¿Cómo bloquear ventanas emergentes cid?

En este artículo veremos como quitar las ventanas emergentes de publicidad que nos aparecen a algunos cuando navegamos en Internet. Estas ventanas, proponiendonos descargar programas o acceder a otras páginas, en realidad nos indican la presencia del adware Lop.





Este adware se instala cuando instalamos los siguientes programas, como una condición de su llamada «gratuidad»:

• Patrocinadores MSN plus!
• Bittorent
• BitDownload
• BitGrabber
• NetPumper
• BitRoll
• TorrentQ
• Torrent101
• ...

Importante: siempre hay que estar muy atentos al momento de instalar un programa, y sobre todo darnos el tiempo de leer el contrato de uso, que en la mayoria de los casos menciona la presencia de este adware!

MSN plus! es el único que pregunta explícitamente si se desea instalar al patrocinador (responsable de esta publicidad abusiva) y en el caso de que lo instalemos no permitirá desinstalarlo fácilmente.

Fragmento de las condiciones de uso del contrato, si se acepta instalar al patrocinador:

"POLITICA DE PROTECCION DE LA PRIVACIDAD"

CiD le provee un software gratuitamente o a un precio reducido a cambio de que acepte recibir mensajes publicitarios y promociónales enviados por CiD y terceros a su ordenador basados en parte en las palabras-claves de los sitios web que usted u otra persona que utiliza el ordenador visita.
El contenido complementario puede incluir publicidad, promociones, enlaces a sitios web de terceros u otras documentaciones enviadas a su ordenador que corresponden a temas de su interés, basados en parte en las palabras clave encontradas en los sitios web que visitó (...)"

La aceptacion de este contrato autorizará la aparición de publicidad emergente.

En el caso de los otros programas citados anteriormente, no es lo mismo, ya que desinstalando el programa P2P no conseguiremos eliminar al patrocinador, debido a que éste se encuentra oculto en otro programa llamado "CiDhelp" (o "CiD-algomás" en algunos casos).

Observación: por lo general, la publicidad generada por el adware lop nos pide bajar otros programas gratuitos, como juegos, canales de TV, radios etc, los que una vez bajados, instalarán a su vez otros malwares como: navipromo, dialer instant access … también generadores de publicidad!! Como resultado tendremos una infección en cadena que se traduce por una invasión de publicidad de todo tipo.

Método de desinfección Nro 1: Eliminación manual

Para una eliminación manual, sigue estos pasos:

• Inicias el PC en modo seguro
• Vas al menú Inicio
• Haces clic en Panel de control
• Haces doble clic en Agregar o quitar programas
• En el caso de Msn plus: tan solo hay que desinstalar al patrocinador:

• En el caso de los programas p2p mencionados líneas arriba: hay que buscar y eliminar al patrocinador asociado al CiD:
  • Elimina estos programas si los encuentras:
  • Cid help
  • Circle Developement
  • Adverts

==Método de desinfección Nro 2: utilizando un programa==

Por lo general, los antivirus y antispywares se encargan de eliminar Cidhelp y otros programas relacionados directamente a Cid, pero no neutralizan completamente la infección lop.

¿Cómo identificar una infección debida al adware lop en un reporte hijackthis?

Es muy fácil identificar al adware.lop en un reporte hijackthis. Bajo Windows XP, éste aparece en una linea o incluso 2 lineas conteniendo archivos localizados en la carpeta "documents and settings" y en la carpeta ProgramData bajo Windows Vista

