Làm thế nào để gỡ bỏ Sysinternals Antivirus ra khỏi hệ thống.

Thứ sáu - 28/10/2011 14:17
Sysinternals Antivirus là một trong số các phần mềm giả mạo ứng dụng chống Virus để lừa gạt ngưới tiêu dùng tải về cái đặt trên hệ thống, sau khi được cài đặt Sysinternals Antivirus sẽ tự động quét hệ thống của nạn nhân, thông báo máy tính đã bị...
Làm thế nào để gỡ bỏ Sysinternals Antivirus ra khỏi hệ thống.
Sysinternals Antivirus là một trong số các phần mềm giả mạo ứng dụng chống Virus để lừa gạt ngưới tiêu dùng tải về cái đặt trên hệ thống, sau khi được cài đặt Sysinternals Antivirus sẽ tự động quét hệ thống của nạn nhân, thông báo máy tính đã bị nhiễm Virus và yêu cầu trả phí sử dụng để xoá bỏ những gì nó phát hiện được nhưng thực chất không có bất cứ mối nguy hiểm nào trên máy tính trước đó. Bài viết chia sẻ thông tin về Sysinternals Antivirus được tác giả tổng hợp từ các trang Web nổi tiếng chuyên về bảo mật và cách thực hiện gỡ bỏ nó ra khỏi hệ thống một cách an toàn.....


Khi đã bị nhiễm Sysinternals Antivirus việc đầu tiên thực hiện là hãy tắt tất cả các công cụ kết nối Internet có dây hoặc không dây để tránh bị nhiễm các phần tử độc hại khác do Sysinternals Antivirus tải về máy tính thông qua chức năng up-date của nó hoặc tự động kết nối đến server máy chủ và tự động tải, quan trọng hơn là tránh thất thoát thông tin như dữ liệu quan trọng mật khẩu cá nhân, tài khoản ngân hàng v.v....


Được biết đến với các biệt danh như

* Win-Trojan/Malware.72192.N
* Win32:Malware-gen
* SHeur3.ACCN
* Trojan.Siggen1.26839
* Trojan.Win32.FraudPack.axjf
* Trojan:Win32/FakeScanti
* Win32/Adware.PCProtector
* RogueAntiSpyware.WindowsAntivirusPro
* Malware-Cryptor.Win32.Limpopo

Các tập tin, thư mục được tạo ra trên hệ thống

* C:\Documents and Settings\malwarehelp.org\Desktop\Sysinternals Antivirus.lnk
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win1.tmp
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win2.tmp
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win7.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win9.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\winB.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\winD.tmpXP
* C:\Documents and Settings\malwarehelp.org\Start Menu\Programs\Sysinternals Antivirus\Sysinternals Antivirus.lnk
* C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\wmrun.log

* C:\Program Files\adc_w32.dll
* C:\Program Files\alggui.exe
* C:\Program Files\nuar.old
* C:\Program Files\scdata\dbsinit.exe
* C:\Program Files\scdata\images\i1.gif
* C:\Program Files\scdata\images\i2.gif
* C:\Program Files\scdata\images\i3.gif
* C:\Program Files\scdata\images\j1.gif
* C:\Program Files\scdata\images\j2.gif
* C:\Program Files\scdata\images\j3.gif
* C:\Program Files\scdata\images\jj1.gif
* C:\Program Files\scdata\images\jj2.gif
* C:\Program Files\scdata\images\jj3.gif
* C:\Program Files\scdata\images\l1.gif
* C:\Program Files\scdata\images\l2.gif
* C:\Program Files\scdata\images\l3.gif
* C:\Program Files\scdata\images\pix.gif
* C:\Program Files\scdata\images\t1.gif
* C:\Program Files\scdata\images\t2.gif
* C:\Program Files\scdata\images\Thumbs.db
* C:\Program Files\scdata\images\up1.gif
* C:\Program Files\scdata\images\up2.gif
* C:\Program Files\scdata\images\w1.gif
* C:\Program Files\scdata\images\w11.gif
* C:\Program Files\scdata\images\w2.gif
* C:\Program Files\scdata\images\w3.jpg
* C:\Program Files\scdata\images\word.doc
* C:\Program Files\scdata\images\wt1.gif
* C:\Program Files\scdata\images\wt2.gif
* C:\Program Files\scdata\images\wt3.gif
* C:\Program Files\scdata\wispex.html
* C:\Program Files\skynet.dat
* C:\Program Files\svchost.exe
* C:\Program Files\Sysinternals Antivirus\Sysinternals Antivirus.exe
* C:\Program Files\wp3.dat
* C:\Program Files\wp4.dat
* C:\Program Files\wpp.exe

