Assim que você abre uma página web, você é invadido pelas janelas publicitárias pop-ups chamadas CiD, te propondo downloads diversos e você, desesperado, fica sem saber o que fazer para se livrar delas? … Essas janelas escondem, na verdade, a presença do adware Lop, responsável por esta propaganda inoportuna.






Este adware se instala durante a execução dos seguintes softwares (este é o pagamento em troca da dita « gratuidade »):

• BitDownload
• BitGrabber
• BitRoll
• BitTorrent Fastest Tool
• C2Media
• DivoCodec
• DivoPlayer
• DomPlayer
• GalaPlayer
• Get-Torrent
• KitPlayer
• NetPumper
• PluginDL
• Sponsor de Messenger Plus! Live
• TorrentGamers
• TorrentQ
• TorrentSoftware
• TorrentSpeeder
• Torrent101
• WinZix
• 3wPlayer

Moral da história : é preciso prestar muita atenção ao instalar um programa , pensando em ler bem o contrato de utilização que menciona, na maioria das vezes, a presença deste adware !

No entanto, apenas o MSN plus ! propõe, abertamente ao usuário, a instalação ou não de um patrocinador (responsável po resta publicidade abusiva). E, posteriormente, a desinstalação do mesmo.

Passagem das condições de utilização do contrato, em caso de aceitação da instalação do patrocinador :
« POLITICA DE PROTEÇÃO DE PRIVACIDADE »

CiD fornece o software gratuitamente ou a preços reduzidos, em troca de seu acordo com a recepção de mensagens publicitárias e promocionais entregues pelo Cid e outros, para o seu computador, baseado, em parte, em
palavras-chave dos sites que você - ou qualquer outro usuário do computador - visita.
Conteúdos adicionais podem incluir: anúncios , promoções, links para outros sites ou outros documentos entregues ao seu computador que correspondem aos seus interesses, baseado ,em parte, em palavras-chave encontradas nos sites que você visita. (...)"

Obviamente, são publicidades inoportunas .




Com relação aos programas citados acima, é diferente por que, mesmo desinstalando o programa p2p você não conseguirá, obrigatoriamente, remover o patrocinador, pois este está escondido em um outro programa, chamado "CiDhelp" (ou "CiD-qualquercoisa", em certos casos).


Observação : Na maioria das vezes, a publicidade gerada pelo adware lop propõe, ela mesma, baixar outros programas gratuitos, como jogos, canais de televisão e rádio, etc. … que, depois de baixados, instalarão outros malwares como : o navipromo, o dialer instant access … outros geradores de propagandas ! Resultado : uma infecção «atrás da outra » levando a uma invasão geral de publicidades de tudo que é tipo !

Método 1 de desinfecção : remoção manual

• Iniciar em modo de segurança
• Ir no menu Iniciar
• Clicar em painel de controle
• Escolher o módulo adição/remoção de programas
• Para o Msn plus! : basta desinstalar o patrocinador :

• Para os softwares p2p indicados acima : é preciso buscar e remover o patrocinador ligado ao CiD :
  • Remover os seguintes programas :
    • Cid help
    • Circle Developement
    • Adverts

Método 2 de desinfecção : utilizando um fix

Em geral, os antivírus ou antispywares removem o Cidhelp e outros programas ligados diretamente ao Cid sem, por isso, neutralizar completamente a infecção lop.

Como reparar uma infecção lop em um relatório hijackthis ?

O Lop é mapeado facilmente em um relatório do HijackThis, ele se manifesta em uma ou duas linhas em 04, indicando os arquivos que se situam no diretório "documents and settings" </ negrito> no Windows XP e no diretório <gras> ProgramData </ negrito> no Windows Vista.

( cf lignas em <gras>negrito no reltório abaixo )

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:26, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\avast\aswUpdSv.exe
F:\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
F:\avast\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\AOL\1177615087\ee\aolsoftware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe
c:\program files\fichiers communs\aol\1177615087\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1177615087\ee\aolsoftware.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\AOL 9.0 VRb\waol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\AOL 9.0 VRb\shellmon.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wambo] C:\Program Files\Wambo.com Swapper\Swapper.exe -auto
O4 - HKLM\..\Run: [avast!] F:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Burn Dvd Mail More] C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = F:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Event Reminder.lnk = F:\printmaster\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Mémento.lnk = C:\quickenw\billmind.exe
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21cb9066a6c66bf2f305/netzip/RdxIE601_fr.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{195C4FA1-DCFC-4F7B-A9F3-ECB0FA34FB18}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\avast\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://tiles.xbox.com/...


Nota : exemplo de linhas hijackthis mostrando uma infecção numa plataforma vista :

O4 - HKLM\..\Run: [Save Dupe] "C:\ProgramData\sixth sect sect.ilrjji7"
O4 - HKLM\..\Run: [LESS CITY AMEN SETUP] "C:\ProgramData\Sixth Body Help.z6rat"

Observação : não é necessário usar o hijackthis para este tipo de infecção ; ele só foi adicionado como um guia, para mostrar como reparar uma infecção lop à partir de um relatório hijackthis !
Tutorial de utilização do Hijackthis

Instruções sobre o Lopxp (compatível com o windows 2000/XP)

Geralmente, para remover o adware lop, basta remover os arquivos contaminados !
Veja este pequeno programa, o lopxp, capaz de detectar e remover todos os arquivos, programas e tarefas planejados pelo adware lop durante sua instalação.

A ferramenta Lopxp roda apenas no Windows 2000 e XP !

Preliminar

• Importante : se você tiver o TeaTimer (o residente do Spybot), desative-o por que se não, ele vai atrapalhar a desinfecção, impedindo a alteração dos BHO e o reparo do registro.
  • Inicie o Spybot, clique em Modo e assinale o Modo avançado
  • À esquerda, clique em Ferramentas e em Residente
  • Desmarque a casa diante do Residente "TeaTimer" e saia do Spybot :

Nota importante :
Quando terminar a desinfecção (nunca antes ), reativar o " TeaTimer " .
/!\ CUIDADO :
Neste momento, o " TeaTimer " do Spybot proporá , através de várias janelas pop-up, a aceitação ou não de alterações do registro ( que surgiram durante a desinfecção ) -> você deverá aceitá-las, todas, sem exceção !

Depois disso , permaneça vigilante quando o "TeaTimer" mandará alertas : só aceitar uma alteração, se souber de onde ela vem.

Detectar a infecção

• Baixar o Lopxp : (by Moe) :
• Clicar duas vezes em Lopxpsetup.exe para executar a instalação
• No menu, escolher a opção 1
• Esperar o pedido para pressionar a tecla. Pressionar !
• O conteúdo do relatório está no : C:\Programfiles\Lopxp\cid.txt

Depois de baixado , Lopxp se instala no C:\Programfiles\Lopxp

• Opção 1 : criar o relatório
• Opção 2 : deixar o programa
• Opção 3 : desinstalar o lopxp, eliminando a pasta C:\Programfiles\Lopxp e todo o seu conteúdo, assim como o atalho no desktop.

Exemplo de um relatório mostrando uma infecção lop indicado na parte sugestão do relatório :

Relatório Lopxp feito em 04/02/2008 às 20:36:25 
Executdo no : C:\Program Files\Lopxp 
Versão 3.04 – Atualizada em 03/02/2008 

Killing 'iexplore.exe' 
"C:\Program Files\Internet Explorer\iexplore.exe" (2512) 
"C:\Program Files\Internet Explorer\iexplore.exe" (3164) 
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding (2640) 


========== Lista das pastas Application Data 

+- C:\Documents and Settings\All Users\Application Data 

2007-09-17 às 05:56:44 - Adobe 
2007-12-13 às 15:18:04 - AOL 
2007-12-13 às 15:13:02 - AOL Downloads 
2007-04-29 às 15:00:12 - AOL OCP 
2007-11-05 às 06:45:04 - Apple 
2007-11-05 às 06:47:25 - Apple Computer 
2007-08-12 às 06:15:18 - Broderbund Software 
2007-04-21 às 12:43:41 - CyberLink 
2007-06-25 às 05:12:50 - DVD Shrink 
2007-04-22 às 09:01:28 - Google 
2008-01-26 às 08:32:05 - Lavasoft 
2007-08-20 às 13:16:49 - Macromedia 
2007-06-21 às 17:45:52 - Microsoft 
2008-01-17 às 18:25:32 - Part title burn dvd 
2007-06-14 às 16:36:16 - QuickTime 
2007-06-24 às 18:28:04 - SlySoft 
2008-01-23 às 19:38:04 - Spybot - Search & Destroy 
2007-04-29 às 15:00:01 - Viewpoint 
2007-05-18 às 17:04:30 - Windows Genuine Advantage 
2007-09-17 às 09:29:41 - Windows Live Toolbar 
2007-04-22 às 20:25:14 - Yahoo! 

+- C:\Documents and Settings\Isabelle\Application Data 

2007-04-29 às 15:00:28 - acccore 
2008-01-17 às 18:25:49 - Acid hide save 
2008-02-02 às 16:45:04 - Adobe 
2007-04-28 às 10:23:29 - AdobeUM 
2007-12-13 às 15:17:44 - AOL 
2007-11-19 às 18:52:05 - Apple Computer 
2007-08-08 às 08:27:36 - Azureus 
2007-10-09 às 06:01:01 - Buddi 
2007-08-17 às 18:21:13 - EssentialPIM 
2007-04-27 às 17:09:12 - Google 
2007-06-21 às 08:44:30 - Help 
2007-04-21 às 12:40:21 - Hewlett-Packard 
2007-04-21 às 12:24:48 - Identities 
2007-04-21 às 12:42:24 - InterTrust 
2008-01-24 às 06:47:50 - kantaris 
2007-05-05 às 14:33:08 - Leadertech 
2007-04-22 às 14:46:00 - Macromedia 
2007-12-30 às 18:17:04 - Microsoft 
2008-01-24 às 07:57:51 - Mozilla 
2007-05-21 às 08:26:25 - Real 
2007-06-24 às 18:29:07 - SlySoft 
2007-07-15 às 06:13:58 - Sony Corporation 
2007-05-02 às 16:06:45 - Sun 
2007-05-18 às 14:07:41 - U3 
2008-01-24 às 07:00:56 - vlc 
2007-05-25 às 09:04:20 - You've Got Pictures Screensaver 

+- C:\Documents and Settings\Isabelle\Local Settings\Application Data 

2007-05-05 às 14:36:15 - Adobe 
2007-08-30 às 04:28:00 - Ahead 
2007-08-21 às 08:01:14 - AOL 
2007-04-29 às 15:00:03 - AOL OCP 
2007-11-05 às 06:45:40 - Apple 
2007-11-05 às 06:44:15 - Apple Computer 
2007-07-08 às 15:21:21 - Ares 
2007-06-22 às 06:02:05 - Glowria 
2007-04-27 às 17:09:12 - Google 
2007-06-21 às 08:44:30 - Help 
2007-04-21 às 20:16:51 - Identities 
2007-04-21 às 14:05:09 - Logitech-LS 
2007-12-06 às 08:08:40 - Microsoft 
2008-01-24 às 07:57:51 - Mozilla 
2007-10-16 às 16:19:07 - Pando 
2007-10-06 às 09:36:41 - {300ED5A9-6225-4D09-9CE6-35CFF0DFE09F} 

