Làm thế nào để gỡ bỏ AntiVir Enhanced Protection Mode ra khỏi hệ thống.

Thứ bảy - 12/11/2011 08:42
Avira AntiVir Enhanced Protection Mode là chương trình giả mạo sản phẩm của Avira xuất hiện vào khoảng tháng 7.2011 đang hoành hành trên Internet như một giải pháp bảo vệ máy tính nhưng thực chất nó là một chương trình giả mạo không nằm trong danh sách sản phẩm...
Làm thế nào để gỡ bỏ AntiVir Enhanced Protection Mode ra khỏi hệ thống.
Avira AntiVir Enhanced Protection Mode là chương trình giả mạo sản phẩm của Avira xuất hiện vào khoảng tháng 7.2011 đang hoành hành trên Internet như một giải pháp bảo vệ máy tính nhưng thực chất nó là một chương trình giả mạo không nằm trong danh sách sản phẩm của Avira, hiện tại đã có mặt tại Việt Nam và đang lây nhiễm trên một số máy tính. Hôm nay, tác giả chia sẻ với bạn về thông tin về  Avira AntiVir Enhanced Protection Mode cũng cách loại bỏ nó ra khỏi hệ thống....


Nó tự động xâm nhập vào máy tính thông qua đường truyền tải trên các máy tính có kết nối mạng chia sẽ nội bộ, sử dụng giao thức kết nối Peer-to-Peer (P2P) hoặc thông các chương trình Drive-by Download và các công cụ truyền tải utorrent, Limewire hoặc Kaaa. Sau khi cài đặt thành công Avira AntiVir Enhanced Protection Mode trên hệ thống, nó sẽ xuất hiện cảnh báo giả mạo với nội dung như




Tạm dịch


"Chú ý!
Avira AntiVir hoạt động với chế độ bảo vệ nâng cao.
Đây là biện pháp cần thiết tạm thời để phản ứng ngay lập tức với các mối de doạ từ Virus.
Không cần sự can thiệp từ bạn."


 
Sau khi hiển thị thông báo Avira AntiVir Enhanced Protection Mode sẽ luôn trong tình trạng kết nối với Internet để cập nhật dữ liệu mới nhằm đánh lừa sự quan tâm của bạn vì cho rằng đang được sự bảo vệ hoàn hảo nhất từ AAEPM nhưng thực chất là nó đang kết nối máy tính với các trang Web nguy hiểm để tải Virus, Trojans, Spyware, Worms và Malware về máy tính để tự động cài đặt và lây nhiễm cũng như đánh cắp thông tin.

 

Nếu hệ thống đang trong tình trạng bị lây nhiễm hãy thực hiện các bước sau


Vô hiệu hoá các tiến trình đang chạy trong Task Manage > Process

%Users%\[UserName]\Downloads\OTS.exe
%Windows%\l1rezerv.exe
%Windows%\sysdriver32.exe
%Windows%\systemup.exe

Khởi động máy tính với chế độ Safe Mode with Networking


Tải RKill về lưu trên màn hình > Chạy tập tin rkill để tiêu diệt các tiến trình hoạt động của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm khác.


Tải Malwarebytes' Antimalware Free về lưu ngoài màn hình để dễ thao tác > đổi tên mabm-setup thành ie.exe hoặc firefox.exe để tránh việc ngăn chặn của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm khác đang hoạt động trên hệ thống > kích hoạt tập tin khởi động vừa đổi tên > quét kiểm tra hệ thống ở chế độ Perform full scan để loại bỏ các tiến trình cài đặt, đăng ký của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm đang hiện diện trên hệ thống.


Ngoài ra bạn cũng có thể tải SuperAntiSpyware Free về loại bó Avira AntiVir Enhanced Protection Mode và các phẩn tử nguy hiểm khác đang hiện diện trên hệ thống, nếu như không thích sử dụng Malwarebytes' AntiMalware.


 
Xoá bỏ các tiến trình đăng ký trong Registry Editor


HKEY_LOCAL_MACHINE\Software\Avira AntiVir Enhanced Protection Mode
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Avira AntiVir Enhanced Protection Mode"


Xoá bỏ các thư mục và tập tin cài đặt trên hệ thống


Windows Vista/7 : C:/ %Users%\[UserName]\Downloads\OTS.exe
Windows XP : C:/Documents and Settings/[User Name]/DownloadsOTS.exe

C:\WINDOWS\btc_client_iplist.txt
C:\WINDOWS\ddh_iplist.txt
C:\WINDOWS\front_ip_list.txt
C:\WINDOWS\geoiplist
C:\WINDOWS\geoiplist.rar
C:\WINDOWS\iecheck_iplist.txt
C:\WINDOWS\info1
C:\WINDOWS\iplist.txt
C:\WINDOWS\l1rezerv.exe
C:\WINDOWS\phoenix
C:\WINDOWS\phoenix.rar
C:\WINDOWS\proc_list1.log
C:\WINDOWS\rpcminer
C:\WINDOWS\rpcminer.rar
C:\WINDOWS\services32.exe
C:\WINDOWS\sysdriver32.exe
C:\WINDOWS\sysdriver32_.exe
C:\WINDOWS\systemup.exe
C:\WINDOWS\ufa
C:\WINDOWS\ufa.rar
C:\WINDOWS\unrar.exe
C:\WINDOWS\up-date.1
C:\WINDOWS\up-date.2
C:\WINDOWS\up-date.5.0
%Temp%\[SET OF RANDOM C-HARACTERS].exe


