Làm thế nào để gỡ bỏ AntiVir Enhanced Protection Mode ra khỏi hệ thống.

Thứ sáu - 11/11/2011 20:42
Avira AntiVir Enhanced Protection Mode là chương trình giả mạo sản phẩm của Avira xuất hiện vào khoảng tháng 7.2011 đang hoành hành trên Internet như một giải pháp bảo vệ máy tính nhưng thực chất nó là một chương trình giả mạo không nằm trong danh sách sản phẩm...
Làm thế nào để gỡ bỏ AntiVir Enhanced Protection Mode ra khỏi hệ thống.
Avira AntiVir Enhanced Protection Mode là chương trình giả mạo sản phẩm của Avira xuất hiện vào khoảng tháng 7.2011 đang hoành hành trên Internet như một giải pháp bảo vệ máy tính nhưng thực chất nó là một chương trình giả mạo không nằm trong danh sách sản phẩm của Avira, hiện tại đã có mặt tại Việt Nam và đang lây nhiễm trên một số máy tính. Hôm nay, tác giả chia sẻ với bạn về thông tin về  Avira AntiVir Enhanced Protection Mode cũng cách loại bỏ nó ra khỏi hệ thống....


Nó tự động xâm nhập vào máy tính thông qua đường truyền tải trên các máy tính có kết nối mạng chia sẽ nội bộ, sử dụng giao thức kết nối Peer-to-Peer (P2P) hoặc thông các chương trình Drive-by Download và các công cụ truyền tải utorrent, Limewire hoặc Kaaa. Sau khi cài đặt thành công Avira AntiVir Enhanced Protection Mode trên hệ thống, nó sẽ xuất hiện cảnh báo giả mạo với nội dung như




Tạm dịch


"Chú ý!
Avira AntiVir hoạt động với chế độ bảo vệ nâng cao.
Đây là biện pháp cần thiết tạm thời để phản ứng ngay lập tức với các mối de doạ từ Virus.
Không cần sự can thiệp từ bạn."


 
Sau khi hiển thị thông báo Avira AntiVir Enhanced Protection Mode sẽ luôn trong tình trạng kết nối với Internet để cập nhật dữ liệu mới nhằm đánh lừa sự quan tâm của bạn vì cho rằng đang được sự bảo vệ hoàn hảo nhất từ AAEPM nhưng thực chất là nó đang kết nối máy tính với các trang Web nguy hiểm để tải Virus, Trojans, Spyware, Worms và Malware về máy tính để tự động cài đặt và lây nhiễm cũng như đánh cắp thông tin.

 

Nếu hệ thống đang trong tình trạng bị lây nhiễm hãy thực hiện các bước sau


Vô hiệu hoá các tiến trình đang chạy trong Task Manage > Process

%Users%\[UserName]\Downloads\OTS.exe
%Windows%\l1rezerv.exe
%Windows%\sysdriver32.exe
%Windows%\systemup.exe

Khởi động máy tính với chế độ Safe Mode with Networking


Tải RKill về lưu trên màn hình > Chạy tập tin rkill để tiêu diệt các tiến trình hoạt động của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm khác.


Tải Malwarebytes' Antimalware Free về lưu ngoài màn hình để dễ thao tác > đổi tên mabm-setup thành ie.exe hoặc firefox.exe để tránh việc ngăn chặn của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm khác đang hoạt động trên hệ thống > kích hoạt tập tin khởi động vừa đổi tên > quét kiểm tra hệ thống ở chế độ Perform full scan để loại bỏ các tiến trình cài đặt, đăng ký của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm đang hiện diện trên hệ thống.


Ngoài ra bạn cũng có thể tải SuperAntiSpyware Free về loại bó Avira AntiVir Enhanced Protection Mode và các phẩn tử nguy hiểm khác đang hiện diện trên hệ thống, nếu như không thích sử dụng Malwarebytes' AntiMalware.


 
Xoá bỏ các tiến trình đăng ký trong Registry Editor


HKEY_LOCAL_MACHINE\Software\Avira AntiVir Enhanced Protection Mode
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Avira AntiVir Enhanced Protection Mode"


Xoá bỏ các thư mục và tập tin cài đặt trên hệ thống


Windows Vista/7 : C:/ %Users%\[UserName]\Downloads\OTS.exe
Windows XP : C:/Documents and Settings/[User Name]/DownloadsOTS.exe

C:\WINDOWS\btc_client_iplist.txt
C:\WINDOWS\ddh_iplist.txt
C:\WINDOWS\front_ip_list.txt
C:\WINDOWS\geoiplist
C:\WINDOWS\geoiplist.rar
C:\WINDOWS\iecheck_iplist.txt
C:\WINDOWS\info1
C:\WINDOWS\iplist.txt
C:\WINDOWS\l1rezerv.exe
C:\WINDOWS\phoenix
C:\WINDOWS\phoenix.rar
C:\WINDOWS\proc_list1.log
C:\WINDOWS\rpcminer
C:\WINDOWS\rpcminer.rar
C:\WINDOWS\services32.exe
C:\WINDOWS\sysdriver32.exe
C:\WINDOWS\sysdriver32_.exe
C:\WINDOWS\systemup.exe
C:\WINDOWS\ufa
C:\WINDOWS\ufa.rar
C:\WINDOWS\unrar.exe
C:\WINDOWS\up-date.1
C:\WINDOWS\up-date.2
C:\WINDOWS\up-date.5.0
%Temp%\[SET OF RANDOM C-HARACTERS].exe


Sau khi thực hiện xong các bước trên tải một ứng dụng chống Virus về cài đặt, cập nhật dữ liệu mới nhất > thực hiện quét kiểm tra hệ thống ở chế độ quét sâu toàn ổ dĩa một lần nữa để loại bỏ các phần tử còn sót lại ở các lượt quét với RKill MalwareBytes AntiMalware.


Cách phòng chống


 
* Kích hoạt chức năng cập nhật tự động của Windows và Windows Office để có được các bản vá lỗ hổng bảo mật mới nhất.
* Cài đặt chương trình chống Virus và luôn luôn cập nhật dữ liệu mới nhất được cung cấp từ máy chủ của sản phẩm.
* Không nên truy cập vào các trang Web lạ, không nhấn vào bất kỳ liên kết tới các trang khác trong lúc lỡ truy cập.
* Kiểm tra an ninh cẩn thận mạng chia sẻ nội bộ.
* Cẩn thận với các liên kết, tập tin lạ đang tải về máy tính khi sử dụng giao thức kết nối ngang hàng Peer-to-Peer (P2P)

 
Đặc biệt cám ơn Jack, Edward, freeofvirus đã cung cấp thông tin để tác giả hoàn thành bài viết này.
 


Qduc.

Nguồn tin: http://xahoithongtin.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về NukeViet CMS

CMS là gì? CMS là từ viết tắt từ Content Management System. Theo wikipedia Định nghĩa. Hệ quản trị nội dung, cũng được gọi là hệ thống quản lý nội dung hay CMS (từ Content Management System của tiếng Anh) là phần mềm để tổ chức và tạo môi trường cộng tác thuận lợi nhằm mục đích xây dựng một hệ...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập106
  • Máy chủ tìm kiếm3
  • Khách viếng thăm103
  • Hôm nay8,146
  • Tháng hiện tại563,020
  • Tổng lượt truy cập99,513,195
Left-column advertisement
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây