W ostatnich czasach popularna staje się infekcja, która rozprzestrzenia się dzięki naiwności użytkowników Facebooka. Dostajemy wiadomość "Wanna laugh?" a następnie link do strony z filmikiem, który jednak do uruchomienia wymaga "aktualizacji programu Flash Player". Pobieramy rzekomą aktualizację z podsuniętego linka, a następnie instalujemy ją. Efekt? Mamy infekcję trojanem Koobface, a raczej jedną z jego odmian. Tracimy dostęp do serwisu Facebook (wirus blokuje ten adres) oraz zaczynamy sami wysyłać dziwne wiadomości do znajomych. Ponadto, na naszym komputerze zaczynają gościć inne wirusy. Pora jak najszybciej pozbyć się tej infekcji, a informacje jak to zrobić znajdziecie poniżej. Pamiętajcie jednak, że:

Zaprezentowane poniżej metody usuwania przypuszczalnie okażą się skutecznie. Tym niemniej, wirusy mają różne odmiany i w sytuacji gdy zainfekowaliśmy sobie komputer innym wariantem, bądź mamy oprócz usuwanego teraz wirusa inne infekcje, poniższe wskazówki mogą doprowadzić do pogorszenia się stanu systemu. Istnieje takie ryzyko, chociaż jest ono niewielkie. Dlatego, próby czyszczenia podejmujecie na własną odpowiedzialność. Jeśli ktoś boi się, proszę zgłosić się na forum, a udzielimy, możliwie najbardziej dopasowanej porady.

Na niektórych stronach internetowych umieszczono "porady" nakłaniające, aby do usunięcia tej infekcji użyć programu ComboFix. Tym niemniej, program ten NIE SŁUŻY do usuwania tak banalnych przypadków, bo wystarczająco radzą z nim sobie automatyczne skanery przedstawione poniżej. Nie używajcie ComboFix na własną rękę - to metoda tylko do załatwienia sobie systemu na amen! Nawet jego autor wprost mówi, żeby nie używać tego programu poza sytuacjami, gdy już nie ma wyjścia (dla znających angielski - TUTAJ jego wypowiedź, konkretniej pierwszy akapit posta).

Usuwanie infekcji:

1. Skanowanie programem Malwarebytes' Anti-Malware:


• pobieramy program z jego strony domowej, wchodząc TUTAJ, a następnie uruchamiamy jego instalator,


• w oknie instalatora postępujemy dokładnie tak, jak zaznaczono na obrazkach: obrazek 1 obrazek 2 obrazek 3 obrazek 4 obrazek 5 obrazek 6 obrazek 7 obrazek 8 obrazek 9 obrazek 10 (ważne, aby zaznaczyć obie wskazane na obrazku 10 opcje!).


• bezpośrednio po kliknięciu przycisku Zakończ rozpocznie się aktualizacja programu (obrazek 11), należy pozwolić jej dokończyć, a ewentualny komunikat o nowej wersji bazy potwierdzić - po zakończeniu tego procesu widzimy na ekranie główne okno programu,


• w głównym oknie zaznaczamy opcję Pełne skanowanie, a następnie klikamy w Skanuj (obrazek 12), po czym w dodatkowym okienku zaznaczamy ptaszkami wszystkie elementy, jakie zostaną wyświetlone (podobnie jak tutaj: obrazek 13), a następnie potwierdzamy kliknięciem w Skanuj,


• program rozpoczyna działanie, które należy po prostu przeczekać, wyświetlana jest liczba przeskanowanych i zainfekowanych obiektów (obrazek 14),


• gdy program zakończy skanowanie, wyskoczy okienko informujące o przejściu do listy zainfekowanych obiektów, które należy potwierdzić, po uczynieniu tego otrzymujemy listę znalezionych infekcji - podobną do tej na obrazku 15 - w niej musimy zaznaczyć wszystkie elementy, jakie zostaną znalezione przez program (tak jak widać na obrazku 15, nie zapominamy także przewinąć listy w dół, aby zaznaczyć naprawdę wszystkie znalezione elementy), a gdy to uczynimy, kliknąć w przycisk Usuń zaznaczone, pozwalając programowi zająć się infekcjami,


