Làm thế nào để gỡ bỏ Sysinternals Antivirus ra khỏi hệ thống.
- Thứ sáu - 28/10/2011 14:17
- In ra
- Đóng cửa sổ này
Sysinternals Antivirus là một trong số các phần mềm giả mạo ứng dụng chống Virus để lừa gạt ngưới tiêu dùng tải về cái đặt trên hệ thống, sau khi được cài đặt Sysinternals Antivirus sẽ tự động quét hệ thống của nạn nhân, thông báo máy tính đã bị...
Sysinternals Antivirus là một trong số các phần mềm giả mạo ứng dụng chống Virus để lừa gạt ngưới tiêu dùng tải về cái đặt trên hệ thống, sau khi được cài đặt Sysinternals Antivirus sẽ tự động quét hệ thống của nạn nhân, thông báo máy tính đã bị nhiễm Virus và yêu cầu trả phí sử dụng để xoá bỏ những gì nó phát hiện được nhưng thực chất không có bất cứ mối nguy hiểm nào trên máy tính trước đó. Bài viết chia sẻ thông tin về Sysinternals Antivirus được tác giả tổng hợp từ các trang Web nổi tiếng chuyên về bảo mật và cách thực hiện gỡ bỏ nó ra khỏi hệ thống một cách an toàn.....
Khi đã bị nhiễm Sysinternals Antivirus việc đầu tiên thực hiện là hãy tắt tất cả các công cụ kết nối Internet có dây hoặc không dây để tránh bị nhiễm các phần tử độc hại khác do Sysinternals Antivirus tải về máy tính thông qua chức năng up-date của nó hoặc tự động kết nối đến server máy chủ và tự động tải, quan trọng hơn là tránh thất thoát thông tin như dữ liệu quan trọng mật khẩu cá nhân, tài khoản ngân hàng v.v....
Được biết đến với các biệt danh như
* Win-Trojan/Malware.72192.N
* Win32:Malware-gen
* SHeur3.ACCN
* Trojan.Siggen1.26839
* Trojan.Win32.FraudPack.axjf
* Trojan:Win32/FakeScanti
* Win32/Adware.PCProtector
* RogueAntiSpyware.WindowsAntivirusPro
* Malware-Cryptor.Win32.Limpopo
Các tập tin, thư mục được tạo ra trên hệ thống
* C:\Documents and Settings\malwarehelp.org\Desktop\Sysinternals Antivirus.lnk
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win1.tmp
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win2.tmp
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win7.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\win9.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\winB.tmpXP
* C:\Documents and Settings\malwarehelp.org\Local Settings\Temp\winD.tmpXP
* C:\Documents and Settings\malwarehelp.org\Start Menu\Programs\Sysinternals Antivirus\Sysinternals Antivirus.lnk
* C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\wmrun.log
* C:\Program Files\adc_w32.dll
* C:\Program Files\alggui.exe
* C:\Program Files\nuar.old
* C:\Program Files\scdata\dbsinit.exe
* C:\Program Files\scdata\images\i1.gif
* C:\Program Files\scdata\images\i2.gif
* C:\Program Files\scdata\images\i3.gif
* C:\Program Files\scdata\images\j1.gif
* C:\Program Files\scdata\images\j2.gif
* C:\Program Files\scdata\images\j3.gif
* C:\Program Files\scdata\images\jj1.gif
* C:\Program Files\scdata\images\jj2.gif
* C:\Program Files\scdata\images\jj3.gif
* C:\Program Files\scdata\images\l1.gif
* C:\Program Files\scdata\images\l2.gif
* C:\Program Files\scdata\images\l3.gif
* C:\Program Files\scdata\images\pix.gif
* C:\Program Files\scdata\images\t1.gif
* C:\Program Files\scdata\images\t2.gif
* C:\Program Files\scdata\images\Thumbs.db
* C:\Program Files\scdata\images\up1.gif
* C:\Program Files\scdata\images\up2.gif
* C:\Program Files\scdata\images\w1.gif
* C:\Program Files\scdata\images\w11.gif
* C:\Program Files\scdata\images\w2.gif
* C:\Program Files\scdata\images\w3.jpg
* C:\Program Files\scdata\images\word.doc
* C:\Program Files\scdata\images\wt1.gif
* C:\Program Files\scdata\images\wt2.gif
* C:\Program Files\scdata\images\wt3.gif
* C:\Program Files\scdata\wispex.html
* C:\Program Files\skynet.dat
* C:\Program Files\svchost.exe
* C:\Program Files\Sysinternals Antivirus\Sysinternals Antivirus.exe
* C:\Program Files\wp3.dat
* C:\Program Files\wp4.dat
* C:\Program Files\wpp.exe
* C:\WINDOWS\Temp\win10.tmpXP
* C:\WINDOWS\Temp\win12.tmpXP
* C:\WINDOWS\Temp\win14.tmpXP
* C:\WINDOWS\Temp\win16.tmpXP
* C:\WINDOWS\Temp\win18.tmpXP
* C:\WINDOWS\Temp\win2.tmpXP
* C:\WINDOWS\Temp\win4.tmpXP
* C:\WINDOWS\Temp\win6.tmpXP
* C:\WINDOWS\Temp\win8.tmpXP
* C:\WINDOWS\Temp\winA.tmpXP
* C:\WINDOWS\Temp\winC.tmpXP
* C:\WINDOWS\Temp\winE.tmpXP
* C:\Program Files\Sysinternals Antivirus
* C:\Documents and Settings\malwarehelp.org\Start Menu\Programs\Sysinternals Antivirus
* C:\Sysinternals Antivirus
* C:\Program Files\scdata