Sau khi thực hiện xong các bước trên tải một ứng dụng chống Virus về cài đặt, cập nhật dữ liệu mới nhất > thực hiện quét kiểm tra hệ thống ở chế độ quét sâu toàn ổ dĩa một lần nữa để loại bỏ các phần tử còn sót lại ở các lượt quét với RKill MalwareBytes AntiMalware.


Cách phòng chống


 
* Kích hoạt chức năng cập nhật tự động của Windows và Windows Office để có được các bản vá lỗ hổng bảo mật mới nhất.
* Cài đặt chương trình chống Virus và luôn luôn cập nhật dữ liệu mới nhất được cung cấp từ máy chủ của sản phẩm.
* Không nên truy cập vào các trang Web lạ, không nhấn vào bất kỳ liên kết tới các trang khác trong lúc lỡ truy cập.
* Kiểm tra an ninh cẩn thận mạng chia sẻ nội bộ.
* Cẩn thận với các liên kết, tập tin lạ đang tải về máy tính khi sử dụng giao thức kết nối ngang hàng Peer-to-Peer (P2P)

 
Đặc biệt cám ơn Jack, Edward, freeofvirus đã cung cấp thông tin để tác giả hoàn thành bài viết này.
 


Qduc.

Nguồn tin: http://xahoithongtin.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Yêu cầu sử dụng NukeViet 4

1. Môi trường máy chủ Yêu cầu bắt buộc Hệ điều hành: Unix (Linux, Ubuntu, Fedora …) hoặc Windows PHP: PHP 5.4 hoặc phiên bản mới nhất. MySQL: MySQL 5.5 hoặc phiên bản mới nhất Tùy chọn bổ sung Máy chủ Apache cần hỗ trợ mod mod_rewrite. Máy chủ Nginx cấu hình các thông...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập229
  • Máy chủ tìm kiếm8
  • Khách viếng thăm221
  • Hôm nay26,567
  • Tháng hiện tại139,326
  • Tổng lượt truy cập60,293,510
  • Thông báo lịch bảo trì diễn đàn NukeViet từ ngày 28/5/2020

  • Thông báo về lỗi bảo mật NukeViet 4.x

    Ban quản trị NukeViet thông báo: Hiện tại các phiên bản NukeViet 4.x đang có lỗi bảo mật, lợi dụng lỗi này kẻ xấu có thể lừa quản trị của site đang đăng nhập admin để thực hiện các thao tác không mong muốn. Bài viết này hướng dẫn quản trị site các biện pháp bảo vệ tạm thời trước khi có bản cập nhật chính thức.
  • GitHub tung ra tính năng mới cho phép viết code trực tiếp ngay trong trình duyệt

    Trong một thông báo chính thức dành cho các nhà phát triển, GitHub đã ra mắt Codespaces - một tính năng cho phép viết code trực tiếp trên web mà không cần thiết lập thêm bất cứ yêu cầu bổ sung nào, tương tự như môi trường Integrated Development Environment (IDE) trên đám mây.
  • Thông báo lịch bảo trì website NukeViet ngày 15/5/2020

  • Thông báo phát hành NukeViet 4.4.00

    NukeViet 4.4.00 là thế hệ mới của dòng NukeViet 4x với điểm nổi bật lớn nhất là thay đổi để tương thích với động thái loại bỏ dữ liệu có cấu trúc vocabulary.org của Google. Ngoài ra phiên bản này còn bổ sung một số chức năng mới mẻ như bổ sung tính năng xác thực hai bước bằng tài khoản Google, Facebook trong quản trị; hỗ trợ toàn diện IPv6 ở các cấu hình liên quan đến địa chỉ IP, loại bỏ hoàn toàn hỗ trợ Flash. Đây là bản cập nhật quan trọng, các website đang sử dụng NukeViet 4.3 không nên bỏ qua.
  • Giới thiệu các thay đổi trong NukeViet 4.4.00

    NukeViet 4.4.00 là thế hệ tiếp theo của NukeViet 4x, các site cập nhật lên phiên bản này sẽ cần điều chỉnh giao diện (không bắt buộc). Hãy cùng tìm hiểu một số thay đổi chính ở phiên bản này.
  • Hướng dẫn sử dụng phần mềm họp trực tuyến Jitsi

    Jitsi được biết đến là một trong số những ứng dụng họp trực tuyến được xây dựng trên mã nguồn mở cho phép người dùng gọi video chỉ sau vài bước thực hiện hết sức đơn giản. Vậy ứng dụng này được sử dụng như thế nào? Bài viết sau đây của chúng tôi sẽ giúp bạn trả lời câu hỏi này.
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây