Como bloquear as janelas pop-ups CiD ?

Dezembro 2016

Assim que você abre uma página web, você é invadido pelas janelas publicitárias pop-ups chamadas CiD, te propondo downloads diversos e você, desesperado, fica sem saber o que fazer para se livrar delas? ... Essas janelas escondem, na verdade, a presença do adware Lop, responsável por esta propaganda inoportuna.


Este adware se instala durante a execução dos seguintes softwares (este é o pagamento em troca da gratuidade):

BitDownload
BitGrabber
BitRoll
BitTorrent Fastest Tool
C2Media
DivoCodec
DivoPlayer
DomPlayer
GalaPlayer
Get-Torrent
KitPlayer
NetPumper
PluginDL
Sponsor de Messenger Plus! Live
TorrentGamers
TorrentQ
TorrentSoftware
TorrentSpeeder
Torrent101
WinZix
3wPlayer

Moral da história: é preciso prestar muita atenção ao instalar um programa, pensando em ler bem o contrato de utilização que menciona, na maioria das vezes, a presença deste adware!

CiD fornece o software gratuitamente ou a preços reduzidos, em troca de seu acordo com a recepção de mensagens publicitárias e promocionais entregues pelo Cid e outros, para o seu computador, baseado, em parte, em
palavras-chave dos sites que você - ou qualquer outro usuário do computador - visita.

Conteúdos adicionais podem incluir: anúncios, promoções, links para outros sites ou outros documentos entregues ao seu computador que correspondem aos seus interesses, baseado, em parte, em palavras-chave encontradas nos sites que você visita. Obviamente, são publicidades inoportunas.

Com relação aos programas citados acima, é diferente por que, mesmo desinstalando o programa P2P você não conseguirá, obrigatoriamente, remover o patrocinador, pois este está escondido em um outro programa, chamado CiDhelp (ou CiD-qualquercoisa, em certos casos).

Observação: na maioria das vezes, a publicidade gerada pelo adware lop propõe, ela mesma, baixar outros programas gratuitos, como jogos, canais de televisão e rádio, etc, que, depois de baixados, instalarão outros malwares como: o navipromo, o dialer instant access, outros geradores de propagandas! Resultado: uma infecção «atrás da outra » levando a uma invasão geral de publicidades de tudo que é tipo!

Método 1 de desinfecção: remoção manual

Iniciar em modo de segurança, depois, vá no menu Iniciar e clique no Painel de controle . Escolha o módulo Adicionar/Remover programas.

Para os softwares P2P indicados acima, é preciso buscar e remover o patrocinador ligado ao CiD.

Remover os seguintes programas:

Cid help
Circle Developement
Adverts

Método 2 de desinfecção: utilizar um fix

Em geral, os antivírus ou anti spywares removem o Cidhelp e outros programas ligados diretamente ao Cid sem, por isso, neutralizar completamente a infecção lop.

Como reparar uma infecção lop em um relatório hijackthis?

O Lop é mapeado facilmente em um relatório do HijackThis, ele se manifesta em uma ou duas linhas em 04, indicando os arquivos que se situam no diretório documents and settings no Windows XP e no diretório ProgramData no Windows Vista.

(cf linhas em negrito no relatório abaixo)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:26, on 03/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\avast\aswUpdSv.exe
F:\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
F:\avast\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
F:\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\AOL\1177615087\ee\aolsoftware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe
c:\program files\fichiers communs\aol\1177615087\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1177615087\ee\aolsoftware.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\AOL 9.0 VRb\waol.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\AOL 9.0 VRb\shellmon.exe
C:\Program Files\Fichiers communs\AOL\Topspeed\3.0\aoltpsd3.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Wambo] C:\Program Files\Wambo.com Swapper\Swapper.exe -auto
O4 - HKLM\..\Run: [avast!] F:\avast\ashDisp.exe
O4 - HKLM\..\Run: [Burn Dvd Mail More] C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOL Fast Start] "C:\Program Files\AOL 9.0 VRb\AOL.EXE" -b
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = F:\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Event Reminder.lnk = F:\printmaster\PrintMaster\PMremind.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Mémento.lnk = C:\quickenw\billmind.exe
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21cb9066a6c66bf2f305/netzip/RdxIE601_fr.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{195C4FA1-DCFC-4F7B-A9F3-ECB0FA34FB18}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\avast\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O24 - Desktop Component 0: (no name) - http://tiles.xbox.com/...

