Làm thế nào để gỡ bỏ AntiVir Enhanced Protection Mode ra khỏi hệ thống.
08:00, 12/11/2011
Avira AntiVir Enhanced Protection Mode là chương trình giả mạo sản phẩm của Avira xuất hiện vào khoảng tháng 7.2011 đang hoành hành trên Internet như một giải pháp bảo vệ máy tính nhưng thực chất nó là một chương trình giả mạo không nằm trong danh sách sản phẩm của Avira, hiện tại đã có mặt tại Việt Nam và đang lây nhiễm trên một số máy tính. Hôm nay, tác giả chia sẻ với bạn về thông tin về Avira AntiVir Enhanced Protection Mode cũng cách loại bỏ nó ra khỏi hệ thống....
Nó tự động xâm nhập vào máy tính thông qua đường truyền tải trên các máy tính có kết nối mạng chia sẽ nội bộ, sử dụng giao thức kết nối Peer-to-Peer (P2P) hoặc thông các chương trình Drive-by Download và các công cụ truyền tải utorrent, Limewire hoặc Kaaa. Sau khi cài đặt thành công Avira AntiVir Enhanced Protection Mode trên hệ thống, nó sẽ xuất hiện cảnh báo giả mạo với nội dung như
Tạm dịch
"Chú ý!
Avira AntiVir hoạt động với chế độ bảo vệ nâng cao.
Đây là biện pháp cần thiết tạm thời để phản ứng ngay lập tức với các mối de doạ từ Virus.
Không cần sự can thiệp từ bạn."
Sau khi hiển thị thông báo Avira AntiVir Enhanced Protection Mode sẽ luôn trong tình trạng kết nối với Internet để cập nhật dữ liệu mới nhằm đánh lừa sự quan tâm của bạn vì cho rằng đang được sự bảo vệ hoàn hảo nhất từ AAEPM nhưng thực chất là nó đang kết nối máy tính với các trang Web nguy hiểm để tải Virus, Trojans, Spyware, Worms và Malware về máy tính để tự động cài đặt và lây nhiễm cũng như đánh cắp thông tin.
Nếu hệ thống đang trong tình trạng bị lây nhiễm hãy thực hiện các bước sau
Vô hiệu hoá các tiến trình đang chạy trong Task Manage > Process
%Users%\[UserName]\Downloads\OTS.exe
%Windows%\l1rezerv.exe
%Windows%\sysdriver32.exe
%Windows%\systemup.exe
Khởi động máy tính với chế độ Safe Mode with Networking
Tải RKill về lưu trên màn hình > Chạy tập tin rkill để tiêu diệt các tiến trình hoạt động của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm khác.
Tải Malwarebytes' Antimalware Free về lưu ngoài màn hình để dễ thao tác > đổi tên mabm-setup thành ie.exe hoặc firefox.exe để tránh việc ngăn chặn của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm khác đang hoạt động trên hệ thống > kích hoạt tập tin khởi động vừa đổi tên > quét kiểm tra hệ thống ở chế độ Perform full scan để loại bỏ các tiến trình cài đặt, đăng ký của Avira AntiVir Enhanced Protection Mode và các phần tử nguy hiểm đang hiện diện trên hệ thống.
Ngoài ra bạn cũng có thể tải SuperAntiSpyware Free về loại bó Avira AntiVir Enhanced Protection Mode và các phẩn tử nguy hiểm khác đang hiện diện trên hệ thống, nếu như không thích sử dụng Malwarebytes' AntiMalware.
Xoá bỏ các tiến trình đăng ký trong Registry Editor
HKEY_LOCAL_MACHINE\Software\Avira AntiVir Enhanced Protection Mode
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Avira AntiVir Enhanced Protection Mode"
Xoá bỏ các thư mục và tập tin cài đặt trên hệ thống
Windows Vista/7 : C:/ %Users%\[UserName]\Downloads\OTS.exe
Windows XP : C:/Documents and Settings/[User Name]/DownloadsOTS.exe
C:\WINDOWS\btc_client_iplist.txt
C:\WINDOWS\ddh_iplist.txt
C:\WINDOWS\front_ip_list.txt
C:\WINDOWS\geoiplist
C:\WINDOWS\geoiplist.rar
C:\WINDOWS\iecheck_iplist.txt
C:\WINDOWS\info1
C:\WINDOWS\iplist.txt
C:\WINDOWS\l1rezerv.exe
C:\WINDOWS\phoenix
C:\WINDOWS\phoenix.rar
C:\WINDOWS\proc_list1.log
C:\WINDOWS\rpcminer
C:\WINDOWS\rpcminer.rar
C:\WINDOWS\services32.exe
C:\WINDOWS\sysdriver32.exe
C:\WINDOWS\sysdriver32_.exe
C:\WINDOWS\systemup.exe
C:\WINDOWS\ufa
C:\WINDOWS\ufa.rar
C:\WINDOWS\unrar.exe
C:\WINDOWS\update.1
C:\WINDOWS\update.2
C:\WINDOWS\update.5.0
%Temp%\[SET OF RANDOM CHARACTERS].exe
Sau khi thực hiện xong các bước trên tải một ứng dụng chống Virus về cài đặt, cập nhật dữ liệu mới nhất > thực hiện quét kiểm tra hệ thống ở chế độ quét sâu toàn ổ dĩa một lần nữa để loại bỏ các phần tử còn sót lại ở các lượt quét với RKill và MalwareBytes AntiMalware.
Cách phòng chống
* Kích hoạt chức năng cập nhật tự động của Windows và Windows Office để có được các bản vá lỗ hổng bảo mật mới nhất.
* Cài đặt chương trình chống Virus và luôn luôn cập nhật dữ liệu mới nhất được cung cấp từ máy chủ của sản phẩm.
* Không nên truy cập vào các trang Web lạ, không nhấn vào bất kỳ liên kết tới các trang khác trong lúc lỡ truy cập.
* Kiểm tra an ninh cẩn thận mạng chia sẻ nội bộ.
* Cẩn thận với các liên kết, tập tin lạ đang tải về máy tính khi sử dụng giao thức kết nối ngang hàng Peer-to-Peer (P2P)
* Cài đặt chương trình chống Virus và luôn luôn cập nhật dữ liệu mới nhất được cung cấp từ máy chủ của sản phẩm.
* Không nên truy cập vào các trang Web lạ, không nhấn vào bất kỳ liên kết tới các trang khác trong lúc lỡ truy cập.
* Kiểm tra an ninh cẩn thận mạng chia sẻ nội bộ.
* Cẩn thận với các liên kết, tập tin lạ đang tải về máy tính khi sử dụng giao thức kết nối ngang hàng Peer-to-Peer (P2P)
Đặc biệt cám ơn Jack, Edward, freeofvirus đã cung cấp thông tin để tác giả hoàn thành bài viết này.
Qduc.