========== Lista da pasta Program Files 

+- C:\Program Files 

2008-01-17 às 18:25:10 - Acid hide save 
2007-09-17 às 05:56:27 - Adobe 
2005-05-12 às 20:41:53 - Ahead 
2008-01-13 às 17:03:29 - InglesFacil.com 
2007-11-20 às 16:10:22 - AOL 
2007-11-19 às 08:20:39 - AOL 9.0 VR 
2007-11-15 às 18:43:52 - AOL 9.0 VRa 
2007-12-14 às 11:33:22 - AOL 9.0 VRb 
2007-08-20 às 13:15:16 - AOL Toolbar 
2007-11-05 às 06:45:35 - Apple Software Update 
2007-04-21 às 12:32:24 - ASUS 
2007-04-21 às 12:35:25 - ATI Technologies 
2007-04-21 às 12:29:56 - Avance Sound Manager 
2007-08-08 às 06:34:48 - Azureus 
2007-04-21 às 12:15:46 - ComPlus Applications 
2007-04-21 às 12:43:40 - CyberLink 
2007-04-21 às 12:58:09 - DivX 
2007-09-19 às 16:37:10 - FairUse Wizard 2 
2008-01-24 às 07:24:56 - Arquivos comuns 
2008-01-24 às 07:24:02 - Google 
2007-04-21 às 12:32:25 - Hewlett-Packard 
2007-08-12 às 06:12:46 - InstallShield Instalação Informação 
2008-01-24 às 06:39:59 - Internet Explorer 
2008-01-08 às 13:33:41 - Java 
2008-01-26 às 08:31:09 - Lavasoft 
2007-05-25 às 09:04:20 - Learn2.com 
2007-04-21 às 13:11:30 - Logitech 
2008-02-04 às 19:36:35 - Lopxp 
2007-12-19 às 19:30:04 - MediaInfo 
2007-11-25 às 11:55:14 - messenger 
2008-01-20 às 20:08:19 - MeuhMeuhTV 
2007-11-22 às 07:28:32 - Microsoft CAPICOM 2.1.0.2 
2007-04-21 às 12:20:04 - microsoft frontpage 
2007-04-21 às 13:03:03 - Microsoft Office 
2007-11-23 às 17:20:36 - Movie Maker 
2008-02-04 às 16:40:27 - Mozilla Firefox 
2007-04-21 às 12:15:32 - MSN 
2007-04-21 às 12:15:20 - MSN Gaming Zone 
2007-12-11 às 11:47:12 - MSN Messenger 
2008-02-04 às 17:09:29 - Navilog1 
2007-11-23 às 17:17:53 - NetMeeting 
2007-11-25 às 11:54:07 - Outlook Express 
2007-08-10 às 05:50:39 - Perenety 
2007-11-05 às 06:48:27 - QuickTime 
2007-05-10 às 07:53:39 - QuickZip4 
2007-05-21 às 08:22:19 - Real 
2007-10-06 às 06:29:38 - RegCleaner 
2007-04-21 às 12:17:54 - Services en ligne 
2007-09-20 às 13:24:31 - Skype 
2007-06-25 às 09:54:18 - SlySoft 
2008-01-02 às 12:58:24 - Spybot - Search & Destroy 
2008-02-03 às 07:12:05 - Trend Micro 
2007-04-21 às 12:24:44 - Uninstall Information 
2008-01-24 às 07:07:58 - VideoLAN 
2007-04-29 às 15:00:01 - Viewpoint 
2007-04-21 às 12:41:52 - vtplus 
2007-09-17 às 12:42:32 - Wambo.com Swapper 
2007-09-21 às 06:02:31 - Windows Live Toolbar 
2007-11-23 às 17:35:26 - Windows Media Player 
2007-11-23 às 17:17:47 - Windows NT 
2007-09-17 às 09:30:43 - WindowsUpdate 
2007-04-21 às 13:03:01 - WinRAR 
2008-01-16 às 20:34:28 - WinTV 
2007-04-21 às 12:20:04 - xerox 
2007-12-11 às 13:58:26 - Yahoo! 

========== Tarefas planejadas 

ADF73A1693E0B62A.job: c:\docume~1\isabelle\applic~1\acidhi~1\Nouninterknob.exe 
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task 
FRU Task #Hewlett-Packard#hp psc 1200 series#1177159191.job: C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1177159191" 

========== Chaves do registro 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"="C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe" 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"="C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe" 


========== Bloqueador de janelas pop-up Internet Explorer 

Nenhum site tem autorização para emitir janelas pop-up. 



========== Sugestão ( /!\ Precisa de interpretação) ========== 

C:\Documents and Settings\All Users\Application Data\Part title burn dvd 
C:\Documents and Settings\Isabelle\Application Data\Acid hide save 
C:\Program Files\Acid hide save 
C:\Program Files\MediaInfo 
C:\WINDOWS\tasks\ADF73A1693E0B62A.job 

+- Registro: 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"=- 




- Fim do relatório - 

Parte do relatório lopxp a ser analisada

O essencial do relatório a ser analisado fica na parte Sugestão ( /!\ Precisa de interpretação.), no final do mesmo :

========== Sugestão ( /!\ Precisa de interpretação) ========== 

C:\Documents and Settings\All Users\Application Data\Part title burn dvd 
C:\Documents and Settings\Isabelle\Application Data\Acid hide save 
C:\Program Files\Acid hide save 
C:\Program Files\MediaInfo 
C:\WINDOWS\tasks\ADF73A1693E0B62A.job 

+- Registro: 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"=- 




- Fim do relatório - 

Basta verificar se os arquivos detectados não são « falsos positivos » ! Ou seja, arquivos legítimos :
No nosso exemplo, podemos verificar que os arquivos (correspondentes aos arquivos no documents and settings, pastas no program files assim como a(s) tarefa(s) planejada(s)) foram instalados corretamente pelo Lop durante a aceitação e a instalação dos patrocinadores !