• gdy proces usuwania zakończy się, wyskoczą nam dwa okienka (obrazek 16 i obrazek 17), klikamy najpierw w to należące do Notatnika, gdyż zawiera log z pracy narzędzia i trzeba go zachować - tak jak pokazano to na obrazku 16, a następnie, gdy już zapiszemy plik z logiem w dogodnym miejscu, zatwierdzamy restart komputera, o który prosiło okienko z obrazka 17 - pozwólmy systemowi spokojnie wystartować.
2. Skanowanie programem Hitman Pro:


• pobieramy narzędzie Hitman Pro z jego strony domowej, dostępnej TUTAJ, klikając w jedno z dwóch zaznaczonych na obrazku 1 miejsc, w zależności od tego, jaka jest wersja bitowa naszego systemu (jeśli nie wiemy jak ją sprawdzić, zapraszam do spoilera poniżej), pobierając narzędzie dla wygody użytkowania na pulpit

Spoiler:

Sprawdzić wersję można w bardzo łatwy sposób, używając wbudowanego w Windows narzędzia Informacje o systemie. Uruchamia się go tak:
W systemie Windows XP:


1. Klikamy w menu Start, a następnie wybieramy opcję Uruchom (obrazek 1),
2. W puste pole wpisujemy msinfo32.exe i klikamy OK (obrazek 2)
3. W wyświetlonym oknie Informacji o systemie szukamy po prawej stronie pozycji Typ systemu i odczytujemy jaką ma ono wartość (zaznaczone na obrazku 3). Jeśli znajduje się tam ciąg znaków x86, mamy system 32-bitowy, a jeśli x64, to system 64-bitowy.

W systemie Windows Vista / Windows 7:


1. Klikamy w menu Start, a następnie w polu wyszukiwania wpisujemy msinfo32.exe po czym naciskamy na klawiaturze Enter (obrazek 4).
2. W oknie Informacji o systemie szukamy pola Typ systemu i odczytujemy jego wartość (obrazek 5). Jeśli widnieje tam wartość x86, mamy system 32-bitowy, a jeśli x64, to system 64-bitowy.

• gdy pobierzemy już plik narzędzia, uruchommy go, a następnie postępując według obrazków uruchommy skanowanie: obrazek 2 obrazek 3,


• gdy program rozpocznie pracę należy spokojnie dać mu skończyć, w czasie pracy podejrzane pliki zostaną sprawdzone ze skanerami w chmurze, a infekcje wyszczególnione w oknie (obrazek 4)


• to, że program zakończył pracę, możemy zaobserwować po zniknięciu paska postępu u góry okna, wtedy też zostanie uaktywniony przycisk Dalej u dołu okna, ale na razie nie będziemy się nim interesować, bo musimy prawidłowo ustawić akcje programu, w tym celu klikamy przy wyniku z czerwoną tarczą na akcję Usuń, z rozwijanego menu wybieramy Zastosuj do wszystkich i z podmenu Kwarantanna - tak jak pokazano na obrazku 5 (ważne!), a dopiero potem klikamy Dalej,


• program zapyta o aktywację licencji, kliknijmy w pole Aktywuj darmową licencję aby uzyskać licencję na 30 dni (obrazek 6) i następnie potwierdźmy komunikat o aktywacji licencji - odtąd możemy rozpocząć usuwanie - klikamy w Dalej tak długo, aż zobaczymy podobny ekran z tekstem Wyniki usuwania u góry (obrazek 7) - wtedy ponownie klikamy Dalej, aż dojdziemy do ekranu końcowego, z tekstem Wyniki,


• na ekranie wynikowym (obrazek 8) kliknijmy najpierw w Eksportuj wyniki skanowania do pliku XML (ważne!) (zaznaczone strzałką na rysunku), a następnie zapiszmy plik log.xml na pulpicie (celem podania na forum w razie jakichś komplikacji) i kliknijmy Zrestartuj (gdyby przycisk Zrestartuj nie był obecny, wystarczy kliknąć Zamknij, gdy się uaktywni, jak oznaczono zieloną strzałką na obrazku 8 - i przejść do punktu 3. całej instrukcji),


• po restarcie komputera w trakcie startu Windows pojawi się ekran programu Hitman Pro (obrazek 9) - przeczekujemy go i pozwalamy systemowi normalnie wystartować, czekając aż pojawi się pulpit, a gdy to się stanie, koniec zadania i można przejść do następnego punktu.
3. Przywrócenie domyślnego pliku hosts



Spoiler:

Otwierane przez nas strony internetowe mogą mieć postać ciągu liter (np. http://www.onet.pl) tylko dlatego, że istnieje cały system serwerów, tłumaczących nazwę literową strony na konkretny adres IP, jaki jest przypisany serwerowi, z którym należy się połączyć, aby adres tej strony wyświetlić. Gdy wpisujemy adres strony internetowej, system pyta tego systemu, jaki jest jej adres IP i dzięki temu możliwe jest połączenie. Niemniej jednak, w systemach Windows istnieje plik na dysku twardym, w którym można podać systemowi, jaki jest adres IP strony o konkretnej nazwie, co teoretycznie pozwala szybciej ją wczytać. Niestety, infekcja Koobface w pewnych wariantach tworzy fałszywy plik hosts, którym blokuje całkowicie dostęp do serwisu Facebook. Może też blokować dostęp do innych stron, np. producentów antywirusowych. Na wszelki wypadek przywrócimy domyślny plik hosts - użyjemy do tego automatycznego narzędzia od Microsoft.

• wchodzimy na stronę artykułu pomocy Microsoft: TUTAJ, a następnie klikamy w widoczny na stronie przycisk Fix it (jak zaznaczono na obrazku 1), aby pobrać narzędzie, które następnie zapisujemy w wygodnym miejscu,


• uruchamiamy narzędzie, a następnie postępujemy według obrazków: obrazek 2 obrazek 3 obrazek 4,


• gdy komputer uruchomi się, powinniśmy mieć już odblokowany dostęp do wszelkich stron i możemy przejść do następnych punktów.
4. Skanowanie narzędziem Kaspersky Virus Removal Tool

Narzędzie Kasperskiego to skaner antywirusowy z prawdziwego zdarzenia, z pełną bazą wirusów, którym będziemy w stanie wykryć zagrożenia znajdujące się na naszym dysku twardym, które przeoczył Malwarebytes Anti-Malware, tak jak i Hitman Pro (on akurat skanuje tylko niektóre obszary, te w których są aktywne wirusy). Z uwagi na proponowane przeze mnie poniżej ustawienia, skanowanie zajmie prawdopodobnie dużo dłużej, nawet kilka godzin. Niemniej warto go wykonać, aby pozbyć się z systemu aktywnych infekcji. Przechodzimy więc do uruchomienia:

• wchodzimy na stronę pobierania narzędzia, dostępną TUTAJ, a następnie pobieramy narzędzie według sposobu z obrazka 1 (wybierając język English oraz klikając w Download), zapisując je w dogodnym miejscu, a następnie uruchamiając,


• po uruchomieniu rozpoczyna się faza rozpakowywania narzędzia (obrazek 2), a następnie jego tymczasowa instalacja (obrazek 3) - należy spokojnie czekać na uruchomienie programu,


• gdy zobaczymy okienko jak na obrazku 4, zaznacz I accept the license agreement i klikamy Start,


• kiedy zobaczymy okienko jak na obrazku 5, narzędzie jest gotowe do pracy, ale trzeba je skonfigurować - klikamy więc na wskazane strzałką kółko zębate, aby wejść w ustawienia,


• w ustawieniach w otwartej sekcji Scan scope zaznaczamy wszystko co znajduje się po prawej stronie listy, każdy element musi być zaznaczony (jak pokazano na obrazku 6), gdy zakończymy zaznaczanie, przechodzimy na zakładkę Security level,


• na Security level klikamy w przycisk Settings, tak jak pokazano na obrazku 7, aż wyskoczy nam okienko dodatkowe, w którym zaznaczamy opcje All files, a następnie Parse email formats, a następnie wchodzimy na zakładkę Additional w tym okienku (jak pokazano na obrazku 8), na której przesuwamy suwak w kierunku Deep scan, a następnie zaznaczamy opcje Signature scan of vulnerabilities i opcję Deep scan (jak pokazano na obrazku 9 - to ważne, gdyż zwiększa wykrywalność narzędzia!), po wszystkim klikamy OK,


• w głównym oknie przechodzimy na zakładkę Actions, gdzie zaznaczamy opcję Select action i ODZNACZAMY opcję Disinfect, pozostawiając zaznaczoną Delete, a następnie przechodząc do sekcji Automatic scan (jak pokazano na obrazku 10),



UWAGA! Narzędzie będzie automatycznie i bezpowrotnie kasowało zainfekowane pliki!
Jeśli chcemy, aby najpierw próbowało oczyszczać pliki, zanim je usunie, nie odznaczajmy w powyższej wskazówce opcji Disinfect, zaznaczając tylko Select action.




• na zakładce Automatic scan klikamy przycisk Start scanning, aby rozpocząć proces skanu i leczenia, który potrwa przypuszczalnie dość długo (zależy to od ilości plików na naszym dysku), najlepiej więc proces ten rozpocząć na noc, a narzędzie lepiej zostawić w spokoju,


• w czasie skanowania w prawym dolnym rogu ekranu komputera będą pokazywać się informacje o skanowaniu, najczęściej na zielonym tle - to normalne i nie należy się tym niepokoić,


• zakończenie pracy narzędzia rozpoznamy po tym, że zniknie mały paseczek postępu, a w oknie pojawi się informacja completed (zakończono) z podanym czasem kiedy to nastąpiło - wtedy należy kliknąć w zaznaczony na obrazku strzałką obrazek kartki, aby otworzyć raport narzędzia (obrazek 11),


• gdy otworzymy raport, klikamy w zakładkę Detected threats i klikamy w przycisk Save (jak pokazano na obrazku 12), a następnie zapisujemy plik pod odpowiednią nazwą - raport z tego, co narzędzie usuwało może bardzo się przydać,


• gdy zapiszemy raport, narzędzie można zamknąć i to koniec pracy z usuwaniem tej infekcji. Na komputerze nie powinny już istnieć zainfekowane pliki.

Gdy zakończyliśmy usuwanie, warto pomyśleć o zabezpieczeniu systemu. Infekcja usuwana wyżej ma w niektórych odmianach tendencję do unieszkodliwiania programu antywirusowego - jeśli nasz antywirus nie jest w stanie wystartować, musimy go całkowicie odinstalować, a następnie zainstalować ponownie - lub wybrać lekką Pandę Cloud Antivirus z naszego tematu o ochronie komputera - polecam także wykonać stamtąd 4 i 5 - to pozwoli na solidniejsze niż dotąd zabezpieczenie systemu. Oraz aktualizacja oprogramowania do najnowszych wersji - w czym zdecydowanie pomocny będzie temat aktualizacyjny.

W razie potrzeby pomocy, zachęcam do zgłoszenia się na forum. Postaramy się pomóc.

(C) Piotr Kolasa, 2011.
Kopiowanie bez zgody autora zabronione.

Ostatnio edytowany przez pkolasa (2012-03-11 19:06:30)