpip\..\{195C4FA1-DCFC-4F7B-A9F3-ECB0FA34FB18}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\avast\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - You are not allowed to view links.
Register or
Login...
Nota: ejemplo de entradas en hijackthis conteniendo una infección bajo Windows Vista:
O4 - HKLM\..\Run: [Save Dupe] "C:\ProgramData\sixth sect sect.ilrjji7"
O4 - HKLM\..\Run: [LESS CITY AMEN SETUP] "C:\ProgramData\Sixth Body Help.z6rat"
Observación: el uso de hijackthis para este tipo de infección no es necesario, solamente ha sido adicionado a modo de ejemplo para saber identificar una infección lop en un reporte hijackthis
Manual de hijackthis
Utilizar el programa Lopxp (windows 2000/XP)
Por lo general, para eliminar el adaware lop, tan solo hay que eliminar los archivos asociados a la infección.
Aquí un pequeño programa llamado lopxp capaz de detectar y eliminar todos los archivos, programas y tareas planificadas instalados por el adware lop.
Unicamente funciona bajo Windows 2000, XP!
* Descarga Lopxp: (de Moe):
* Haz doble clic en Lopxpsetup.exe para iniciar la instalación
* En el menú, selecciona la opción 1
* Espera hasta que te pidan presionar una tecla y presionala
* El contenido del informe estará en: C:\Programfiles\Lopxp\cid.txt
Una vez descargado, Lopxp se instalará en C:\Programfiles\Lopxp
* Opción 1: generar un reporte
* Opción 2: quitar el programa
* Opción 3: desinstalar lopxp, eliminando la carpeta C:\Programfiles\Lopxp y todo su contenido, así como el acceso directo del escritorio.
Ejemplo de un reporte poniendo en evidencia una infección lop, en la sección Suggestion del mismo:
Informe Lopxp realizado el 04/02/2008 a 20:36:25
Ejecutado en: C:\Program Files\Lopxp
Version 3.04 - Maj del 03/02/2008
Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\iexplore.exe" (2512)
"C:\Program Files\Internet Explorer\iexplore.exe" (3164)
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding (2640)
========== Listing de las carpetas Application Data
+- C:\Documents and Settings\All Users\Application Data
2007-09-17 a 05:56:44 - Adobe
2007-12-13 a 15:18:04 - AOL
2007-12-13 a 15:13:02 - AOL Downloads
2007-04-29 a 15:00:12 - AOL OCP
2007-11-05 a 06:45:04 - Apple
2007-11-05 a 06:47:25 - Apple Computer
2007-08-12 a 06:15:18 - Broderbund Software
2007-04-21 a 12:43:41 - CyberLink
2007-06-25 a 05:12:50 - DVD Shrink
2007-04-22 a 09:01:28 - Google
2008-01-26 a 08:32:05 - Lavasoft
2007-08-20 a 13:16:49 - Macromedia
2007-06-21 a 17:45:52 - Microsoft
2008-01-17 a 18:25:32 - Part title burn dvd
2007-06-14 a 16:36:16 - QuickTime
2007-06-24 a 18:28:04 - SlySoft
2008-01-23 a 19:38:04 - Spybot - Search & Destroy
2007-04-29 a 15:00:01 - Viewpoint
2007-05-18 a 17:04:30 - Windows Genuine Advantage
2007-09-17 a 09:29:41 - Windows Live Toolbar
2007-04-22 a 20:25:14 - Yahoo!