• Dica : como ter certeza de que os arquivos pertencem ao adawre lop ?
  • O segredo da remoção do lop consiste em localizar os arquivos criados na mesma data (no segundos – ou no minuto - seguintes) que o arquivo identificado no relatório hijackthis !
  • Para isto, veia uma dica bem prática ! Localize no relatório lopxp o arquivo que indica a presença do lop no relatório hijackthis, visto anteriormente, por exemplo :
    • O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
  • O que corresponde no relatório lopxp à :
    • +- C:\Documents and Settings\Isabelle\Application Data [...] 2008-01-17 à 18:25:49 - Acid hide save
  • Faça : Ctrl+F para efetuar uma busca rápida e colar na janela : a data, a hora e o minuto, ou seja :
    • 2008-01-17 às 18:25, clicar em Próximo e localizar, como foi dito acima, os arquivos, programas e tarefas planejados, criados na mesma data. Pronto ! é isso, com alguns cliques, você encontrará os arquivos ligados ao lop !

Modo de desinfecção

• Ir em : Iniciar > Executar e copiar/colar a seguinte linha, em negrito :
  • "%programfiles%\Lopxp\Lopxp.bat" /Fixme e validar,
• O modo fixo retomará todos os arquivos mencionados na parte « sugestão », do primeiro relatório criado.
• Para cada arquivoserá preciso aceitar (pressionar a tecla y) ou recusar (pressionar a tecla n) a remoção, para evitar qualquer erro de interpretação da parte « sugestão ».
• Os backups de cada remoção serão armazenados na pasta C:\Programfiles\Lopxp\Sauvegardes

Instruções sobre o Lop S&D (compatível com o windows XP eVista)

Preliminar

• Importante : se você tem o TeaTimer (o residente do Spybot), desative-o, se não ele vai atrapalhar a desinfecção, impedindo a alteração dos BHO e o reparo do registro.
  • Inicie o Spybot, clique em Modo, marque Modo avançado
  • À esquerda, clique em Ferramentas e em Residente
  • Desmarque a casa ao lado do Residente "TeaTimer" e saia do Spybot :

Nota importante :
Quando terminar a desinfecção ( nunca antes ! ), reativar o " TeaTimer " .

/!\ CUIDADO :

Neste momento, o " TeaTimer " do Spybot proporá , através de várias janelas pop-up, a aceitação ou não de alterações do registro ( que surgiram durante a desinfecção ) -> você deverá aceitá-las, todas, sem exceção !

Depois disso , permaneça vigilante quando o "TeaTimer" mandará alertas : só aceitar uma alteração, se souber de onde ela vem.

Detectar a infecção : opção 1 (Busca)

• Baixar Lop S&D do Eric71 no desktop.
• Clicar duas vezes no atalho Lop S&D criado para executar a instalação. (Clicar com o botão direito > Executar como administrador no Vista)
• Selecionar o idioma desejado e, escolher a opção 1 (Busca).
• Quando terminar a análise, salvar o relatório criado que sera localizado, por padrão, na raíz do disco : C:\lopR.txt.

Parte do relatório Lop S&D a ser analisado

• Este relatório tem 6 subpartes a serem analisadas sendo, 3 específicas para a detecção do adware lop</gras >, ou seja, as subpartes Busca com S_Lop <Ital />, <ital> Busca de Arquivos / Pastas Lop e Verificador do Registro fornecem informações sobre a presença de arquivos, pastas e chaves de registro associadas ao lop, a serem removidos, para neutralizar a infecção.
• As subpartes Verificação do arquivo Hosts, Busca de arquivos com o Catchme, Busca de outras infecções trarão informações adicionais, respectivamente, sobre eventuais corrupções do arquivo host, possíveis atividades de arquivos infectados ocultos e a presença, ou não, de outras infecções.

