Làm thế nào để loại bỏ Win 7 Internet Security 2012 ra khỏi hệ thống

14:17, 07/04/2012

Win 7 Internet Security (W7IS) 2012 là một chương trình chống Virus giả mạo được tung lên internet để đánh lừa người tiêu dùng tải về cài đặt nhằm bảo vệ sự riêng tư. Win 7 Intrern Security 2012 sau khi được cài đặt sẽ tự động thực hiện quét hệ thống và xuất ra các báo cáo giả mạo nhằm yêu cầu nạn nhân trả phí sử dụng để loại bỏ các thành phần nguy hiểm không tồn tại trên máy tính. Ngoài ra, W7IS 2012 còn thực hiện chiếm quyền quản lý toàn bộ hệ thống để ngăn chặn hoạt động của các ứng dụng gỡ bỏ các phần tử độc hại nhằm tránh bị phát hiện, đồng thời nó thay đổi các thiết lập của trình đăng ký (Registry) và một số hành động khác...
 
 

Nếu bạn vô tình tải về, cài đặt trên hệ thống hãy sử dụng một trong các mã kích hoạt bên dưới để đăng ký như đã trả phí sử dụng việc này giúp bạn có thể ngăn chặn việc xuất hiện các cửa sổ thông báo giả mạo và hỗ trợ cho việc loại bỏ W7IS 2012 ra khỏi hệ thống dễ dàng hơn.

3425-814615-3990
1147-175591-6550
2233-298080-3424
  

Sau khi đã đăng ký thành công hãy tắt bỏ các chức năng bảo vệ, kế cả tường lửa của W7IS 2012, khởi động lại máy tính trong chế độ Safe Mode with Networking để tải các công cụ registryfix.reg, thiết lập lại kết nối internet các trình duyệt đang sử dụng, Rkill, Malwarebytes AntiMalware Free và Emsisoft Emergency Kit về lưu ngoài màn hình để tiện việc sử dụng.

1. Tải registryfix.reg, chạy nó để sửa chữa lỗi cho trình đăng ký (Registry)

Nhấn đúp vào tập tin để chạy nó, hệ thống sẽ hiển thị thông báo như minh họa > Yes, để thực hiện việc sửa chữa trình đăng ký. Việc thực hiện này giúp sửa chữa các trình đăng của các tập tin thực thi đuôi .exe để loại bỏ việc kích hoạt các thông tin giả mạo của W7IS 2012 với nội dung giả mạo như “Tập tin đã bị lây nhiễm” nhằm gây hoang mang và ngăn chặn hoạt động của các ứng dụng bạn muốn khởi động.

Xin đừng lo lắng tập tin đã được tác giả kiểm tra trên 2 hệ thống quét kiểm tra trực tuyến http://virusscan.jotti.org/  và https://www.virustotal.com/, kết quả tại trang Jotti.org là ngày 18/02/2012 và virustotal.com là ngày 22/02/2012, cho thấy trước đó tập tin này đã được một ai đó kiểm tra trong thời gian này nên cả hai hệ thống đều trả kết quả theo bộ nhớ đã được lưu trên hệ thống của họ.

http://virusscan.jotti.org/en/scanresult/f8183e1040a88032521e9173fdddbc1a3a619e52 

https://www.virustotal.com/file/01bfd519b792a454f52f28329db9323f103a7d9da9c1d5284213a63ec792ff35/analysis/ 

2. Chỉnh sửa các thiết lập kết nối Internet của trình duyệt

Khởi động Internet Explore (IE) > Tools > Internet Options

Cửa sổ Internet Options hiển thị > Connections > LAN settings

Cửa sổ Local Area Network (LAN) Settings hiển thị > Proxy server > bỏ chọn chức năng Use a proxy server for your LAN (These settings .....) > OK 2 lần.

Khởi động Firefox (FF) > Tools > Options > Options

Cửa sổ Options hiển thị > Tại thẻ Genaral > Home page nhập http://www.google.com.vn làm trang mặc định



Thẻ Advanced > Network > Settings

Hộp thoại Connection Settings hiển thị > chọn chế độ No proxy > OK 2lần để kết thúc việc thiết lập.

3. Tải các công cụ, cài đặt và thực hiện các bước vô hiệu hóa, gỡ bỏ W7IS 2012  

Rkill : http://download.bleepingcomputer.com/grinler/rkill.com 
Malwarebytes AntiMalware Free : http://www.malwarebytes.org/products/malwarebytes_free 
Emsisoft Emergency Kit : http://download12.emsisoft.com/EmsisoftEmergencyKit.zip 

Cài đặt và chạy Rkill để công cụ vô hiệu hóa mọi tiến trình đang hoạt động của W7IS 2012 và các phần tử độc hại liên quan. Trong quá trính chạy nếu W7IS 2012 hiển thị cảnh báo Rkill đã bị lây nhiễm hay bỏ qua và cố gắng chạy Rkill để thực hiện theo ý muốn của bạn.

Sau khi quá trình hoàn tất, tiến hành cài đặt Malwarebytes AntiMalware Free sau khi cài đặt xong > Finish, công cụ yêu cầu khởi động lại hệ thống bạn hãy bỏ qua bước này. MBAM sẽ hiển thị hộp thoại yêu cầu cập nhật dữ liệu mới > Allow để tiếp tục

Quá tình cập nhật và cài đặt dữ liệu mới hoàn tất, giao diện của MBAM hiển thị > Scanner > chọn chế độ Perform full scan để thực hiện quét kiểm tra toàn bộ hệ thống để loại bỏ Virus, Spyware, Trojans, Worms và các phần tử độc hại khác ra khỏi hệ thống.

Thời gian quét kiểm tra hệ thống là khá lâu bạn hãy rời bỏ máy tính và làm công việc bất kỳ như đọc sách, báo hoặc nghe nhạc v.v..., và hãy kiểm tra sau khoảng hơn 45 phút một lần để xem quá trình đã kết thúc hay chưa nhằm thực hiện các bước kế tiếp. Sau khi đã kết thúc hãy chọn tất cả các đối tượng được tìm thấy > Remove Selected để loại bỏ chúng ra khỏi hệ thống.

Nếu MBAM hiển thị hộp thoại yêu cầu khởi động lại hệ thống để loại bỏ một số phần tử còn lại > Yes để hoàn tất quá trình loại bỏ.

Kế tiếp, giải nén tập tin EmsisoftEmergencyKit.zip với chế độ Extract All > mở thư mục Emsisoft Emergency Kit > nhấn đúp vào EmergencyKitScanner

Cửa sổ yêu cầu cập nhật dữ liệu mới hiển thị > Yes


Quá trình cập nhật kết thúc > Menu > Scan PC > chọn chế độ Deep Scan để thực hiện tiếp việc kiểm tra hệ thống một lần nữa để loại bỏ một số phần tử nguy hiểm còn sót lại trên hệ thống khi thực hiện với MBAM.

Quá trình thực hiện là khá lâu như đã thực hiện với MBAM, nên bạn có thể làm công việc khác không liên quan đến máy tính trong quá trình quét kiểm tra hệ thống. Sau khi kết thúc chọn tất cả các đối tượng được phát hiện > nhấn Quarantine selected objects để Emsisoft Emergency Kit loại bỏ các phần tử nguy hiểm ra khỏi hệ thống và di chuyển chúng vào khu vực cách ly. Nếu công cụ yêu cầu khởi động lại máy tính > Yes để kết thúc quá trình gỡ bỏ.

Lưu ý : Toàn bộ quá trình gỡ bỏ Win 7 Internet Security 2012 ra khỏi hệ thống bạn phải thực hiện trong chế độ Safe Mode with Networking. Và hình ảnh minh họa có thể không hiển thị đúng thông tin chi tiết vì các biến thể của Virus, Trojans, Spyware v.v... hoạt động ở từng thời điểm là khác nhau.

Vị trí các tập tin hệ thống

C:\Documents and Settings\All Users\[SET OF RANDOM CHARACTERS]

C:\Documents and Settings\[UserName]\Application Data\[SET OF RANDOM CHARACTERS]

C:\Documents and Settings\[UserName]\Local Settings\Application Data\[3 RANDOM CHARACTERS].exe

C:\Documents and Settings\[UserName]\Templates\[SET OF RANDOM CHARACTERS]
C:\Documents And Settings\[UserName]\Local Settings\Temp\[SET OF RANDOM CHARACTERS]

Trình đăng ký hệ thống

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\BrowserEmulation "TLDUpdates" = '1'

HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command "(Default)" = '"C:\Documents and Settings\[UserName]\Local Settings\Application Data\[3 RANDOM CHARACTERS].exe" -a "%1" %*'

HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command "(Default)" = '"C:\Documents and Settings\[UserName]\Local Settings\Application Data\[3 RANDOM CHARACTERS].exee" -a "%1" %*'

HKEY_CLASSES_ROOT\.exe\shell\open\command "(Default)" = '"C:\Documents and Settings\[UserName]\Local Settings\Application Data\[3 RANDOM CHARACTERS].exe" -a "%1" %*'

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\com mand "(Default)" = '"%LocalAppData%\kdn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe"'

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode \command "(Default)" = '"%LocalAppData%\kdn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode'

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\co mmand "(Default)" = '"C:\Documents and Settings\[UserName]\Local Settings\Application Data\[3 RANDOM CHARACTERS].exe" -a "C:\Program Files\Internet Explorer\iexplore.exe"'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "AntiVirusOverride" = '1'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "FirewallOverride" = '1'

4. Sau khi đã hoàn tất các bước loại bỏ Win 7 Internet Security và các thành phần nguy hiểm ra khỏi hệ thống hãy tải Avira Free AntiVirus hoặc Avast AntiVirus Free ở 2 liên kết bên dưới về cài đặt bảo vệ sự riêng tư của bạn.

http://www.caydudo.com/Upload/Files/avira_free_antivirus_en.exe

http://download1us.softpedia.com/dl/4641cd037ca85b2303b9258155b122bc/4f3f17ea/100006474/software/antivirus/setupeng.exe 


Đặc Biệt Cám Ơn Jack đã cung cấp thông tin giúp tác giả hoàn thành bài viết này.



Qduc.