+- C:\Documents and Settings\Isabel\Application Data
2007-04-29 a 15:00:28 - acccore
2008-01-17 a 18:25:49 - Acid hide save
2008-02-02 a 16:45:04 - Adobe
2007-04-28 a 10:23:29 - AdobeUM
2007-12-13 a 15:17:44 - AOL
2007-11-19 a 18:52:05 - Apple Computer
2007-08-08 a 08:27:36 - Azureus
2007-10-09 a 06:01:01 - Buddi
2007-08-17 a 18:21:13 - EssentialPIM
2007-04-27 a 17:09:12 - Google
2007-06-21 a 08:44:30 - Help
2007-04-21 a 12:40:21 - Hewlett-Packard
2007-04-21 a 12:24:48 - Identities
2007-04-21 a 12:42:24 - InterTrust
2008-01-24 a 06:47:50 - kantaris
2007-05-05 a 14:33:08 - Leadertech
2007-04-22 a 14:46:00 - Macromedia
2007-12-30 a 18:17:04 - Microsoft
2008-01-24 a 07:57:51 - Mozilla
2007-05-21 a 08:26:25 - Real
2007-06-24 a 18:29:07 - SlySoft
2007-07-15 a 06:13:58 - Sony Corporation
2007-05-02 a 16:06:45 - Sun
2007-05-18 a 14:07:41 - U3
2008-01-24 a 07:00:56 - vlc
2007-05-25 a 09:04:20 - You've Got Pictures Screensaver
+- C:\Documents and Settings\Isabelle\Local Settings\Application Data
2007-05-05 a 14:36:15 - Adobe
2007-08-30 a 04:28:00 - Ahead
2007-08-21 a 08:01:14 - AOL
2007-04-29 a 15:00:03 - AOL OCP
2007-11-05 a 06:45:40 - Apple
2007-11-05 a 06:44:15 - Apple Computer
2007-07-08 a 15:21:21 - Ares
2007-06-22 a 06:02:05 - Glowria
2007-04-27 a 17:09:12 - Google
2007-06-21 a 08:44:30 - Help
2007-04-21 a 20:16:51 - Identities
2007-04-21 a 14:05:09 - Logitech-LS
2007-12-06 a 08:08:40 - Microsoft
2008-01-24 a 07:57:51 - Mozilla
2007-10-16 a 16:19:07 - Pando
2007-10-06 a 09:36:41 - {300ED5A9-6225-4D09-9CE6-35CFF0DFE09F}
========== Listing de la carpeta Program Files
+- C:\Program Files
2008-01-17 a 18:25:10 - Acid hide save
2007-09-17 a 05:56:27 - Adobe
2005-05-12 a 20:41:53 - Ahead
2008-01-13 a 17:03:29 - AnglaisFacile.com
2007-11-20 a 16:10:22 - AOL
2007-11-19 a 08:20:39 - AOL 9.0 VR
2007-11-15 a 18:43:52 - AOL 9.0 VRa
2007-12-14 a 11:33:22 - AOL 9.0 VRb
2007-08-20 a 13:15:16 - AOL Toolbar
2007-11-05 a 06:45:35 - Apple Software Update
2007-04-21 a 12:32:24 - ASUS
2007-04-21 a 12:35:25 - ATI Technologies
2007-04-21 a 12:29:56 - Avance Sound Manager
2007-08-08 a 06:34:48 - Azureus
2007-04-21 a 12:15:46 - ComPlus Applications
2007-04-21 a 12:43:40 - CyberLink
2007-04-21 a 12:58:09 - DivX
2007-09-19 a 16:37:10 - FairUse Wizard 2
2008-01-24 a 07:24:56 - Fichiers communs
2008-01-24 a 07:24:02 - Google
2007-04-21 a 12:32:25 - Hewlett-Packard
2007-08-12 a 06:12:46 - InstallShield Installation Information
2008-01-24 a 06:39:59 - Internet Explorer
2008-01-08 a 13:33:41 - Java
2008-01-26 a 08:31:09 - Lavasoft
2007-05-25 a 09:04:20 - Learn2.com
2007-04-21 a 13:11:30 - Logitech
2008-02-04 a 19:36:35 - Lopxp
2007-12-19 a 19:30:04 - MediaInfo
2007-11-25 a 11:55:14 - messenger
2008-01-20 a 20:08:19 - MeuhMeuhTV
2007-11-22 a 07:28:32 - Microsoft CAPICOM 2.1.0.2
2007-04-21 a 12:20:04 - microsoft frontpage
2007-04-21 a 13:03:03 - Microsoft Office
2007-11-23 a 17:20:36 - Movie Maker
2008-02-04 a 16:40:27 - Mozilla Firefox
2007-04-21 a 12:15:32 - MSN
2007-04-21 a 12:15:20 - MSN Gaming Zone
2007-12-11 a 11:47:12 - MSN Messenger
2008-02-04 a 17:09:29 - Navilog1
2007-11-23 a 17:17:53 - NetMeeting
2007-11-25 a 11:54:07 - Outlook Express
2007-08-10 a 05:50:39 - Perenety
2007-11-05 a 06:48:27 - QuickTime
2007-05-10 a 07:53:39 - QuickZip4
2007-05-21 a 08:22:19 - Real
2007-10-06 a 06:29:38 - RegCleaner
2007-04-21 a 12:17:54 - Services en ligne
2007-09-20 a 13:24:31 - Skype
2007-06-25 a 09:54:18 - SlySoft
2008-01-02 a 12:58:24 - Spybot - Search & Destroy
2008-02-03 a 07:12:05 - Trend Micro
2007-04-21 a 12:24:44 - Uninstall Information
2008-01-24 a 07:07:58 - VideoLAN
2007-04-29 a 15:00:01 - Viewpoint
2007-04-21 a 12:41:52 - vtplus
2007-09-17 a 12:42:32 - Wambo.com Swapper
2007-09-21 a 06:02:31 - Windows Live Toolbar
2007-11-23 a 17:35:26 - Windows Media Player
2007-11-23 a 17:17:47 - Windows NT
2007-09-17 a 09:30:43 - WindowsUpdate
2007-04-21 a 13:03:01 - WinRAR
2008-01-16 a 20:34:28 - WinTV
2007-04-21 a 12:20:04 - xerox
2007-12-11 a 13:58:26 - Yahoo!