----------------------[ <gras>Busca com o  S_Lop ]---------------------

C:\ProgramData\BASH SKIP BORE.bsivpc
C:\ProgramData\City Eggs Eggs.4iyfia
C:\ProgramData\City Eggs Eggs.f8vnl
C:\ProgramData\City Eggs Eggs.flwszi
C:\ProgramData\City Eggs Eggs.gxv275
C:\ProgramData\City Eggs Eggs.pecatf
C:\ProgramData\City Eggs Eggs.tk1vjw
C:\ProgramData\City Eggs Eggs.udufwka
C:\ProgramData\City Eggs Eggs.vxrma
C:\ProgramData\City Eggs Eggs.xdchg9
C:\ProgramData\City Eggs Eggs.zgosk
C:\ProgramData\BASH SKIP BORE.bsivpc
C:\ProgramData\City Eggs Eggs.4iyfia
C:\ProgramData\City Eggs Eggs.flwszi
C:\ProgramData\City Eggs Eggs.gxv275
C:\ProgramData\City Eggs Eggs.pecatf
C:\ProgramData\City Eggs Eggs.udufwka
C:\ProgramData\City Eggs Eggs.xdchg9
C:\ProgramData\City Eggs Eggs.zgosk
C:\Users\Elsa\AppData\Local\Temp\bisB0F7.exe

-----------------[ Busca  de Arquivos / Pastas Lop ]-----------------

C:\ProgramData\city about store file
C:\ProgramData\city about store file\Online Find.exe
C:\Windows\Prefetch\ONLINE FIND.EXE-A03FA3C4.pf
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@www.adserver5[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@adin.bigpoint[2].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@bigpoint[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@fr1.seafight.bigpoint[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@banner.cotedazurpalace[2].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@cotedazurpalace[2].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@adopt.euroclick[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@fr1.seafight.bigpoint[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@32vegas[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@banner.32vegas[2].txt

----------------------[ Verificação do Registro ]----------------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Store file readme bash"="\"C:\\ProgramData\\BASH SKIP BORE.bsivpc\""
"Global Meet"="\"C:\\ProgramData\\City Eggs Eggs.vxrma\""

--------------------[  Verificação do arquivo Hosts ]---------------------

Arquivo Hosts LIMPO


----------------[ Busca de arquivos com o Catchme ]-----------------

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-18 22:14:57
Windows 6.0.6001 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------[ Busca de outras infecções ]---------------------


Nenhuma outra infecção foi encontrada !

[F:7205][D:584]-> C:\Users\Elsa\AppData\Local\Temp
[F:165][D:0]-> C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies
[F:5087][D:11]-> C:\Users\Elsa\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:9][D:6]-> C:\$Recycle.Bin

[ UAC => 1 ]

--------------------[ Fim do relatório às 22:17:03,72 ]----------------------

Observação : no resumo do relatório acima, as partes dedicadas à detecção da infecção dá um exemplo do destaque dado ao adware lop.

Modo de desinfecção : opção 2 (Remoção)

• Reiniciar o Lop S&D.
• Escolher a opção 2 ( Remoção )
• /!\ Não fechar a janela durante a remoção ! /!\
• Salvar o relatório criado no desktop, ele vai conter todos os elementos infectados que foram removidos.

Observação para o Vista :
/!\ Lop S&D reativa, sistematicamente, o controle das contas dos usuários (ou UAC) , logo na primeira vez .

• Assim sendo, os que quiserem ajudar, pensem em desativar o UAC se a desinfecção do PC não tiver terminada .

PS : esta particularidade também é válida para o seu primo, o ToolBar S&D .

Limpeza adicional

• Para eliminar as « porcarias » que restam :
  • 1. Baixar CCleaner :
  • Tutorial
  • 2. Baixar Malwarebytes' Anti-Malware :
  • Tutorial
  • 3. Scan online com Kaspersky Online Scanner.
  • Enfim, instale um firewall do tipo ZoneAlarm – se você já não tiver um !
• Para consultar :
  • Abertura de janelas pop-ups
  • Proteger um computador dos malwares da Internet

Artigo original publicado por green day