(las líneas en negrita del siguiente reporte)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:26, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\avast\aswUpdSv.exe
F:\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
F:\avast\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Archivos comunes\AOL\1177615087\ee\aolsoftware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Archivos comunes\AOL\ACS\AOLacsd.exe
c:\program files\archivos comunes\aol\1177615087\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\archivos comunes\aol\1177615087\ee\aolsoftware.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\AOL 9.0 VRb\waol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\AOL 9.0 VRb\shellmon.exe
C:\Program Files\Archivos comunes\AOL\Topspeed\3.0\aoltpsd3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Ayuda para el enlace de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Archivoscomunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wambo] C:\Program Files\Wambo.com Swapper\Swapper.exe -auto
O4 - HKLM\..\Run: [avast!] F:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Burn Dvd Mail More] C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LOUD BURN] C:\Documents and Settings\Isabel\APPLIC~1\ACIDHI~1\SoftwareStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Herramienta de deteccion de soporte Picture Motion Browser.lnk = F:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Event Reminder.lnk = F:\printmaster\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Mémento.lnk = C:\quickenw\billmind.exe
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Busqueda - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21cb9066a6c66bf2f305/netzip/RdxIE601_fr.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{195C4FA1-DCFC-4F7B-A9F3-ECB0FA34FB18}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\avast\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://tiles.xbox.com/...

Nota: ejemplo de entradas en hijackthis conteniendo una infección bajo Windows Vista:

O4 - HKLM\..\Run: [Save Dupe] "C:\ProgramData\sixth sect sect.ilrjji7"
O4 - HKLM\..\Run: [LESS CITY AMEN SETUP] "C:\ProgramData\Sixth Body Help.z6rat"


Observación: el uso de hijackthis para este tipo de infección no es necesario, solamente ha sido adicionado a modo de ejemplo para saber identificar una infección lop en un reporte hijackthis
Manual de hijackthis

Utilizar el programa Lopxp (windows 2000/XP)

Por lo general, para eliminar el adaware lop, tan solo hay que eliminar los archivos asociados a la infección.
Aquí un pequeño programa llamado lopxp capaz de detectar y eliminar todos los archivos, programas y tareas planificadas instalados por el adware lop.

Unicamente funciona bajo Windows 2000, XP!

• Descarga Lopxp: (de Moe):
• Haz doble clic en Lopxpsetup.exe para iniciar la instalación
• En el menú, selecciona la opción 1
• Espera hasta que te pidan presionar una tecla y presionala
• El contenido del informe estará en: C:\Programfiles\Lopxp\cid.txt

Una vez descargado, Lopxp se instalará en C:\Programfiles\Lopxp

• Opción 1: generar un reporte
• Opción 2: quitar el programa
• Opción 3: desinstalar lopxp, eliminando la carpeta C:\Programfiles\Lopxp y todo su contenido, así como el acceso directo del escritorio.

Ejemplo de un reporte poniendo en evidencia una infección lop, en la sección Suggestion del mismo:

Informe Lopxp realizado el 04/02/2008 a 20:36:25 
Ejecutado en: C:\Program Files\Lopxp 
Version 3.04 - Maj del 03/02/2008 

Killing 'iexplore.exe' 
"C:\Program Files\Internet Explorer\iexplore.exe" (2512) 
"C:\Program Files\Internet Explorer\iexplore.exe" (3164) 
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding (2640) 


========== Listing de las carpetas Application Data 

+- C:\Documents and Settings\All Users\Application Data 

2007-09-17 a 05:56:44 - Adobe 
2007-12-13 a 15:18:04 - AOL 
2007-12-13 a 15:13:02 - AOL Downloads 
2007-04-29 a 15:00:12 - AOL OCP 
2007-11-05 a 06:45:04 - Apple 
2007-11-05 a 06:47:25 - Apple Computer 
2007-08-12 a 06:15:18 - Broderbund Software 
2007-04-21 a 12:43:41 - CyberLink 
2007-06-25 a 05:12:50 - DVD Shrink 
2007-04-22 a 09:01:28 - Google 
2008-01-26 a 08:32:05 - Lavasoft 
2007-08-20 a 13:16:49 - Macromedia 
2007-06-21 a 17:45:52 - Microsoft 
2008-01-17 a 18:25:32 - Part title burn dvd 
2007-06-14 a 16:36:16 - QuickTime 
2007-06-24 a 18:28:04 - SlySoft 
2008-01-23 a 19:38:04 - Spybot - Search & Destroy 
2007-04-29 a 15:00:01 - Viewpoint 
2007-05-18 a 17:04:30 - Windows Genuine Advantage 
2007-09-17 a 09:29:41 - Windows Live Toolbar 
2007-04-22 a 20:25:14 - Yahoo! 

+- C:\Documents and Settings\Isabel\Application Data 

2007-04-29 a 15:00:28 - acccore 
2008-01-17 a 18:25:49 - Acid hide save 
2008-02-02 a 16:45:04 - Adobe 
2007-04-28 a 10:23:29 - AdobeUM 
2007-12-13 a 15:17:44 - AOL 
2007-11-19 a 18:52:05 - Apple Computer 
2007-08-08 a 08:27:36 - Azureus 
2007-10-09 a 06:01:01 - Buddi 
2007-08-17 a 18:21:13 - EssentialPIM 
2007-04-27 a 17:09:12 - Google 
2007-06-21 a 08:44:30 - Help 
2007-04-21 a 12:40:21 - Hewlett-Packard 
2007-04-21 a 12:24:48 - Identities 
2007-04-21 a 12:42:24 - InterTrust 
2008-01-24 a 06:47:50 - kantaris 
2007-05-05 a 14:33:08 - Leadertech 
2007-04-22 a 14:46:00 - Macromedia 
2007-12-30 a 18:17:04 - Microsoft 
2008-01-24 a 07:57:51 - Mozilla 
2007-05-21 a 08:26:25 - Real 
2007-06-24 a 18:29:07 - SlySoft 
2007-07-15 a 06:13:58 - Sony Corporation 
2007-05-02 a 16:06:45 - Sun 
2007-05-18 a 14:07:41 - U3 
2008-01-24 a 07:00:56 - vlc 
2007-05-25 a 09:04:20 - You've Got Pictures Screensaver 

+- C:\Documents and Settings\Isabelle\Local Settings\Application Data 

2007-05-05 a 14:36:15 - Adobe 
2007-08-30 a 04:28:00 - Ahead 
2007-08-21 a 08:01:14 - AOL 
2007-04-29 a 15:00:03 - AOL OCP 
2007-11-05 a 06:45:40 - Apple 
2007-11-05 a 06:44:15 - Apple Computer 
2007-07-08 a 15:21:21 - Ares 
2007-06-22 a 06:02:05 - Glowria 
2007-04-27 a 17:09:12 - Google 
2007-06-21 a 08:44:30 - Help 
2007-04-21 a 20:16:51 - Identities 
2007-04-21 a 14:05:09 - Logitech-LS 
2007-12-06 a 08:08:40 - Microsoft 
2008-01-24 a 07:57:51 - Mozilla 
2007-10-16 a 16:19:07 - Pando 
2007-10-06 a 09:36:41 - {300ED5A9-6225-4D09-9CE6-35CFF0DFE09F} 