* C:\WINDOWS\Temp\win10.tmpXP
* C:\WINDOWS\Temp\win12.tmpXP
* C:\WINDOWS\Temp\win14.tmpXP
* C:\WINDOWS\Temp\win16.tmpXP
* C:\WINDOWS\Temp\win18.tmpXP
* C:\WINDOWS\Temp\win2.tmpXP
* C:\WINDOWS\Temp\win4.tmpXP
* C:\WINDOWS\Temp\win6.tmpXP
* C:\WINDOWS\Temp\win8.tmpXP
* C:\WINDOWS\Temp\winA.tmpXP
* C:\WINDOWS\Temp\winC.tmpXP
* C:\WINDOWS\Temp\winE.tmpXP

* C:\Program Files\Sysinternals Antivirus
* C:\Documents and Settings\malwarehelp.org\Start Menu\Programs\Sysinternals Antivirus
* C:\Sysinternals Antivirus
* C:\Program Files\scdata

Lưu ý :Ngoài các tập tin có tên gọi như bên trên Sysinternals Antivirus còn tạo ra các tên gọi ngẫu nhiên khác nhau do đó bạn hãy cẩn thận khi thực hiện xoá bỏ chúng ở chế độ thủ công.

Các tiến trình, khoá đăng ký trên hệ thống

* HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32


* HKEY_CURRENT_USER\Control Panel\Desktop\ForegroundLockTimeout=14416036
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Check_Associations=no
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner=1
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnonBadCertRecving=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnHTTPSToHTTPRedirect=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnPostRedirect=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnView=
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnAlwaysOnPost=
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\novavapp=C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\ccsmn.exe
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\novavappr=C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\ccsrs.exe
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\Registration
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\scantime=5.6.2010 4:15:52
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\scncnt=11
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check9=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check10=0
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check11=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check12=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check13=0
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check14=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check15=0


* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Type=16
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Start=2
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ErrorControl=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ImagePath=C:\Program Files\svchost.exe
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\DisplayName=Adobe Up-date Service
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ObjectName=LocalSystem
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security\Security=.
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\0=Root\LEGACY_ADBUPD\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\Count=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\NextInstance=1


* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\NextInstance=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Service=AdbUpd
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Legacy=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\ConfigFlags=0
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Class=LegacyDriver
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\ClassGUID={8ECC055D-047F-11D1-A537-0000F8753ED1}
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\DeviceDesc=Adobe Up-date Service
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control\*NewlyCre-ated*=0
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control\ActiveService=AdbUpd


Cảnh báo : Nếu không thực sự hiểu về hoạt động của hệ thống bạn không nên chỉnh sửa các tiến trình này ở chế độ thủ công.

Ngoài các thông tin trên còn có 2 địa chỉ liên quan tới hoạt động của Sysinternals Antivirus

http://jn2950.onlinevieworder. com/signup.cgi?ver=3&aff=2950&h.....=............
http://core2950.mylivejournalchanel. com/stat/action3.cgi?p=1&a=2950&sys.....=6.0.2900|5.1.3|1033&id=............

Do sự nguy hiểm của nó, tránh việc truy cập bởi sự tò mò muốn khám phá, tìm hiểu và bảo vệ bạn trước sự lây nhiễm, tác giả đã xoá bớt một phần thông tin của 2 trang này.


Biểu tượng trên thanh hệ thống.

Sau khi đã cài đặt thành công trên hệ thống nó sẽ tự động quét hệ thống và hiển thị một loạt cảnh báo với kết quả giả mạo như

* Security Alert
Infiltration Alert
Your computer is being attacked by an Internet Virus. It could be a password-stealing attack, a trojan-d-ropped or similar

*Warning: Infection is Detected
Windows has found spyware infection on your computer! Click here to up-date your WIndows antivirus software...

*svchost.exe has encountered a problem and needs to close. We are sorry for the inconvenience.
If you were in the middle of something, the information you were working on might be lost.
Please tell Microsoft about this problem.
We have cre-ated an error report that you can send to us. We will treat this report as confidential and anonymous.


Đồng thời hiển thị trên giao diện hiển thị các kết quả không có thật và yêu cầu nạn nhân đăng ký sử dụng trực tuyến với các thông tin về tài khoản giao dịch để trả với mức phí là 52.95 USD, xin đừng lo lắng hãy bỏ qua tất cả và nhấn vào nút Enter Activation Key, nhập mã kích hoạtDB038748-B4659586-4A1071AF-32E768CD-36005B1B-F4520642-3000BF2A-04FC910B > Enter hoặc Activate > hãy thực hiện xoá bỏ những gì Sysinternals Antivirus tìm thấy.

Nhấn vào các nút Privacy, Firewall, Up-date, Settings vô hiệu hoá tất cả các chức năng bảo vệ, khởi động cùng Windows cũng như các tính năng khác đang hoạt động của nó.

Nhấn tiếp tổ hợp phím Ctrl + Alt + Del > tại cửa sổ Windows Task Manager > Proccesses > phải chuột các tiến trình đang chạy của Sysinternals Antivirus như bên dưới > End Process để ngừng mọi hoạt động của nó

* alggui.exe
* %Program Files%\svchost.exe
* dbsinit.exe
* Sysinternals Antivirus.exe
* ccsmn.exe
* ccsrr.exe

Khởi động lại hệ thống trong chế độ Safe Mode With Networking > kết nối Internet tải Malwarebytes AntiMalware Free bằng cách tìm với Google với từ khoá MBAM, tải về cài đặt công cụ về cài đặt, cập nhật dữ liệu mới nhất cho Malwarebytes AntiMalware > thực hiện quét hệ thống ở chế độ Perform full scan > quá trình này kết thúc nhanh hoặc chậm tuỳ thuộc vào hoạt động của từng hệ thống máy tính.

Tải công cụ Malwarebytes AntiMalware Free


Quá trình quét kết thúc chọn tất cả các tập tin, thư mục của Sysinternals Antivirus được tìm thấy trên hệ thống > Remove Se-lected để xoá bỏ chúng.

Tải ứng dụng chống Virus thích hợp về cài đặt, cập nhật dữ liệu mới nhất cho ứng dụng thực hiện quét kiểm tra hệ thống một lần nữa ở chế độ quét sâu (Full Scan, Complete Scan) trong khi vẫn làm việc ở chế độ Safe Mode with Networking.

Nếu đang sử dụng hệ điều hành Win 7 hãy thực hiện với chức năng User Account Control (UAC) ở chế độ Always notify để Windows hiển thị cảnh báo khi cài đặt một ứng dụng mới.


Để kích hoạt chức năng này trên Win 7 > Start > Control Panel > nếu đang sử dụng định dạng Category ở mục View by > nhấp vào mũi trên trỏ xuống chọn Small icons >  User Accounts > Change User Account Control settings > kéo thanh trượt lên mức cao nhất "Always notify" > OK. Sau khi kích hoạt chức năng Windows sẽ hiển thị cảnh báo mỗi khi bạn cài đặt một ứng dụng mới hoặc khởi động các ứng dụng để xác nhận sự đồng ý của bạn trước khi làm việc với các ứng dụng nhằm bảo đảm an ninh cho hệ thống một cách tốt nhất.


Trong trường hợp bạn nghi ngờ hoặc ứng dụng bạn không biết đến hạy nhấn Cancel để hủy quá trình cài đặt hoặc khởi động nó.

Ngăn chặn sự lây nhiễm

Để bảo vệ sự riêng tư cá nhân và ngăn chặn sự lây nhiễm của Virus, Trojans, Malware, Worms, Spyware, Rootkit và các phần mềm giả mạo bạn hãy thực hiện các bước sau:

* Kích hoạt chức năng tường lửa
* Cập nhật phiên bản mới nhất cho các ứng dụng được cài đặt trên hệ thống.
* Cấp nhật dữ liệu mới nhất cho ứng dụng chống Virus đang sử dụng.
* Hạn chế quyền sử dụng của các tài khoản phụ.
* Cẩn thận khi mở các tập tin đính kèm hoặc trung chuyển trong hộp thư điện tử.
* Cẩn thận khi nhấp chuột vào những liên kết trên các trang Web đang truy cập.
* Tránh tải và sử dụng các phần mềm lậu.

