aneb Přijeďte prosím, mně se tu ukázalo, že mám nějakýho vira, tak jsem dal ODSTRANIT a od té doby se nemůžu připojit na internet a nestahuje se mi pošta!

Přesně tuhle větu jsem slyšel v úterý v telefonu od zákazníka z jedné bohulibé instituce. Přijel jsem, zjistil jsem, že jde o new.net a zalomil jsem rukama, protože si moc dobře pamatuju, jak jsem kvůli němu dvakrát přeinsrtalovával Windows, než jsem zjistil, kde se bere a jak na něj. Naštěstí na jiném počítači tenhle šmejd neměli, takže jsem se mohl připojit a stáhnout to co potřebuju k odstranění.

Včera večer mi přišel mail se skoro stejnou prosbou — člověk chytil new.net, odstranil ho a zdechlo mu TCP/IP připojení.

Takže to vypadá, že se opět šíří. A protože si nikdo nemůže být jistý tím, u čeho se to objeví, tak tu mám Návod na nápravu škod po odstranění „viru” new.net!

Nejprve stručné představení: New.net není klasický vir. Je to šmejd, který je nejblíž kategorii zvané adware, neboli reklamní software. Nešíří se žádnými zákeřnými dírami v systému, ale je hezky přibalen k nějaké regulérní aplikaci, kterou si člověk dobrovolně stáhne a spustí. Já ho chytil před lety s přehrávačem videa RadLight (což mne docela důrazně poučilo o tom, jaké že freewary instalovat).

Jeho činnost není nijak nápadná ani výrazně destruktivní. Projevuje se např. tím, že „vyměňuje” reklamní bannery na stránkách. Máte-li reklamy potlačené, tak může new.net vesele vegetovat týdny, měsíce... Až ho jednoho krásného dne najde antivir a oznámí „Nalezen new.net, chcete ho odstranit?” Vyplašený uživatel klikne na „ANO” — a neštěstí je hotové.

New.net se totiž „zavrtává” do winsocks a stává se součástí cesty, kterou tečou data ze sítě. A pokud ho antivir nebo antiadware program odstraní, naruší tím integritu té „datové cesty” a je třeba ji obnovit.

K tomu slouží program LSPfix. Musíte si ho stáhnout (nemáte-li jiný počítač k dispozici, máte docela smůlu) a spustit. Objeví se dvě okýnka, v levém jsou součásti winsocks, které hodláte zachovat, v pravém jsou ty, které chcete odstranit. V levém uvidíte new.net — to je ten, který je potřeba zrušit. Klikněte na něj a tlačítkem >> jej přesuňte do okénka ke smazání.

(Nejde vám kliknout na tlačítko? Musíte nejprve označit okénko s nápisem I know what I'm doing, neboli Vím co dělám. Mimochodem — tohle okénko by mohlo být u většiny programů a u každého mailu s přílohou!)

Pak stačí kliknout na Finish a new.net je ze síťové vrstvy odstraněn. Zbývá ho už jen vyhodit z registrů. Restartujte do nouzového režimu, smažte záznam „HKLM/Software/Microsoft/Windows/CurrentVersion/Run/New.net startup” a z klíče „HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects” smažte podklíč '{DD770A75-CE18-11D5-98D8-00E018981B9E}' nebo '{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}' (podle verze new.net) Po dalším restartu by mělo být vše OK.

Můžete se podívat na originální návod na odstranění new.net v angličtině, ze kterého jsem čerpal.


PS: Už by antivirové firmy mohly vědět, že tenhle vir je třeba odstranit „fikaněji” a nenabízet proto prosté „smazání infikovaného souboru”.