Nota : exemplo de linhas hijackthis mostrando uma infecção numa plataforma vista :

O4 - HKLM\..\Run: [Save Dupe] "C:\ProgramData\sixth sect sect.ilrjji7"
O4 - HKLM\..\Run: [LESS CITY AMEN SETUP] "C:\ProgramData\Sixth Body Help.z6rat"


Observação: não é necessário usar o hijackthis para este tipo de infecção; ele só foi adicionado como um guia, para mostrar como reparar uma infecção lop a partir de um relatório hijackthis: Tutorial de utilização do Hijackthis

Instruções sobre o Lopxp (compatível com o windows 2000/XP)

Geralmente, para remover o adware lop, basta remover os arquivos contaminados!
Veja este pequeno programa, o lopxp, capaz de detectar e remover todos os arquivos, programas e tarefas planejados pelo adware lop, durante sua instalação.

A ferramenta Lopxp roda apenas no Windows 2000 e XP!

Preliminar

Se você tiver o TeaTimer (o residente do Spybot), desative-o para que ele não atrapalhe a desinfecção, impedindo a alteração dos BHO e o conserto do registro.

Inicie o Spybot, clique em Modo e assinale o Modo avançado. À esquerda, clique em Ferramentas e em Residente. Desmarque a caixa diante do Residente TeaTimer e saia do Spybot.

Quando terminar a desinfecção (nunca antes), reative o TeaTimer.
/!\ CUIDADO: nesta altura, o TeaTimer do Spybot proporá, através de várias janelas pop-ups, a aceitação ou não das alterações do registro (que surgiram durante a desinfecção) > você deveráaceitá-las, todas, sem exceção. Depois disso, permaneça vigilante quando o TeaTimer mandará alertas: só aceite uma alteração, se souber de onde ela vem.

Detectar a infecção

Baixe o Lopxp: (by Moe) e clique duas vezes em Lopxpsetup.exepara executar a instalação. No menu, escolha a opção 1. Espere o pedido para pressionar a tecla. Pressionar. O conteúdo do relatório está no: C:\Programfiles\Lopxp\cid.txt

Depois de baixado, Lopxp se instalará no C:\Programfiles\Lopxp

Opção 1: criar o relatório
Opção 2: deixar o programa
Opção 3: desinstalar o lopxp, eliminando a pasta C:\Programfiles\Lopxp e todo o seu conteúdo, assim como o atalho na área de trabalho.


Exemplo de um relatório mostrando uma infecção lop indicado na parte:
Relatório Lopxp feito em 04/02/2008 às 20:36:25  
Executdo no : C:\Program Files\Lopxp
Versão 3.04 - Atualizada em 03/02/2008

Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\iexplore.exe" (2512)
"C:\Program Files\Internet Explorer\iexplore.exe" (3164)
"C:\Program Files\Internet Explorer\iexplore.exe" -Embedding (2640)

========== Lista das pastas Application Data

+- C:\Documents and Settings\All Users\Application Data

2007-09-17 às 05:56:44 - Adobe
2007-12-13 às 15:18:04 - AOL
2007-12-13 às 15:13:02 - AOL Downloads
2007-04-29 às 15:00:12 - AOL OCP
2007-11-05 às 06:45:04 - Apple
2007-11-05 às 06:47:25 - Apple Computer
2007-08-12 às 06:15:18 - Broderbund Software
2007-04-21 às 12:43:41 - CyberLink
2007-06-25 às 05:12:50 - DVD Shrink
2007-04-22 às 09:01:28 - Google
2008-01-26 às 08:32:05 - Lavasoft
2007-08-20 às 13:16:49 - Macromedia
2007-06-21 às 17:45:52 - Microsoft
2008-01-17 às 18:25:32 - Part title burn dvd
2007-06-14 às 16:36:16 - QuickTime
2007-06-24 às 18:28:04 - SlySoft
2008-01-23 às 19:38:04 - Spybot - Search & Destroy
2007-04-29 às 15:00:01 - Viewpoint
2007-05-18 às 17:04:30 - Windows Genuine Advantage
2007-09-17 às 09:29:41 - Windows Live Toolbar
2007-04-22 às 20:25:14 - Yahoo!

+- C:\Documents and Settings\Isabelle\Application Data

2007-04-29 às 15:00:28 - acccore
2008-01-17 às 18:25:49 - Acid hide save
2008-02-02 às 16:45:04 - Adobe
2007-04-28 às 10:23:29 - AdobeUM
2007-12-13 às 15:17:44 - AOL
2007-11-19 às 18:52:05 - Apple Computer
2007-08-08 às 08:27:36 - Azureus
2007-10-09 às 06:01:01 - Buddi
2007-08-17 às 18:21:13 - EssentialPIM
2007-04-27 às 17:09:12 - Google
2007-06-21 às 08:44:30 - Help
2007-04-21 às 12:40:21 - Hewlett-Packard
2007-04-21 às 12:24:48 - Identities
2007-04-21 às 12:42:24 - InterTrust
2008-01-24 às 06:47:50 - kantaris
2007-05-05 às 14:33:08 - Leadertech
2007-04-22 às 14:46:00 - Macromedia
2007-12-30 às 18:17:04 - Microsoft
2008-01-24 às 07:57:51 - Mozilla
2007-05-21 às 08:26:25 - Real
2007-06-24 às 18:29:07 - SlySoft
2007-07-15 às 06:13:58 - Sony Corporation
2007-05-02 às 16:06:45 - Sun
2007-05-18 às 14:07:41 - U3
2008-01-24 às 07:00:56 - vlc
2007-05-25 às 09:04:20 - You've Got Pictures Screensaver

+- C:\Documents and Settings\Isabelle\Local Settings\Application Data

2007-05-05 às 14:36:15 - Adobe
2007-08-30 às 04:28:00 - Ahead
2007-08-21 às 08:01:14 - AOL
2007-04-29 às 15:00:03 - AOL OCP
2007-11-05 às 06:45:40 - Apple
2007-11-05 às 06:44:15 - Apple Computer
2007-07-08 às 15:21:21 - Ares
2007-06-22 às 06:02:05 - Glowria
2007-04-27 às 17:09:12 - Google
2007-06-21 às 08:44:30 - Help
2007-04-21 às 20:16:51 - Identities
2007-04-21 às 14:05:09 - Logitech-LS
2007-12-06 às 08:08:40 - Microsoft
2008-01-24 às 07:57:51 - Mozilla
2007-10-16 às 16:19:07 - Pando
2007-10-06 às 09:36:41 - {300ED5A9-6225-4D09-9CE6-35CFF0DFE09F}

