Làm thế nào để gỡ bỏ Sysinternals Antivirus ra khỏi hệ thống.

Được biết đến với các biệt danh như

* Win-Trojan/Malware.72192.N
* Win32:Malware-gen
* SHeur3.ACCN
* Trojan.Siggen1.26839
* Trojan.Win32.FraudPack.axjf
* Trojan:Win32/FakeScanti
* Win32/Adware.PCProtector
* RogueAntiSpyware.WindowsAntivirusPro
* Malware-Cryptor.Win32.Limpopo

Các tập tin, thư mục được tạo ra trên hệ thống

* C:\Documents and Settings\malwarehelp.org\Desktop\Sysinternals Antivirus.lnk
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win1.tmp
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win2.tmp
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win7.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win9.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\winB.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\winD.tmpXP
* C:\Documents and Settings\malwarehelp.org\Start Menu\Programs\Sysinternals Antivirus\Sysinternals Antivirus.lnk
* C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\wmrun.log

* C:\Program Files\adc_w32.dll
* C:\Program Files\alggui.exe
* C:\Program Files\nuar.old
* C:\Program Files\scdata\dbsinit.exe
* C:\Program Files\scdata\images\i1.gif
* C:\Program Files\scdata\images\i2.gif
* C:\Program Files\scdata\images\i3.gif
* C:\Program Files\scdata\images\j1.gif
* C:\Program Files\scdata\images\j2.gif
* C:\Program Files\scdata\images\j3.gif
* C:\Program Files\scdata\images\jj1.gif
* C:\Program Files\scdata\images\jj2.gif
* C:\Program Files\scdata\images\jj3.gif
* C:\Program Files\scdata\images\l1.gif
* C:\Program Files\scdata\images\l2.gif
* C:\Program Files\scdata\images\l3.gif
* C:\Program Files\scdata\images\pix.gif
* C:\Program Files\scdata\images\t1.gif
* C:\Program Files\scdata\images\t2.gif
* C:\Program Files\scdata\images\Thumbs.db
* C:\Program Files\scdata\images\up1.gif
* C:\Program Files\scdata\images\up2.gif
* C:\Program Files\scdata\images\w1.gif
* C:\Program Files\scdata\images\w11.gif
* C:\Program Files\scdata\images\w2.gif
* C:\Program Files\scdata\images\w3.jpg
* C:\Program Files\scdata\images\word.doc
* C:\Program Files\scdata\images\wt1.gif
* C:\Program Files\scdata\images\wt2.gif
* C:\Program Files\scdata\images\wt3.gif
* C:\Program Files\scdata\wispex.html
* C:\Program Files\skynet.dat
* C:\Program Files\svchost.exe
* C:\Program Files\Sysinternals Antivirus\Sysinternals Antivirus.exe
* C:\Program Files\wp3.dat
* C:\Program Files\wp4.dat
* C:\Program Files\wpp.exe

* C:\WINDOWS\Temp\win10.tmpXP
* C:\WINDOWS\Temp\win12.tmpXP
* C:\WINDOWS\Temp\win14.tmpXP
* C:\WINDOWS\Temp\win16.tmpXP
* C:\WINDOWS\Temp\win18.tmpXP
* C:\WINDOWS\Temp\win2.tmpXP
* C:\WINDOWS\Temp\win4.tmpXP
* C:\WINDOWS\Temp\win6.tmpXP
* C:\WINDOWS\Temp\win8.tmpXP
* C:\WINDOWS\Temp\winA.tmpXP
* C:\WINDOWS\Temp\winC.tmpXP
* C:\WINDOWS\Temp\winE.tmpXP

* C:\Program Files\Sysinternals Antivirus
* C:\Documents and Settings\malwarehelp.org\Start Menu\Programs\Sysinternals Antivirus
* C:\Sysinternals Antivirus
* C:\Program Files\scdata

Lưu ý :Ngoài các tập tin có tên gọi như bên trên Sysinternals Antivirus còn tạo ra các tên gọi ngẫu nhiên khác nhau do đó bạn hãy cẩn thận khi thực hiện xoá bỏ chúng ở chế độ thủ công.

Các tiến trình, khoá đăng ký trên hệ thống

* HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32


* HKEY_CURRENT_USER\Control Panel\Desktop\ForegroundLockTimeout=14416036
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Check_Associations=no
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner=1
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnonBadCertRecving=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnHTTPSToHTTPRedirect=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnPostRedirect=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnView=
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnAlwaysOnPost=
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\novavapp=C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\ccsmn.exe
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\novavappr=C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\ccsrs.exe
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\Registration
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\scantime=5.6.2010 4:15:52
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\scncnt=11
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check9=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check10=0
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check11=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check12=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check13=0
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check14=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check15=0


* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Type=16
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Start=2
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ErrorControl=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ImagePath=C:\Program Files\svchost.exe
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\DisplayName=Adobe Up-date Service
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ObjectName=LocalSystem
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security\Security=.
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\0=Root\LEGACY_ADBUPD\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\Count=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\NextInstance=1


* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\NextInstance=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Service=AdbUpd
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Legacy=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\ConfigFlags=0
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Class=LegacyDriver
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\ClassGUID={8ECC055D-047F-11D1-A537-0000F8753ED1}
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\DeviceDesc=Adobe Up-date Service
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control\*NewlyCre-ated*=0
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control\ActiveService=AdbUpd


Cảnh báo : Nếu không thực sự hiểu về hoạt động của hệ thống bạn không nên chỉnh sửa các tiến trình này ở chế độ thủ công.

Ngoài các thông tin trên còn có 2 địa chỉ liên quan tới hoạt động của Sysinternals Antivirus

http://jn2950.onlinevieworder. com/signup.cgi?ver=3&aff=2950&h.....=............
http://core2950.mylivejournalchanel. com/stat/action3.cgi?p=1&a=2950&sys.....=6.0.2900|5.1.3|1033&id=............

Do sự nguy hiểm của nó, tránh việc truy cập bởi sự tò mò muốn khám phá, tìm hiểu và bảo vệ bạn trước sự lây nhiễm, tác giả đã xoá bớt một phần thông tin của 2 trang này.



Sau khi đã cài đặt thành công trên hệ thống nó sẽ tự động quét hệ thống và hiển thị một loạt cảnh báo với kết quả giả mạo như

* Security Alert
Infiltration Alert
Your computer is being attacked by an Internet Virus. It could be a password-stealing attack, a trojan-d-ropped or similar

*Warning: Infection is Detected
Windows has found spyware infection on your computer! Click here to up-date your WIndows antivirus software...

*svchost.exe has encountered a problem and needs to close. We are sorry for the inconvenience.
If you were in the middle of something, the information you were working on might be lost.
Please tell Microsoft about this problem.
We have cre-ated an error report that you can send to us. We will treat this report as confidential and anonymous.


Đồng thời hiển thị trên giao diện hiển thị các kết quả không có thật và yêu cầu nạn nhân đăng ký sử dụng trực tuyến với các thông tin về tài khoản giao dịch để trả với mức phí là 52.95 USD, xin đừng lo lắng hãy bỏ qua tất cả và nhấn vào nút Enter Activation Key, nhập mã kích hoạtDB038748-B4659586-4A1071AF-32E768CD-36005B1B-F4520642-3000BF2A-04FC910B > Enter hoặc Activate > hãy thực hiện xoá bỏ những gì Sysinternals Antivirus tìm thấy.

Nhấn vào các nút Privacy, Firewall, Up-date, Settings vô hiệu hoá tất cả các chức năng bảo vệ, khởi động cùng Windows cũng như các tính năng khác đang hoạt động của nó.

Nhấn tiếp tổ hợp phím Ctrl + Alt + Del > tại cửa sổ Windows Task Manager > Proccesses > phải chuột các tiến trình đang chạy của Sysinternals Antivirus như bên dưới > End Process để ngừng mọi hoạt động của nó

* alggui.exe
* %Program Files%\svchost.exe
* dbsinit.exe
* Sysinternals Antivirus.exe
* ccsmn.exe
* ccsrr.exe

Khởi động lại hệ thống trong chế độ Safe Mode With Networking > kết nối Internet tải Malwarebytes AntiMalware Free bằng cách tìm với Google với từ khoá MBAM, tải về cài đặt công cụ về cài đặt, cập nhật dữ liệu mới nhất cho Malwarebytes AntiMalware > thực hiện quét hệ thống ở chế độ Perform full scan > quá trình này kết thúc nhanh hoặc chậm tuỳ thuộc vào hoạt động của từng hệ thống máy tính.

Tải công cụ Malwarebytes AntiMalware Free


Quá trình quét kết thúc chọn tất cả các tập tin, thư mục của Sysinternals Antivirus được tìm thấy trên hệ thống > Remove Se-lected để xoá bỏ chúng.

Tải ứng dụng chống Virus thích hợp về cài đặt, cập nhật dữ liệu mới nhất cho ứng dụng thực hiện quét kiểm tra hệ thống một lần nữa ở chế độ quét sâu (Full Scan, Complete Scan) trong khi vẫn làm việc ở chế độ Safe Mode with Networking.

Nếu đang sử dụng hệ điều hành Win 7 hãy thực hiện với chức năng User Account Control (UAC) ở chế độ Always notify để Windows hiển thị cảnh báo khi cài đặt một ứng dụng mới.

Để kích hoạt chức năng này trên Win 7 > Start > Control Panel > nếu đang sử dụng định dạng Category ở mục View by > nhấp vào mũi trên trỏ xuống chọn Small icons >  User Accounts > Change User Account Control settings > kéo thanh trượt lên mức cao nhất "Always notify" > OK. Sau khi kích hoạt chức năng Windows sẽ hiển thị cảnh báo mỗi khi bạn cài đặt một ứng dụng mới hoặc khởi động các ứng dụng để xác nhận sự đồng ý của bạn trước khi làm việc với các ứng dụng nhằm bảo đảm an ninh cho hệ thống một cách tốt nhất.