========== Listing de la carpeta Program Files 

+- C:\Program Files 

2008-01-17 a 18:25:10 - Acid hide save 
2007-09-17 a 05:56:27 - Adobe 
2005-05-12 a 20:41:53 - Ahead 
2008-01-13 a 17:03:29 - AnglaisFacile.com 
2007-11-20 a 16:10:22 - AOL 
2007-11-19 a 08:20:39 - AOL 9.0 VR 
2007-11-15 a 18:43:52 - AOL 9.0 VRa 
2007-12-14 a 11:33:22 - AOL 9.0 VRb 
2007-08-20 a 13:15:16 - AOL Toolbar 
2007-11-05 a 06:45:35 - Apple Software Update 
2007-04-21 a 12:32:24 - ASUS 
2007-04-21 a 12:35:25 - ATI Technologies 
2007-04-21 a 12:29:56 - Avance Sound Manager 
2007-08-08 a 06:34:48 - Azureus 
2007-04-21 a 12:15:46 - ComPlus Applications 
2007-04-21 a 12:43:40 - CyberLink 
2007-04-21 a 12:58:09 - DivX 
2007-09-19 a 16:37:10 - FairUse Wizard 2 
2008-01-24 a 07:24:56 - Fichiers communs 
2008-01-24 a 07:24:02 - Google 
2007-04-21 a 12:32:25 - Hewlett-Packard 
2007-08-12 a 06:12:46 - InstallShield Installation Information 
2008-01-24 a 06:39:59 - Internet Explorer 
2008-01-08 a 13:33:41 - Java 
2008-01-26 a 08:31:09 - Lavasoft 
2007-05-25 a 09:04:20 - Learn2.com 
2007-04-21 a 13:11:30 - Logitech 
2008-02-04 a 19:36:35 - Lopxp 
2007-12-19 a 19:30:04 - MediaInfo 
2007-11-25 a 11:55:14 - messenger 
2008-01-20 a 20:08:19 - MeuhMeuhTV 
2007-11-22 a 07:28:32 - Microsoft CAPICOM 2.1.0.2 
2007-04-21 a 12:20:04 - microsoft frontpage 
2007-04-21 a 13:03:03 - Microsoft Office 
2007-11-23 a 17:20:36 - Movie Maker 
2008-02-04 a 16:40:27 - Mozilla Firefox 
2007-04-21 a 12:15:32 - MSN 
2007-04-21 a 12:15:20 - MSN Gaming Zone 
2007-12-11 a 11:47:12 - MSN Messenger 
2008-02-04 a 17:09:29 - Navilog1 
2007-11-23 a 17:17:53 - NetMeeting 
2007-11-25 a 11:54:07 - Outlook Express 
2007-08-10 a 05:50:39 - Perenety 
2007-11-05 a 06:48:27 - QuickTime 
2007-05-10 a 07:53:39 - QuickZip4 
2007-05-21 a 08:22:19 - Real 
2007-10-06 a 06:29:38 - RegCleaner 
2007-04-21 a 12:17:54 - Services en ligne 
2007-09-20 a 13:24:31 - Skype 
2007-06-25 a 09:54:18 - SlySoft 
2008-01-02 a 12:58:24 - Spybot - Search & Destroy 
2008-02-03 a 07:12:05 - Trend Micro 
2007-04-21 a 12:24:44 - Uninstall Information 
2008-01-24 a 07:07:58 - VideoLAN 
2007-04-29 a 15:00:01 - Viewpoint 
2007-04-21 a 12:41:52 - vtplus 
2007-09-17 a 12:42:32 - Wambo.com Swapper 
2007-09-21 a 06:02:31 - Windows Live Toolbar 
2007-11-23 a 17:35:26 - Windows Media Player 
2007-11-23 a 17:17:47 - Windows NT 
2007-09-17 a 09:30:43 - WindowsUpdate 
2007-04-21 a 13:03:01 - WinRAR 
2008-01-16 a 20:34:28 - WinTV 
2007-04-21 a 12:20:04 - xerox 
2007-12-11 a 13:58:26 - Yahoo! 

========== Tareas planificadas 

ADF73A1693E0B62A.job: c:\docume~1\isabelle\applic~1\acidhi~1\Nouninterknob.exe 
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task 
FRU Task #Hewlett-Packard#hp psc 1200 series#1177159191.job: C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1177159191" 

========== Claves del registro 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"="C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe" 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"="C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe" 


========== Bloquear popups Internet Explorer 

Ningún sitio autorizado a emitir popups. 