========== Tareas planificadas
ADF73A1693E0B62A.job: c:\docume~1\isabelle\applic~1\acidhi~1\Nouninterknob.exe
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task
FRU Task #Hewlett-Packard#hp psc 1200 series#1177159191.job: C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1177159191"
========== Claves del registro
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Burn Dvd Mail More"="C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LOUD BURN"="C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe"
========== Bloquear popups Internet Explorer
Ningún sitio autorizado a emitir popups.
========== Suggestion ( /!\ Necesita una interpretación.) ==========
C:\Documents and Settings\All Users\Application Data\Part title burn dvd
C:\Documents and Settings\Isabelle\Application Data\Acid hide save
C:\Program Files\Acid hide save
C:\Program Files\MediaInfo
C:\WINDOWS\tasks\ADF73A1693E0B62A.job
+- Registre:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Burn Dvd Mail More"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LOUD BURN"=-
- Fin del informe -
Sección del reporte lopxp que se debe analizar
La parte del reporte que necesita un analisis cuidadoso es la sección Suggestion, ubicada al final del reporte:
========== Suggestion ( /!\ Necesita una interpretación.) ==========
C:\Documents and Settings\All Users\Application Data\Part title burn dvd
C:\Documents and Settings\Isabelle\Application Data\Acid hide save
C:\Program Files\Acid hide save
C:\Program Files\MediaInfo
C:\WINDOWS\tasks\ADF73A1693E0B62A.job
+- Registre:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Burn Dvd Mail More"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LOUD BURN"=-
- Fin del informe -
Deberemos asegurarnos que los archivos detectados no sean archivos legítimos:
En nuestro ejemplo, sólo hemos verificado que los archivos (archivos dentro de documents and settings, carpetas dentro de program files así como la tarea o tareas planificadas) han sido instalados por Lop al momento de aceptar la instalación de los patrocinadores.
* Un truco: ¿cómo estar seguros de que los archivos pertenecen al adawre lop?
o Lo único que debemos hacer es identificar los archivos creados en la misma fecha (en los segundos o minutos que siguen) que la del archivo identificado en el reporte hijackthis.
o Para ello, ubica en el reporte de lopxp el archivo que aparece en el reporte hijackthis que vimos anteriormente y que indica la presencia del adaware lop, por ejemplo:
* O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
o Lo que corresponde en el reporte de lopxp a:
* +- C:\Documents and Settings\Isabelle\Application Data [...]2008-01-17 a 18:25:49 - Acid hide save
o Presiona Ctrl+F para efectuar una búsqueda rápida y pega en la ventana la fecha, la hora y el minuto, o sea:
+ 2008-01-17 a 18:25, haz clic en siguiente y ubica como dijimos anteriormente los archivos, programas y tareas planificadas creados en la misma fecha. Y listo! de este modo encontrarás en unos cuantos clics los archivos asociados al adaware lop.
Modo de desinfección
* Ve a: Inicio > Ejecutar luego copia y pega la siguiente línea en negrita:
o "%programfiles%\Lopxp\Lopxp.bat" /Fixme luego haz clic en Aceptar,
* El modo fixe retomará todos los archivos que aparecen en la sección Suggestion del 1er reporte generado.
* Para cada archivo, será necesario aceptar (presionar la tecla y) o rechazar (presionar la tecla n) la eliminación a fin de evitar cualquier error de interpretación de la sección Suggestion.
* Las copias de respaldo de los archivos eliminados serán almacenados en la carpeta C:\Programfiles\Lopxp\Backups
Limpieza complementaria
* Haz una limpieza complementaria para eliminar los bichos que puedan quedar:
o 1. ccleaner:
o método de desinfección
o 2. AVG anti spyware:
o tutorial en inglés
o 3. clean.zip (de Malekal_morte):
o Descomprime el archivo en el directorio (clic derecho / extraer todo), a fin de obtener una carpeta llamada clean.
o Abre la carpeta Clean que se encuentra en el escritorio y haz doble-clic en clean.cmd.
o Una ventana negra aparecerá, selecciona la opción 1, se creará un reporte en la raíz: C:\rapport_clean.txt, si los archivos infectados han sido detectados, puedes pasar a la opción 2 en modo seguro.
o 4. Haz un scan en línea con BitDefender (únicamente en Internet Explorer):
o Finalmente, instala un firewall como por ejemplo ZoneAlarm
* Ver:
o Apertura de ventanas publicitarias en Internet
o Seguridad proteger un ordenador contra les malwares de Internet
PD: El artículo original fue escrito por green day
