Actualizado: February 13, 2007 11:34:16 AM
Tipo: Adware
Versión: n/a
Creador: lop.com
Impacto del riesgo: High
Sistemas afectados: Windows

Comportamiento


Adware.Lop agrega su propia barra de herramientas y botón de búsquedas en Internet Explorer.

Síntomas


Su programa Symantec detecta Adware.Lop.

Transmisión


Este componente debe ser instalado o desinstalado manualmente como un componente de otro programa.

Fechas de protección antivirus

  • Versión inicial de Rapid Release October 02, 2014 revisión 022
  • Última versión de Rapid Release May 26, 2018 revisión 049
  • Versión inicial de Daily Certified September 29, 2003 revisión 002
  • Última versión de Daily Certified May 27, 2018 revisión 003
  • Fecha de lanzamiento inicial de Weekly Certified October 01, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Actualizado: February 13, 2007 11:34:16 AM
Tipo: Adware
Versión: n/a
Creador: lop.com
Impacto del riesgo: High
Sistemas afectados: Windows


Cuando Adware.Lop está instalado, realiza las siguientes acciones:

  1. Puede crear el archivo %Perfil de usuario%\Datos de programa\[Caracteres aleatorios].dll.

    Nota: %Perfil del usuario% es una variable que hace referencia a la carpeta del perfil del usuario que inició sesión en el equipo. En forma predefinida es C:\Documents and Settings\[Usuario] (Windows NT/2000/XP).
  2. Puede crear múltiples copias del siguiente archivo:

    %Archivos de programa%\[Nombre de carpeta aleatorio]\[Nombre de archivo aleatorio]

    Nota:
    %Archivos de programa% es una variable para hacer referencia a la carpeta Archivos de programa. Por defecto, se trata de C:\Program Files.
    [Nombre de carpeta aleatorio] y [Nombre de archivo aleatorio] están compuestos por palabras en inglés aleatorias como los siguientes:
    • team pure
    • bolt date book
    • OozeBind
    • Hold way amok
    • KEEP AXIS

  3. Agrega el archiva .dll como un Objeto de ayuda para navegación en el registro.
  4. Puede crear múltiples copias de los siguientes archivos:
    • %Windir%\[Nombre de archivo aleatorio].htm
    • %Windir%\[Nombre de archivo aleatorio].gif

      Nota: %Windir% es una variable para hacer referencia a la carpeta de instalación de Windows. (En forma predefinida es C:\Windows o C:\Winnt).

  5. Puede crear los siguientes archivos:
    • %Temp%\Delete.me\Xpp.idx
    • %Temp%\Delete.me\Tbt.idx

      Nota: %Temp% es una variable para hacer referencia a la carpeta de temporal de Windows. Predefinidamente, esta es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\Winnt\TEMP (Windows NT/2000).

  6. Agrega una barra de herramientas y un botón de búsqueda en Internet Explorer.
  7. Agrega uno de los valores

    "(Default)" = "%ProgramFiles%\[RANDOM FOLDER NAME]\[RANDOM FILE NAME]"
    "(Default)" = "%UserProfile%\Application Data\[RANDOM CHARACTERS].dll"

    a una de las siguientes subclaves de registro

    HKEY_CLASSES_ROOT\CLSID\[RANDOM CLSID]\InprocServer32
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[RANDOM CLSID]\InprocServer32


Actualizado: February 13, 2007 11:34:16 AM
Tipo: Adware
Versión: n/a
Creador: lop.com
Impacto del riesgo: High
Sistemas afectados: Windows


Las instrucciones siguientes pertenecen a todos los productos antivirus de Symantec que ofrezcan soporte la detección de riesgo a la seguridad.

  1. Actualice las definiciones de virus.
  2. Ejecute un análisis completo del sistema.
  3. Elimine cualquier valor agregado al registro de Windows.

Si necesita información sobre cómo llevar a cabo estos pasos, lea las instrucciones a continuación.


1. Para actualizar las definiciones de virus
Para obtener las definiciones más recientes, abra su programa de Symantec y ejecute LiveUpdate. Para obtener instrucciones detalladas por favor consulte el documento Cómo ejecutar LiveUpdate .


2. Para ejecutar un análisis en busca de virus
  1. Abra su programa antivirus de Symantec, y después ejecute un análisis completo del sistema. Tome nota de los nombres de archivos eliminados.
  2. Si se detectan archivos infectados, dependiendo de la versión de su programa, puede ver una o más de las opciones siguientes:

    Nota: Esto aplica solamente a las versiones del Norton AntiVirus que ofrecen soporte a la detección de riesgos a la seguridad. Si usted cuenta con una versión de Symantec AntiVirus Corporate Edition que ofrezca soporte la detección de riesgos a la seguridad, y la detección de riesgos a la seguridad se ha activado, usted verá solamente un cuadro de mensaje que reportará los resultados del análisis. Si usted no está seguro, póngase en contacto con su administrador de red.

    • Excluya (no recomendado): Si usted hace clic en este botón, hará que el riesgo ya no sea perceptible. Es decir, el programa antivirus mantendrá el riesgo a la seguridad en su equipo y no lo detectará más en posteriores análisis de su equipo.
    • Ignorar u omitir: Esta opción pide al explorador no hacer caso del riesgo sólo para este análisis. Será detectado la próxima vez que usted ejecute un análisis en busca de virus.
    • Cancelar: Esta opción es nueva en Norton Antivirus 2005. Se utiliza cuando Norton Antivirus 2005 ha determinado que no puede suprimir un riesgo a la seguridad. Esta opción de cancelar le pide al análisis no hacer caso del riesgo sólo para este análisis, y así, el riesgo será detectado la próxima vez que usted ejecute un análisis.

      Para suprimir realmente el riesgo a la seguridad:
      • Haga clic sobre el nombre del archivo (debajo de la columna del nombre de archivo).
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.
    • Eliminar: Esta opción tratará de eliminar los archivos detectados. En algunos casos, no podrá llevarse a acabo esta acción.
      • Si usted ve un mensaje, la "Eliminación falló" (o un mensaje similar), elimine manualmente el archivo.
      • Haga clic sobre el nombre del archivo del riesgo que está debajo de la columna del nombre del archivo.
      • En el cuadro información del elemento que aparece, anote la ruta completa del archivo y el nombre del archivo.
      • Después con el Explorador de Windows busque y elimine el archivo.

  3. Una vez que haya eliminado los archivos, reinicie el equipo en modo Normal y continúe con la siguiente sección.


Importante: Si no puede iniciar su producto antivirus Symantec o el producto reporta que no puede eliminar el archivo infectado, tendrá que detener los servicios de este riesgo para su equipo, para poderlo eliminar. Para hacer esto, realice un análisis de virus del equipo en Modo seguro. Si necesita instrucciones para hacerlo, consulte el documento Cómo iniciar su equipo en Modo seguro . Una vez que haya iniciado el equipo en Modo seguro, ejecute de nuevo un análisis en busca de virus.

Una vez que haya eliminado los archivos, reinicie el equipo en modo Normal y continúe con la siguiente sección.

Puede que se presenten mensajes de advertencia al momento de que reinicie el equipo, dado que el riesgo ha quedado eliminado en este momento. Por favor ignore esos mensajes y haga clic en Aceptar. Estos mensajes de error no volverán a presentarse posteriormente, una vez que haya completado las instrucciones de eliminación de este gusano. Los mensajes de error pueden ser similares a los siguientes:

Título: [FILE PATH]
Cuerpo del mensaje: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


3. Para eliminar los valores del Registro de Windows

Importante: Symantec recomienda insistentemente realizar una copia de respaldo del registro antes de efectuar cualquier cambio. Los cambios incorrectos en el registro pueden provocar pérdidas permanentes de datos o archivos dañados. Modifique sólo las claves que se indiquen. Lea el documento: Cómo hacer una copia de respaldo del registro de Windows .

  1. Haga clic en Inicio > Ejecutar.
  2. Escriba regedit

    A continuación, haga clic en Aceptar.

    Nota: Si el Editor del registro no se puede abrir, puede ser que el riesgo haya modificado el registro para evitar que sea accedido por medio del Editor. Security Response ha desarrollado una herramienta para resolver este problema. Descargue y ejecute esta herramienta, y después continúe con la remoción de la infección.

  3. Haga clic en Edición > Buscar.
  4. Introduzca los nombres identificados en el paso 2a.
  5. Haga clic en Buscar siguiente.

    Será dirigido a una de las siguientes subclaves:

    HKEY_CLASSES_ROOT\CLSID\[RANDOM CLSID]\InprocServer32
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[RANDOM CLSID]\InprocServer32

    contendrán uno de los valores:

    "(Default)" = "%ProgramFiles%\[RANDOM FOLDER NAME]\[RANDOM FILE NAME]"
    "(Default)" = "%UserProfile%\Application Data\[RANDOM CHARACTERS].dll"
  6. Tome nota del [CLSID aleatorio] en las subclaves de arriba.
  7. En el panel derecho, elimine cualquiera de los valores:

    "(Default)" = "%ProgramFiles%\[RANDOM FOLDER NAME]\[RANDOM FILE NAME]"
    "(Default)" = "%UserProfile%\Application Data\[RANDOM CHARACTERS].dll"
  8. Haga clic en Edición > Buscar.
  9. Inserte el [CLSID aleatorio] que se obtuvo en el paso 4f.
  10. Elimine las subclaves que encuentre.
  11. Salga del Editor del Registro.