|
Mezi nejrozšířenější phishingový e-mail patří v poslední době falešný e-mail od České pošty s výzvou na vyzvednutí zásilky. Jeho součástí je odkaz vedoucí na podvodnou doménu nikoli na oficiální stránky České pošty (www.ceskaposta.cz), na které je umístěn infikovaný soubor. Tento soubor sice vypadá jako dokument PDF, ale jedná se o spustitelný .exe soubor. Po jeho spuštění se vizuálně nic nestane, ale právě v tuto chvíli jste byli infikováni.
Bezpečnostní produkty ESET tzv. poštovní vir detekují jako Win32/Spy.Hesperbot. Protože se tato infiltrace načítá do operační paměti, není ji možné standardním způsobem odstranit v případě, že jste se infikovali nejnovější mutací tohoto viru, která ještě není zanesena ve virové databázi ESET. Pro ruční odstranění poštovního viru postupujte podle následujících kroků.
 |
Stiskněte klávesy Win + R a zadejte příkaz regedit.
|
 |
V Editoru registru přejděte na větev HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Mezi zobrazenými položkami uvidíte záznam s prapodivným název souboru, například wsadjgk, který odkazuje do umístění ve složce Documents and Settings nebo ProgramData.
|
 |
Poznámka:
V některých případech je cesta ke klíči v registru jiná, zkontrolujte tedy také větev HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
 |
Všechny podezřelé záznamy z registru vymažte kliknutím na daný záznam a stisknutím klávesy Delete.
|
 |
Následně si otevřete Průzkumník Windows (například stisknutím kláves Win + E) nebo jiného správce souborů a přejděte do zjištěných složek, ve kterých se nachází infekce.
Windows XP: C:\Documents and Settings\All Users\Data aplikací
Windows Vista a vyšší: C:\ProgramData
Následně vymažte všechny podezřelé složky (wsadjgk a podobně).
|
|
Poznámka:
Vytvořených záznamů a složek mohou být desítky, ale také stovky i tisíce.
|
 |
Po odstranění všech složek a záznamů z registru i pevného disku restartujte počítač.
|
Štítky: česká pošta, Hesperbot, poštovní vir,
| 