========== Suggestion ( /!\ Necesita una interpretación.) ========== 

C:\Documents and Settings\All Users\Application Data\Part title burn dvd 
C:\Documents and Settings\Isabelle\Application Data\Acid hide save 
C:\Program Files\Acid hide save 
C:\Program Files\MediaInfo 
C:\WINDOWS\tasks\ADF73A1693E0B62A.job 

+- Registre: 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"=- 




- Fin del informe - 

Sección del reporte lopxp que se debe analizar

La parte del reporte que necesita un analisis cuidadoso es la sección Suggestion, ubicada al final del reporte:

========== Suggestion ( /!\ Necesita una interpretación.) ========== 
C:\Documents and Settings\All Users\Application Data\Part title burn dvd 
C:\Documents and Settings\Isabelle\Application Data\Acid hide save 
C:\Program Files\Acid hide save 
C:\Program Files\MediaInfo 
C:\WINDOWS\tasks\ADF73A1693E0B62A.job 

+- Registre: 

REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Burn Dvd Mail More"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LOUD BURN"=- 




- Fin del informe - 

Deberemos asegurarnos que los archivos detectados no sean archivos legítimos:
En nuestro ejemplo, sólo hemos verificado que los archivos (archivos dentro de documents and settings, carpetas dentro de program files así como la tarea o tareas planificadas) han sido instalados por Lop al momento de aceptar la instalación de los patrocinadores.

• Un truco: ¿cómo estar seguros de que los archivos pertenecen al adawre lop?
  • Lo único que debemos hacer es identificar los archivos creados en la misma fecha (en los segundos o minutos que siguen) que la del archivo identificado en el reporte hijackthis.
  • Para ello, ubica en el reporte de lopxp el archivo que aparece en el reporte hijackthis que vimos anteriormente y que indica la presencia del adaware lop, por ejemplo:
• O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
  • Lo que corresponde en el reporte de lopxp a:
• +- C:\Documents and Settings\Isabelle\Application Data [...]2008-01-17 a 18:25:49 - Acid hide save
  • Presiona Ctrl+F para efectuar una búsqueda rápida y pega en la ventana la fecha, la hora y el minuto, o sea:
    • 2008-01-17 a 18:25, haz clic en siguiente y ubica como dijimos anteriormente los archivos, programas y tareas planificadas creados en la misma fecha. Y listo! de este modo encontrarás en unos cuantos clics los archivos asociados al adaware lop.

Modo de desinfección

• Ve a: Inicio > Ejecutar luego copia y pega la siguiente línea en negrita:
  • "%programfiles%\Lopxp\Lopxp.bat" /Fixme luego haz clic en Aceptar,
• El modo fixe retomará todos los archivos que aparecen en la sección Suggestion del 1er reporte generado.
• Para cada archivo, será necesario aceptar (presionar la tecla y) o rechazar (presionar la tecla n) la eliminación a fin de evitar cualquier error de interpretación de la sección Suggestion.
• Las copias de respaldo de los archivos eliminados serán almacenados en la carpeta C:\Programfiles\Lopxp\Backups

Limpieza complementaria

• Haz una limpieza complementaria para eliminar los bichos que puedan quedar:
  • 1. ccleaner:
  • método de desinfección
  • 2. AVG anti spyware:
  • tutorial en inglés
  • 3. clean.zip (de Malekal_morte):
  • Descomprime el archivo en el directorio (clic derecho / extraer todo), a fin de obtener una carpeta llamada clean.
  • Abre la carpeta Clean que se encuentra en el escritorio y haz doble-clic en clean.cmd.
  • Una ventana negra aparecerá, selecciona la opción 1, se creará un reporte en la raíz: C:\rapport_clean.txt, si los archivos infectados han sido detectados, puedes pasar a la opción 2 en modo seguro.
  • 4. Haz un scan en línea con BitDefender (únicamente en Internet Explorer):
  • Finalmente, instala un firewall como por ejemplo ZoneAlarm
• Ver:
  • Apertura de ventanas publicitarias en Internet
  • Seguridad proteger un ordenador contra les malwares de Internet

PD: El artículo original fue escrito por green day, contribuidor de CommentCaMarche