VIET ARROW

Luôn đồng hành cùng quý khách

(84-28) 3 9209 353

Gỡ bỏ trình bảo mật giả mạo Sysinternals Antivirus


- Tư vấn của Nhịp cầu Nhịp Sống Số:

Tuy bất cẩn khi tải và cài đặt phần mềm được chia sẻ ở những nơi công cộng như diễn đàn hay mạng xã hội nhưng bạn vẫn còn cảnh giác trước thông báo lạ xuất hiện trên hệ thống.

Các chương trình bảo mật giả mạo thường được biết đến qua thuật ngữ Rogue security software hoặc fake antivirus.

Một số chương trình giả mạo phổ biến hiện nay bao gồm: Total XP Security, Antivirus 7, Security Master AV, CleanUp Antivirus, Total PC Defender 2010, Internet Security 2010, PC Antispyware 2010, Malware Doctor.

Sysinternals Antivirus là một chương trình bảo mật giả mạo, thâm nhập và tự động cài đặt vào hệ thống qua mã độc mà người dùng không hề hay biết. Cái tên Sysinternals Antivirus được chọn vì giống với bộ công cụ miễn phí nổi tiếng Sysinternals Suite do Mark Russinovich và Bryce Cogswell phát triển, nay thuộc về Microsoft sau khi hãng này mua lại Sysinternals vào năm 2006.

, thâm nhập và tự động cài đặt vào hệ thống qua mã độc mà người dùng không hề hay biết. Cái tên Sysinternals Antivirus được chọn vì giống với bộ công cụ miễn phí nổi tiếng do Mark Russinovich và Bryce Cogswell phát triển, nay thuộc về Microsoft sau khi hãng này mua lại Sysinternals vào năm 2006.

Sau khi thâm nhập vào hệ thống nạn nhân, Sysinternals Antivirus thường tự khởi động cùng Windows. Do đó, khi mở máy là mặc nhiên chương trình giả mạo này đã hiện diện trong danh sách các ứng dụng đang hoạt động. Kế đến, Sysinternals Antivirus sẽ báo Windows bị lỗi (Windows is in danger) rồi tiến hành quét hệ thống và phát hiện ra các tập tin được cho là đã lây nhiễm mã độc. Tuy nhiên, chương trình không thể gỡ bỏ các tập tin bị nhiễm vì người dùng chưa kích hoạt bản quyền sử dụng đầy đủ chức năng.

Điều này đánh vào tâm lý muốn giải quyết sự cố và bảo vệ dữ liệu của người dùng nên có khá nhiều nạn nhân sẽ bỏ ra một số tiền nho nhỏ để mua bản quyền sử dụng, dẫn đến một nguy cơ tiếp theo ngoài việc mất tiền là bị tin tặc (kẻ đứng sau chương trình giả mạo) đánh cắp thông tin thẻ tín dụng dùng để chi trả trên website giả cũng được tạo ra để đánh lừa "trọn gói".

Người dùng phổ thông khó lòng nhận biết vì giao diện và tính năng của Sysinternals Antivirus cũng tương tự như các trình bảo mật uy tín khác, cũng bao gồm quét hệ thống (System Scan), tường lửa (Firewall) hay cập nhật dữ liệu virus (Update)..

Giao diện trình bảo mật giả mạo Sysinternals Antivirus với các chức năng trông rất chuyên nghiệp như thật

Khi thấy trên máy tính của mình có hiện diện Sysinternals Antivirus, bạn cần nhanh chóng gỡ bỏ theo các thao tác thủ công bên dưới đây. Người dùng cũng có thể tải nhanh công cụ gỡ bỏ Sysinternals Antivirus bằng các công cụ gỡ bỏ phần mềm bảo mật giả mạo: Sysinternals Antivirus Removal Tool 1.0 hoặc Remove Fake Antivirus 1.66 (gỡ bỏ 66 trình bảo mật giả mạo).

1. Loại bỏ các tiến trình (process) của Sysinternals Antivirus đang hoạt động trên hệ thống:

Nhấn Ctrl + Alt + Delete để Windows Task Manager xuất hiện, tìm đến các tiến trình cần kết thúc chọn End Process hoặc dùng Process Explorer để xử lý.

Có thể sử dụng a-squared HiJackFree (miễn phí) để quản lý các tiến trình hoạt động và khóa mã độc chuyên nghiệp hơn.

alggui.exe
%Program Files%\svchost.exe
dbsinit.exe
Sysinternals Antivirus.exe
ccsmn.exe
ccsrr.exe

2. Tập tin thư viện động
%Program Files%\adc_w32.dll

3. Xóa các khóa giá trị registry bằng cách chọn Start - Run hoặc nhấm tổ hợp phím Windows + R, gõ "regedit" rồi Enter. Trong cửa sổ Registry, bạn xóa các giá trị theo đúng đường dẫn sau:

HKEY_CURRENT_USER\Software\Sysinternals Antivirus
HKEY_USERS\.DEFAULT\Software\Sysinternals Antivirus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adbupd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256d5-e103-4523-bb43-2cfb066839d6}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256d5-e103-4523-bb43-2cfb066839d6}
HKEY_CLASSES_ROOT\CLSID\{149256d5-e103-4523-bb43-2cfb066839d6}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavapp"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavappr"

4. Xóa tiếp các thư mục và tập tin tùy thuộc vào Windows XP hay Vista/7, xem danh sách tại đây.

Một thao tác rất cần thiết để phòng chống các trình bảo mật giả mạo thâm nhập hệ thống về sau là chuyển chế độ UAC (User Account Control) trong Windows 7/Vista lên mức cao nhất. Vào Start - Control Panel - nhấn chọn User Accounts and Family Safety - User Accounts. Thực thi UAC bằng cách chọn Use User Account Control (UAC) to help protect your computer rồi nhấn OK.

Lý do để thực hiện điều này là UAC sẽ hỏi bạn có cho phép một chương trình thực hiện một hoạt động nào đó hay không. Nếu không biết đó là hoạt động gì và chương trình có vẻ đáng nghi thì đừng bao giờ chọn "Yes / Continue" để cho phép thực hiện.

Thiết lập chế độ cao nhất cho UAC

Lưu ý: Những phần mềm lậu được chia sẻ trên các website cộng đồng, diễn đàn hay mạng xã hội thường bị nhúng mã độc là các loại trojan, backdoor... để tấn công vào máy tính của người dùng nếu tải về và cài đặt. Trên hệ thống cần phải có trình bảo mật có chức năng bảo vệ trong thời gian thực (real-time) và tường lửa, luôn cập nhật cơ sở dữ liệu chữ ký virus mới nhất để hệ thống được an toàn.

Bạn đọc có thể sử dụng các trình bảo mật miễn phí như SUPERAntiSpyware Free Edition, AVG Antivirus Free, avast free antivirus... tại đây hoặc mua bản quyền sử dụng các chương trình bảo mật từ Kaspersky, BitDefender, Norton, McAfee, Panda Labs, AVG..với sự bảo vệ đầy đủ và mạnh mẽ hơn. Hiện nay tại thị trường Việt Nam các phần mềm bảo mật cũng đều có mức giá chấp nhận được, thấp hơn so với các nước khác.

THANH TRỰC