.: Rychlé menu: navigace .:. odkazy .:. kategorie .:. vyhledávání .:. archivy .:. autoři :.  

04.02.2005



aneb Přijeďte prosím, mně se tu ukázalo, že mám nějakýho vira, tak jsem dal ODSTRANIT a od té doby se nemůžu připojit na internet a nestahuje se mi pošta!

Přesně tuhle větu jsem slyšel v úterý v telefonu od zákazníka z jedné bohulibé instituce. Přijel jsem, zjistil jsem, že jde o new.net a zalomil jsem rukama, protože si moc dobře pamatuju, jak jsem kvůli němu dvakrát přeinsrtalovával Windows, než jsem zjistil, kde se bere a jak na něj. Naštěstí na jiném počítači tenhle šmejd neměli, takže jsem se mohl připojit a stáhnout to co potřebuju k odstranění.

Včera večer mi přišel mail se skoro stejnou prosbou — člověk chytil new.net, odstranil ho a zdechlo mu TCP/IP připojení.

Takže to vypadá, že se opět šíří. A protože si nikdo nemůže být jistý tím, u čeho se to objeví, tak tu mám Návod na nápravu škod po odstranění „viru” new.net!

Nejprve stručné představení: New.net není klasický vir. Je to šmejd, který je nejblíž kategorii zvané adware, neboli reklamní software. Nešíří se žádnými zákeřnými dírami v systému, ale je hezky přibalen k nějaké regulérní aplikaci, kterou si člověk dobrovolně stáhne a spustí. Já ho chytil před lety s přehrávačem videa RadLight (což mne docela důrazně poučilo o tom, jaké že freewary instalovat).

Jeho činnost není nijak nápadná ani výrazně destruktivní. Projevuje se např. tím, že „vyměňuje” reklamní bannery na stránkách. Máte-li reklamy potlačené, tak může new.net vesele vegetovat týdny, měsíce... Až ho jednoho krásného dne najde antivir a oznámí „Nalezen new.net, chcete ho odstranit?” Vyplašený uživatel klikne na „ANO” — a neštěstí je hotové.

New.net se totiž „zavrtává” do winsocks a stává se součástí cesty, kterou tečou data ze sítě. A pokud ho antivir nebo antiadware program odstraní, naruší tím integritu té „datové cesty” a je třeba ji obnovit.

K tomu slouží program LSPfix. Musíte si ho stáhnout (nemáte-li jiný počítač k dispozici, máte docela smůlu) a spustit. Objeví se dvě okýnka, v levém jsou součásti winsocks, které hodláte zachovat, v pravém jsou ty, které chcete odstranit. V levém uvidíte new.net — to je ten, který je potřeba zrušit. Klikněte na něj a tlačítkem >> jej přesuňte do okénka ke smazání.

(Nejde vám kliknout na tlačítko? Musíte nejprve označit okénko s nápisem I know what I'm doing, neboli Vím co dělám. Mimochodem — tohle okénko by mohlo být u většiny programů a u každého mailu s přílohou!)

Pak stačí kliknout na Finish a new.net je ze síťové vrstvy odstraněn. Zbývá ho už jen vyhodit z registrů. Restartujte do nouzového režimu, smažte záznam „HKLM/Software/Microsoft/Windows/CurrentVersion/Run/New.net startup” a z klíče „HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects” smažte podklíč '{DD770A75-CE18-11D5-98D8-00E018981B9E}' nebo '{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}' (podle verze new.net) Po dalším restartu by mělo být vše OK.

Můžete se podívat na originální návod na odstranění new.net v angličtině, ze kterého jsem čerpal.


PS: Už by antivirové firmy mohly vědět, že tenhle vir je třeba odstranit „fikaněji” a nenabízet proto prosté „smazání infikovaného souboru”.


Zadal Arthur Dent, 04.02.2005 9:17:26, 8 komentářů...,
TrackBack URL tohoto příspěvku je http://blog.maly.cz/tb.php/1291

Zpět na článek

HotLinks
Zobrazit komentáře v chronologickém pořadí

trezor - noname (web)
(04.02.2005 11:12:41)

afaik antiviry nemažou, ale přesunují do virového trezoru, tj. lze jej vrátit z trezoru a pak už může člověk stahovat záplaty
    

Re: trezor - Arthur Dent (web)
(04.02.2005 16:25:15)

Tak zní teorie... Bohužel když jsem soubor vrátil a restartoval, tak to bylo totéž...
    


hmm - Ebo (web)
(04.02.2005 17:51:26)

..a takhle jak opravit zhroucené MS-Access ODBC ve windows XP , kde nejde ani odstranit a ani nainstalovat ..náhodou nevíš ? {big grin}
..mno .. stejně mi ty XPčka už jedou v brutálním zátěžovém testu 3 roky.. tak už maj nárok na reinstal.. chjo.. to zase bude něco..
    


v pohode - BigN (web)
(05.02.2005 15:09:58)

ja sem se toho zbavil lehce. v avg mi ho to naslo, tak sem ho odstranil a kouknul sem, kde to bylo nahrany. Shodou nahod to bylo v Program files/Newdotnet/. Tak sem to normalne regulerne odinstaloval a vsechno de. A to sem ani nevedel, ze new.net je nejakej vir. Mel sem hold stesti
    


no ne - griffin (web)
(06.02.2005 00:32:57)

zrovna tohle ted resi kamos, hned mu poslu link
    


 - Roj (web)
(06.02.2005 01:05:08)

Resej to cerstve i tady {smile}
[forum.czilla.cz/viewtopic.php?t=3520]
    


Diky - Mamlas (web)
(09.02.2005 07:08:28)

Přečtu článek, provedu kontrolu a zjistím, že je to aktuální i pro moje PC. Takže ještě jednou diky.
    


Díky za radu - O.K. (web)
(05.04.2005 14:29:12)

Díky za článek, přesně to jsem hledal a pomohlo to.
    
HotLinks
Zpět na článek