* Sử dụng mật khẩu tài khoản quản trị hệ thống với các ký tự hổn hợp bao gồm chữ in Hoa, chữ thường, số và các ký tự đặc biệt.

Đặc biệt cám ơn EnzineMark, BleepingcomputerFreeofVirus, Malwarebytes AntiMalware, Microsoft, Malwarehelp đã cung cấp thông tin giúp tác giả hoàn thành bài viết này.


Qduc.

Nguồn tin: http://xahoithongtin.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về NukeViet CMS

CMS là gì? CMS là từ viết tắt từ Content Management System. Theo wikipedia Định nghĩa. Hệ quản trị nội dung, cũng được gọi là hệ thống quản lý nội dung hay CMS (từ Content Management System của tiếng Anh) là phần mềm để tổ chức và tạo môi trường cộng tác thuận lợi nhằm mục đích xây dựng một hệ...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập75
  • Máy chủ tìm kiếm20
  • Khách viếng thăm55
  • Hôm nay37,302
  • Tháng hiện tại284,533
  • Tổng lượt truy cập114,784,358
Left-column advertisement
  • Thông báo phát hành NukeViet 4.6.00

    NukeViet 4.6.00 là phiên bản tiếp theo của NukeViet CMS dựa trên kế thừa các chức năng của dòng 4.5 và yêu cầu máy chủ hỗ trợ php 7.4 trở lên. Đây cũng là bản cập nhật bảo mật rất quan trọng được khuyến nghị cho toàn bộ người dùng.
  • Thông báo bảo mật dòng NukeViet 4.5.x

    Dòng NukeViet 4.5.x đã bước vào giai đoạn duy trì cuối vòng đời. Trang này ghi nhận liên tục các vấn đề bảo mật và cách chúng tôi xử lý để giữ an toàn cho những website còn ở lại trên dòng 4.5.x đến tháng 7 năm 2027. Chúng tôi vẫn nỗ lực bảo vệ bạn ở mức tốt nhất có thể trên nền tảng này — nhưng nếu có điều kiện, hãy lên kế hoạch chuyển sang phiên bản mới hơn để được bảo vệ tận gốc.
  • Sinh viên ĐH Bách khoa Hà Nội giúp tìm ra lỗ hổng bảo mật của NukeViet

    Nguyễn Quang Bằng, sinh viên năm 4 ngành Khoa học Máy tính tại Đại học Bách Khoa Hà Nội, vừa được nền tảng CMS mã nguồn mở NukeViet vinh danh sau khi phát hiện và báo cáo một lỗ hổng bảo mật nghiêm trọng.
  • Thông báo phát hành NukeViet 4.5.08

    NukeViet 4.5.08 là Phiên bản tiếp theo của dòng NukeViet 4.5, đây là bản cập nhật bảo mật quan trong được đề xuất cho toàn bộ người dùng.
  • Thông tin chính thức về CVE-2025-8772, CVE-2024-36531 và CVE-2024-36528

    Phản hồi chính thức của đội code về các lỗ hổng bảo mật mới của NukeViet CMS được công bố trong năm 2024-2025 và hướng dẫn bảo vệ an toàn cho website của bạn trước các nguy cơ khai thác hoặc tấn công khác.
  • Thông báo phát hành NukeViet 4.5.07

    NukeViet 4.5.07 là Phiên bản tiếp theo của dòng NukeViet 4.5, trọng tâm là xử lý các vấn đề xoay quanh trình soạn thảo CKEditor 5 và tính năng block tùy chỉnh trong giao diện
  • Hướng dẫn tiếp tục sử dụng trình soạn thảo CKEditor 4 trên NukeViet 4.5 các phiên bản từ 4.5.07 về...

    Từ NukeViet 4.5.07 các website cài mới hoặc nâng cấp lên đều được tự động gỡ bỏ CKEditor 4 để đảm bảo tối đa tính bảo mật lâu dài. Nếu bạn có nhiều module hoặc ứng dụng vẫn cần phải dùng nó mà không muốn nâng cấp có thể làm theo hướng dẫn này để tiếp tục sử dụng.
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây