FallenHawk
30/05/2005, 01:43 AM
As entradas do hijacker lop.com são extremamente aleatórias. Na maioria das vezes, parecem até mesmo ser legítimas devido a sua criatividade.
O Lop.com, em suas versões mais atuais, se instala no sistema através de Tarefas Agendadas que geralmente não podem ser vistas através do Painel de Controle. Identificar o Lop.com no HijackThis não é difícil: é um arquivo EXE dentro de uma pasta na pasta "Dados dos Aplicativos".
No Windows 2000/XP, essa pasta fica em:
C:\Documents and Settings\[usuario]\Dados de aplicativos
No Windows 9x/ME:
C:\WINDOWS\Application Data
Identificação
No HijackThis as entradas parecem algo do tipo:
| QUOTE |
O2 - BHO: (no name) - {6258A6EC-2AB5-26B5-A0E7-7A05DFA03714} - C:\DOCUME~1\ADMINI~1\DADOSD~1\ONCEPO~1\Okayknob.exe
O4 - HKCU\..\Run: [inside heart] C:\DOCUME~1\ADMINI~1\DADOSD~1\OPENDU~1\INTERCREATIVE.exe |
O nome da pasta dentro dos dados dos aplicativos, o arquivo EXE e o nome da entradas no Run são escolhidos entre uma lista gigante de nomes (o que geralmente fará com que você não encontre nada no Google sobre o arquivo). Note também que, diferente da maioria das entradas O2 que apontam para um arquivo DLL, o LOP sempre usa um EXE.
O log também pode apresentar entradas R0 e R1 com nomes completamente idiotas, como:
SoluçãoO pessoal da C2Media (empresa que faz o Lop.com) disponibiliza um desinstalador. Ele pode ser baixado através do link:
http://lop.com/new_uninstall.exeNote que o desinstalador é detectado como trojan por diversos antivírus. Se isso acontecer, desabilite o antivírus. O arquivo é perfeitamente seguro.
Se o desinstalador não funcionarSabemos que as versões mais novas do C2.lop/Lop.com não estão sendo completamente removidas pelo desinstalador. Nesse caso você deverá postar no fórum Remoção de Malware, pois é necessário identificar certos arquivos maliciosos para remover a praga manualmente.
Observações- Em raras ocasiões, a pasta Arquivos de Programas será usada ao invés da pasta Dados dos Aplicativos.
- O desinstalador deve ser executado em cada conta de usuário separadamente.
- Essa praga é instalada junto com o Messenger Plus!. Não é recomendado executar o desinstalador do Lop.com - nesse caso o correto é desinstalar o Messenger Plus! e reinstalá-lo sem o patrocínio.