Lưu ý :Ngoài các tập tin có tên gọi như bên trên Sysinternals Antivirus còn tạo ra các tên gọi ngẫu nhiên khác nhau do đó bạn hãy cẩn thận khi thực hiện xoá bỏ chúng ở chế độ thủ công.
Các tiến trình, khoá đăng ký trên hệ thống
* HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}\InprocServer32
* HKEY_CURRENT_USER\Control Panel\Desktop\ForegroundLockTimeout=14416036
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Check_Associations=no
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner=1
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\DontShowMeThisDialogAgain
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnonBadCertRecving=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnHTTPSToHTTPRedirect=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnPostRedirect=0
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnOnView=
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnAlwaysOnPost=
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\novavapp=C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\ccsmn.exe
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\novavappr=C:\Documents and Settings\malwarehelp.org\Application Data\Microsoft\Internet Explorer\ccsrs.exe
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\Registration
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\scantime=5.6.2010 4:15:52
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\scncnt=11
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check9=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check10=0
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check11=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check12=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check13=0
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check14=1
* HKEY_CURRENT_USER\Software\Sysinternals Antivirus\Sysinternals Antivirus\setdata\check15=0
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Type=16
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Start=2
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ErrorControl=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ImagePath=C:\Program Files\svchost.exe
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\DisplayName=Adobe Up-date Service
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\ObjectName=LocalSystem
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Security\Security=.
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\0=Root\LEGACY_ADBUPD\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\Count=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd\Enum\NextInstance=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\NextInstance=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Service=AdbUpd
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Legacy=1
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\ConfigFlags=0
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Class=LegacyDriver
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\ClassGUID={8ECC055D-047F-11D1-A537-0000F8753ED1}
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\DeviceDesc=Adobe Up-date Service
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control\*NewlyCre-ated*=0
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD\0000\Control\ActiveService=AdbUpd
Cảnh báo : Nếu không thực sự hiểu về hoạt động của hệ thống bạn không nên chỉnh sửa các tiến trình này ở chế độ thủ công.
Ngoài các thông tin trên còn có 2 địa chỉ liên quan tới hoạt động của Sysinternals Antivirus
http://jn2950.onlinevieworder. com/signup.cgi?ver=3&aff=2950&h.....=............
http://core2950.mylivejournalchanel. com/stat/action3.cgi?p=1&a=2950&sys.....=6.0.2900|5.1.3|1033&id=............
Do sự nguy hiểm của nó, tránh việc truy cập bởi sự tò mò muốn khám phá, tìm hiểu và bảo vệ bạn trước sự lây nhiễm, tác giả đã xoá bớt một phần thông tin của 2 trang này.
Biểu tượng trên thanh hệ thống.
Sau khi đã cài đặt thành công trên hệ thống nó sẽ tự động quét hệ thống và hiển thị một loạt cảnh báo với kết quả giả mạo như
* Security Alert
Infiltration Alert
Your computer is being attacked by an Internet Virus. It could be a password-stealing attack, a trojan-d-ropped or similar
*Warning: Infection is Detected
Windows has found spyware infection on your computer! Click here to up-date your WIndows antivirus software...
*svchost.exe has encountered a problem and needs to close. We are sorry for the inconvenience.
If you were in the middle of something, the information you were working on might be lost.
Please tell Microsoft about this problem.
We have cre-ated an error report that you can send to us. We will treat this report as confidential and anonymous.
Đồng thời hiển thị trên giao diện hiển thị các kết quả không có thật và yêu cầu nạn nhân đăng ký sử dụng trực tuyến với các thông tin về tài khoản giao dịch để trả với mức phí là 52.95 USD, xin đừng lo lắng hãy bỏ qua tất cả và nhấn vào nút Enter Activation Key, nhập mã kích hoạtDB038748-B4659586-4A1071AF-32E768CD-36005B1B-F4520642-3000BF2A-04FC910B > Enter hoặc Activate > hãy thực hiện xoá bỏ những gì Sysinternals Antivirus tìm thấy.
Nhấn vào các nút Privacy, Firewall, Up-date, Settings vô hiệu hoá tất cả các chức năng bảo vệ, khởi động cùng Windows cũng như các tính năng khác đang hoạt động của nó.
Nhấn tiếp tổ hợp phím Ctrl + Alt + Del > tại cửa sổ Windows Task Manager > Proccesses > phải chuột các tiến trình đang chạy của Sysinternals Antivirus như bên dưới > End Process để ngừng mọi hoạt động của nó
* alggui.exe
* %Program Files%\svchost.exe
* dbsinit.exe
* Sysinternals Antivirus.exe
* ccsmn.exe
* ccsrr.exe
Khởi động lại hệ thống trong chế độ Safe Mode With Networking > kết nối Internet tải Malwarebytes AntiMalware Free bằng cách tìm với Google với từ khoá MBAM, tải về cài đặt công cụ về cài đặt, cập nhật dữ liệu mới nhất cho Malwarebytes AntiMalware > thực hiện quét hệ thống ở chế độ Perform full scan > quá trình này kết thúc nhanh hoặc chậm tuỳ thuộc vào hoạt động của từng hệ thống máy tính.
Tải công cụ Malwarebytes AntiMalware Free
Quá trình quét kết thúc chọn tất cả các tập tin, thư mục của Sysinternals Antivirus được tìm thấy trên hệ thống > Remove Se-lected để xoá bỏ chúng.
Tải ứng dụng chống Virus thích hợp về cài đặt, cập nhật dữ liệu mới nhất cho ứng dụng thực hiện quét kiểm tra hệ thống một lần nữa ở chế độ quét sâu (Full Scan, Complete Scan) trong khi vẫn làm việc ở chế độ Safe Mode with Networking.
Nếu đang sử dụng hệ điều hành Win 7 hãy thực hiện với chức năng User Account Control (UAC) ở chế độ Always notify để Windows hiển thị cảnh báo khi cài đặt một ứng dụng mới.
Trong trường hợp bạn nghi ngờ hoặc ứng dụng bạn không biết đến hạy nhấn Cancel để hủy quá trình cài đặt hoặc khởi động nó.
Ngăn chặn sự lây nhiễm
Để bảo vệ sự riêng tư cá nhân và ngăn chặn sự lây nhiễm của Virus, Trojans, Malware, Worms, Spyware, Rootkit và các phần mềm giả mạo bạn hãy thực hiện các bước sau:
* Kích hoạt chức năng tường lửa
* Cập nhật phiên bản mới nhất cho các ứng dụng được cài đặt trên hệ thống.
* Cấp nhật dữ liệu mới nhất cho ứng dụng chống Virus đang sử dụng.
* Hạn chế quyền sử dụng của các tài khoản phụ.
* Cẩn thận khi mở các tập tin đính kèm hoặc trung chuyển trong hộp thư điện tử.
* Cẩn thận khi nhấp chuột vào những liên kết trên các trang Web đang truy cập.
* Tránh tải và sử dụng các phần mềm lậu.
* Sử dụng mật khẩu tài khoản quản trị hệ thống với các ký tự hổn hợp bao gồm chữ in Hoa, chữ thường, số và các ký tự đặc biệt.
Đặc biệt cám ơn EnzineMark, Bleepingcomputer, FreeofVirus, Malwarebytes AntiMalware, Microsoft, Malwarehelp đã cung cấp thông tin giúp tác giả hoàn thành bài viết này.
Qduc.