========== Lista da pasta Program Files

+- C:\Program Files

2008-01-17 às 18:25:10 - Acid hide save
2007-09-17 às 05:56:27 - Adobe
2005-05-12 às 20:41:53 - Ahead
2008-01-13 às 17:03:29 - InglesFacil.com
2007-11-20 às 16:10:22 - AOL
2007-11-19 às 08:20:39 - AOL 9.0 VR
2007-11-15 às 18:43:52 - AOL 9.0 VRa
2007-12-14 às 11:33:22 - AOL 9.0 VRb
2007-08-20 às 13:15:16 - AOL Toolbar
2007-11-05 às 06:45:35 - Apple Software Update
2007-04-21 às 12:32:24 - ASUS
2007-04-21 às 12:35:25 - ATI Technologies
2007-04-21 às 12:29:56 - Avance Sound Manager
2007-08-08 às 06:34:48 - Azureus
2007-04-21 às 12:15:46 - ComPlus Applications
2007-04-21 às 12:43:40 - CyberLink
2007-04-21 às 12:58:09 - DivX
2007-09-19 às 16:37:10 - FairUse Wizard 2
2008-01-24 às 07:24:56 - Arquivos comuns
2008-01-24 às 07:24:02 - Google
2007-04-21 às 12:32:25 - Hewlett-Packard
2007-08-12 às 06:12:46 - InstallShield Instalação Informação
2008-01-24 às 06:39:59 - Internet Explorer
2008-01-08 às 13:33:41 - Java
2008-01-26 às 08:31:09 - Lavasoft
2007-05-25 às 09:04:20 - Learn2.com
2007-04-21 às 13:11:30 - Logitech
2008-02-04 às 19:36:35 - Lopxp
2007-12-19 às 19:30:04 - MediaInfo
2007-11-25 às 11:55:14 - messenger
2008-01-20 às 20:08:19 - MeuhMeuhTV
2007-11-22 às 07:28:32 - Microsoft CAPICOM 2.1.0.2
2007-04-21 às 12:20:04 - microsoft frontpage
2007-04-21 às 13:03:03 - Microsoft Office
2007-11-23 às 17:20:36 - Movie Maker
2008-02-04 às 16:40:27 - Mozilla Firefox
2007-04-21 às 12:15:32 - MSN
2007-04-21 às 12:15:20 - MSN Gaming Zone
2007-12-11 às 11:47:12 - MSN Messenger
2008-02-04 às 17:09:29 - Navilog1
2007-11-23 às 17:17:53 - NetMeeting
2007-11-25 às 11:54:07 - Outlook Express
2007-08-10 às 05:50:39 - Perenety
2007-11-05 às 06:48:27 - QuickTime
2007-05-10 às 07:53:39 - QuickZip4
2007-05-21 às 08:22:19 - Real
2007-10-06 às 06:29:38 - RegCleaner
2007-04-21 às 12:17:54 - Services en ligne
2007-09-20 às 13:24:31 - Skype
2007-06-25 às 09:54:18 - SlySoft
2008-01-02 às 12:58:24 - Spybot - Search & Destroy
2008-02-03 às 07:12:05 - Trend Micro
2007-04-21 às 12:24:44 - Uninstall Information
2008-01-24 às 07:07:58 - VideoLAN
2007-04-29 às 15:00:01 - Viewpoint
2007-04-21 às 12:41:52 - vtplus
2007-09-17 às 12:42:32 - Wambo.com Swapper
2007-09-21 às 06:02:31 - Windows Live Toolbar
2007-11-23 às 17:35:26 - Windows Media Player
2007-11-23 às 17:17:47 - Windows NT
2007-09-17 às 09:30:43 - WindowsUpdate
2007-04-21 às 13:03:01 - WinRAR
2008-01-16 às 20:34:28 - WinTV
2007-04-21 às 12:20:04 - xerox
2007-12-11 às 13:58:26 - Yahoo!

========== Tarefas planejadas

ADF73A1693E0B62A.job: c:\docume~1\isabelle\applic~1\acidhi~1\Nouninterknob.exe
AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task
FRU Task #Hewlett-Packard#hp psc 1200 series#1177159191.job: C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1177159191"

========== Chaves do registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Burn Dvd Mail More"="C:\Documents and Settings\All Users\Application Data\Part title burn dvd\once hope.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LOUD BURN"="C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe"

========== Bloqueador de janelas pop-ups Internet Explorer

Nenhum site tem autorização para emitir janelas pop-ups.

<bold>========== Sugestão ( /!\ Precisa de interpretação) ==========

C:\Documents and Settings\All Users\Application Data\Part title burn dvd
C:\Documents and Settings\Isabelle\Application Data\Acid hide save
C:\Program Files\Acid hide save
C:\Program Files\MediaInfo
C:\WINDOWS\tasks\ADF73A1693E0B62A.job

+- Registro:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Burn Dvd Mail More"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LOUD BURN"=-


- Fim do relatório -

Parte do relatório lopxp a ser analisada

O essencial do relatório a ser analisado fica na parte Sugestão ( /!\ Precisa de interpretação.), no final do mesmo :

========== Sugestão ( /!\ Precisa de interpretação) ==========

C:\Documents and Settings\All Users\Application Data\Part title burn dvd
C:\Documents and Settings\Isabelle\Application Data\Acid hide save
C:\Program Files\Acid hide save
C:\Program Files\MediaInfo
C:\WINDOWS\tasks\ADF73A1693E0B62A.job

+- Registro:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Burn Dvd Mail More"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LOUD BURN"=-

- Fim do relatório -


Basta verificar se os arquivos detectados não são falsos positivos Ou seja, arquivos legítimos: no nosso exemplo, podemos verificar que os arquivos (correspondentes aos arquivos no documents and settings, pastas no program files assim como a(s) tarefa(s) planejada(s)) foram instalados corretamente pelo Lop durante a aceitação e a instalação dos patrocinadores !

Dica: como ter certeza de que os arquivos pertencem ao adawre lop?

O segredo da remoção do lop consiste em localizar os arquivos criados na mesma data (no segundos ou no minuto - seguinte(s)) que o arquivo identificado no relatório hijackthis. Para isto, veia uma dica bem prática! Localize no relatório lopxp o arquivo que indica a presença do lop no relatório hijackthis, visto anteriormente, por exemplo:

O4 - HKCU\..\Run: [LOUD BURN] C:\DOCUME~1\Isabelle\APPLIC~1\ACIDHI~1\SoftwareStart.exe

O que corresponde no relatório lopxp à:

+- C:\Documents and Settings\Isabelle\Application Data [...] 2008-01-17 à 18:25:49 - Acid hide save

Faça: <Ctrl + F para efetuar uma busca rápida e colar na janela: a data, a hora e o minuto, ou seja :

2008-01-17 às 18:25, clicar em Próximo e localizar, como foi dito acima, os arquivos, programas e tarefas planejados, criados na mesma data. Pronto! É isso, com alguns cliques, você encontrará os arquivos ligados ao lop.

Modo de desinfecção

Vá em Iniciar > Executar e copiar/colar a seguinte linha, em negrito; "%programfiles%\Lopxp\Lopxp.bat" /Fixme e valide. O modo fixo retomará todos os arquivos mencionados na parte Sugestão, do primeiro relatório criado. Para cada arquivo será preciso aceitar (pressionar a tecla y) ou recusar (pressionar a tecla n) a remoção, para evitar qualquer erro de interpretação da parte Sugestão.

Os backups de cada remoção serão armazenados na pasta C:\Programfiles\Lopxp\Sauvegardes

Instruções sobre o Lop S&D (compatível com o windows XP eVista)

Preliminar

Se você tem o TeaTimer (o residente do Spybot), desative-o, para não atrapalhar a desinfecção, impedindo a alteração dos BHO e o conserto do registro. Inicie o Spybot, clique em Modo, marque Modo avançado à esquerda, clique em Ferramentas e em Residente. Desmarque a casa ao lado do Residente TeaTimer e saia do Spybot.

Quando terminar a desinfecção (nunca antes!), reativar o TeaTimer.

Nesta altura, o TeaTimer do Spybot proporá, através de várias janelas pop-ups, a aceitação ou não de alterações do registro (que surgiram durante a desinfecção). Você deverá aceitá-las, todas, sem exceção.

Depois disso, permaneça vigilante quando o TeaTimer mandará alertas: só aceite uma mudança, se souber de onde ela vem.

Detectar a infecção: opção 1 (Busca)

Baixe Lop S&D do Eric71 na área de trabalho. Clique duas vezes no atalho Lop S&D criado para executar a instalação. (Clicar com o botão direito > Executar como administrador no Vista). Selecione o idioma desejado e, escolher a opção 1 (Busca). Quando terminar a análise, salvar o relatório criado, que sera localizado, por padrão, na raíz do disco: C:\lopR.txt.

Parte do relatório Lop S&D a ser analisado

Este relatório tem 6 subpartes a serem analisadas sendo, 3 específicas para a detecção do adware lop</gras >, ou seja, as subpartes Busca com S_Lop, /Busca de Arquivos/Pastas Lop e Verificador do Registro fornecem informações sobre a presença de arquivos, pastas e chaves de registro associados ao lop, a ser removido, para neutralizar a infecção.

As subpartes Verificação do arquivo Hosts, Busca de arquivos com o Catchme, Busca de outras infecções trarão informações adicionais, respectivamente, sobre eventuais corrupções do arquivo host, possíveis atividades de arquivos infectados ocultos e a presença, ou não, de outras infecções.

----------------------[ <gras>Busca com o  S_Lop ]--------------------- 

C:\ProgramData\BASH SKIP BORE.bsivpc
C:\ProgramData\City Eggs Eggs.4iyfia
C:\ProgramData\City Eggs Eggs.f8vnl
C:\ProgramData\City Eggs Eggs.flwszi
C:\ProgramData\City Eggs Eggs.gxv275
C:\ProgramData\City Eggs Eggs.pecatf
C:\ProgramData\City Eggs Eggs.tk1vjw
C:\ProgramData\City Eggs Eggs.udufwka
C:\ProgramData\City Eggs Eggs.vxrma
C:\ProgramData\City Eggs Eggs.xdchg9
C:\ProgramData\City Eggs Eggs.zgosk
C:\ProgramData\BASH SKIP BORE.bsivpc
C:\ProgramData\City Eggs Eggs.4iyfia
C:\ProgramData\City Eggs Eggs.flwszi
C:\ProgramData\City Eggs Eggs.gxv275
C:\ProgramData\City Eggs Eggs.pecatf
C:\ProgramData\City Eggs Eggs.udufwka
C:\ProgramData\City Eggs Eggs.xdchg9
C:\ProgramData\City Eggs Eggs.zgosk
C:\Users\Elsa\AppData\Local\Temp\bisB0F7.exe

-----------------[ Busca de Arquivos/Pastas Lop ]-----------------

C:\ProgramData\city about store file
C:\ProgramData\city about store file\Online Find.exe
C:\Windows\Prefetch\ONLINE FIND.EXE-A03FA3C4.pf
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@www.adserver5[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@adin.bigpoint[2].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@bigpoint[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@fr1.seafight.bigpoint[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@banner.cotedazurpalace[2].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@cotedazurpalace[2].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@adopt.euroclick[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@fr1.seafight.bigpoint[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@32vegas[1].txt
C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies\elsa@banner.32vegas[2].txt

----------------------[ Verificação do Registro ]----------------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Store file readme bash"="\"C:\\ProgramData\\BASH SKIP BORE.bsivpc\""
"Global Meet"="\"C:\\ProgramData\\City Eggs Eggs.vxrma\""

--------------------[ Verificação do arquivo Hosts ]---------------------

Arquivo Hosts LIMPO

----------------[ Busca de arquivos com o Catchme ]-----------------

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-18 22:14:57
Windows 6.0.6001 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------[ Busca de outras infecções]---------------------

Nenhuma outra infecção foi encontrada !

[F:7205][D:584]-> C:\Users\Elsa\AppData\Local\Temp
[F:165][D:0]-> C:\Users\Elsa\AppData\Roaming\MICROS~1\Windows\Cookies
[F:5087][D:11]-> C:\Users\Elsa\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:9][D:6]-> C:\$Recycle.Bin

[ UAC => 1 ]

--------------------[ Fim do relatório às 22:17:03,72 ]----------------------


Observação : no resumo do relatório acima, as partes dedicadas à detecção da infecção dão um exemplo do destaque dado ao adware lop.

Modo de desinfecção : opção 2 (Remoção)

Reiniciar o Lop S&D e escolha a opção 2 (Remoção). Não feche a janela durante a remoção e salve o relatório criado na área de trabalho, ele vai conter todos os elementos infectados que foram removidos.


Observação para o Vista: Lop S&D reativa, sistematicamente, o controle das contas dos usuários (ou UAC), logo na primeira vez. Assim sendo, os que quiserem ajudar, pensem em desativar o UAC se a desinfecção do PC não tiver terminada .

PS: esta particularidade também é válida para o seu primo, o ToolBar S&D.

Limpeza adicional

Para eliminar os resíduos que restam:

1. Baixar CCleaner e Tutorial
2. Baixar Malwarebytes' Anti-Malware e Tutorial
3. Scan online com Kaspersky Online Scanner.

Enfim, instale um firewall do tipo ZoneAlarm se você já não tiver um !

Para consultar:

Abertura de janelas pop-ups
Proteger um computador dos malwares da Internet

Foto: © Pixaby

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 25 de outubro de 2016 às 12:34 por ninha25.
Este documento, intitulado 'Como bloquear as janelas pop-ups CiD ?', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.