Hướng dẫn xóa bỏ các phần mềm Anti Virus giả mạo như Antimalware, Antivirus PC...

Hướng dẫn xóa bỏ phần mềm an ninh giả mạo Antimalware

Đây là 1 trong những biến thể nguy hiểm nhất của dòng WiniSoft, đồng thời cũng là bản sao của ứng dụng độc hại System Veteran. Mặt khác, AntiAid là 1 trong những phiên bản cuối cùng của dòng malware độc hại này, với khá nhiều cải tiến về giao diện đồ họa - Graphical User Interface (GUI):

Giao diện chính của Antimalware

Thực chất, đây là lần thứ 2 tác giả “gốc” của WiniSoft cải thiện những tính năng nguy hiểm. Với biến thể AntiAid, chúng được kế thừa và sử dụng GUI từ TRE Antivirus. Đặc tính tương tự này cũng đang được sử dụng bởi các dòng malware khác của WiniSoft như System Warrior hoặc Trust Fighter. Thực tế, trang chủ của AntiAid là Antiaid.com, và từ nguồn này, vô số các ứng dụng giả mạo với tên là Virus Protector đã được phát tán. Có thể dễ dàng 2 mục đích chính của AntiAid là cố gắng xâm nhập vào máy tính của nạn nhân càng âm thầm, kín đáo càng tốt và tìm mọi cách để người dùng móc hầu bao ra để mua bản quyền. Những chương trình như AntiAid thường xuyên hoạt động ẩn mình trong hệ thống càng kín đáo càng tốt để tránh sự phát hiện của người dùng và những chương trình bảo mật.
Về bản chất, AntiAid sử dụng Trojan để lây nhiễm vào máy tính của nạn nhân, chúng có thể ngụy trang vô cùng khéo léo bằng bất cứ dạng chương trình an toàn nào: flash, các bộ giải mã codec, dịch vụ bảo mật trực tuyến … Khi được tải về máy tính, AntiAid sẽ tạo ra rất nhiều file giả mạo trong các thư mục hệ thống như C:\Windows và C:\Windows\System32. Những file đầu tiên này thực ra là không có hại, tuy nhiên nếu không được ngăn chặn, xóa bỏ kịp thời thì AntiAid sẽ tiếp tục sử dụng chúng để lây nhiễm và khai thác các lỗ hổng bảo mật sau này. Trước tiên, các malware sẽ thay đổi các khóa registry cần thiết để tự động kích hoạt cơ chế khởi động cùng hệ thống, sau đó liên tục thực hiện các quá trình quét toàn bộ máy tính và hiển thị thông báo lỗi dựa trên các file báo cáo đã được tạo ra trước đó, ví dụ như newfeat3.chm… Mặt khác, AntiAid còn tiếp tục “đóng giả” vai trò của ứng dụng hệ thống mặc định Windows Security Center. Khi đó, người dùng sẽ gặp vô số các thông tin dưới dạng popup, cảnh báo an ninh… về tình trạng virus, spyware đã xâm nhập hệ thống như thế nào, mức độ nghiêm trọng đến đâu… ngay cả khi người dùng không kết nối Internet nữa. Và khi vô tình hoặc cố ý nhấn chuột vào những thông báo đó, bạn đã “kéo” thêm nhiều malware và Trojan khác về máy tính.

Một số dấu hiệu điển hình của máy tính đã bị nhiễm Anti Malware

- Tất cả các chương trình an ninh, bảo mật có sẵn trên máy tính đều bị ngăn chặn, ngừng hoạt động, ngay cả việc cập nhật cũng không thực hiện được.
- Ngăn chặn truy cập đến những trang web có tích hợp sẵn công cụ hoặc dịch vụ bảo mật trực tuyến
- Dần dần tất cả các trình duyệt trên hệ thống đều bị tê liệt
- Khóa chức năng hoạt động của các ứng dụng hệ thống như System Restore, Safe Mode, Task Manager, Registry Editor (chỉ sử dụng được trong chế độ SafeMode)
- Trên màn hình Desktop sẽ xuất hiện nhiều shortcut lạ, khi người dùng nhấn vào đó, sẽ tự động trỏ tới địa chỉ đã được tin tặc chuẩn bị từ trước
- Tự động thay đổi tất cả các địa chỉ trang web homepage trên trình duyệt
- Mọi hoạt động của máy tính đều trở nên nặng nề, chậm chạp, ngay cả thời gian khởi động lại và tốc độ kết nối Internet cũng vậy
- Đa phần các trường hợp bị lây nhiễm, máy tính sẽ tự khởi động lại nhiều lần
Sau khi phân tích và tiến hành nhiều cuộc kiểm tra, các chuyên gia bảo mật của các hãng an ninh khuyến cáo người dùng sử dụng chương trình Spyware Doctor with Antivirus, có thể sử dụng phiên bản Trial cũng được, còn nếu bạn mua bản quyền chính thức của chương trình thì càng tốt.
Hướng dẫn xóa bỏ Anti Malware theo cách thủ công
Sử dụng Process Explorer () và tắt bỏ những tiến trình sau: AntiAID.exe, 2gbk87zj.exe, 8enyqcv1.exe, m6axycx9.exe và uninstall.exe.
Tìm và xóa bỏ các khóa sau trong Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\AntiAID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\AntiAID
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run “%System%\8enyqcv1.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run “m6axycx9.exe “
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run “%ProgramFiles%\AntiAID Software\AntiAID\AntiAID.exe -min”
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run “AntiAID”

Xóa bỏ toàn bộ các file và thư mục có liên quan tại đường dẫn %Program Files\Protection System\:

%Documents and Settings%\All Users\Start Menu\Programs\AntiAID
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID\1 AntiAID.lnk
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID\2 Homepage.lnk
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID\3 Uninstall.lnk \
%Documents and Settings%\All Users\Desktop\AntiAID.lnk
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID\1 AntiAID.lnk
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID\2 Homepage.lnk
%Documents and Settings%\All Users\Start Menu\Programs\AntiAID\3 Uninstall.lnk
%Documents and Settings%\All Users\Desktop\AntiAID.lnk
%Program Files%\AntiAID Software
%Program Files%\AntiAID Software\AntiAID
%Program Files%\AntiAID Software\AntiAID\AntiAID.exe
%Program Files%\AntiAID Software\AntiAID\uninstall.exe
%Temp%\nss8.tmp
%Temp%\nsj3.tmp
%Temp%\nsn6.tmp
%Temp%\2gbk87zj.exe
%Temp%\8enyqcv1.exe
%Temp%\m6axycx9.exe
c:\WINDOWS\100849pambotz85.bin
c:\WINDOWS\1019wo5m65bz.dll
c:\WINDOWS\10568hack9o5l5z5.dll
c:\WINDOWS\system32\2901sp55za.bin
c:\WINDOWS\system32\29290wozm6795.cpl
c:\WINDOWS\system32\29418tro5ez.ocx

Và tiếp tục xóa bỏ tận gốc các thư mục phát tán sau:

c:\Documents and Settings\All Users\Start Menu\Programs\AntiAID
c:\Program Files\AntiAID Software
c:\Program Files\AntiAID Software\AntiAID
temp
%temp%

Sau đó, hãy quét toàn bộ hệ thống 1 lần nữa với chương trình Spyware Doctor with Antivirus và CC Cleaner.
Mặt khác, các bạn có thể tham khảo tính năng và sử dụng các chương trình bảo mật của các hãng danh tiếng sau: Spyware Doctor with Antivirus, Norton, Trend Micro, Kaspersky, AVG, MalwareBytes hoặc những ứng dụng bảo mật có sẵn của công ty Meta tại đây.

Chúc các bạn thành công!

Antivirus PC 2009 cũng là 1 ứng dụng an ninh phòng chống spyware giả mạo, có khả năng lây lan và sinh sôi vô cùng mạnh mẽ với sự giúp sức của rất nhiều các loại Trojan, malware khi người dùng vô tình truy cập vào những trang web có độ bảo mật kém.

Có rất nhiều malware được tạo ra để khai thác tối đa các lỗ hổng an ninh trong hệ thống, hệ điều hành và trình duyệt để bí mật cài đặt Antivirus PC 2009 vào máy tính của người sử dụng. Với giao diện khá bắt mắt, cùng với cách bố trí các chức năng, chứng nhận tiêu chuẩn… rất chuyên nghiệp, khá nhiều người dùng đã vô tình tiếp tay cho kẻ xấu bằng cách chi tiền ra để mua bản quyền hoặc key kích hoạt cho 1 chương trình an ninh giả mạo như vậy:

Giao diện chính của Antivirus PC 2009

Với cách thức hoạt động khá quen thuộc, khi xâm nhập thành công vào máy tính, Antivirus PC 2009 sẽ tự động kích hoạt các dịch vụ rà soát và tìm kiếm các lỗi bảo mật trong hệ thống, đồng thời hiển thị thông tin hoàn toàn sai lệch để khiến người dùng tin tưởng. 1 trong những giải pháp an toàn tuyệt đối được nhiều chuyên gia bảo mật tin tưởng là phần mềm Spyware Doctor with Antivirus.
Các bước để loại bỏ Antivirus PC 2009 ra khỏi hệ thống:
Trước tiên, các bạn cần tắt những tiến trình sau (bằng Task Manager hoặc Process Explorer):

avpc2009.exe
avpc2009s.exe
Uninstaller.exe
xvgke.exe
eopqi.exe
wvjhtpr.exe
fnrnspc.exe
islbk.exe

Tiếp theo, tìm và xóa tất cả các file, thư mục lưu trữ và shortcut có liên quan đến Antivirus PC 2009 như:

c:\Program Files\Antivirus PC 2009
c:\Program Files\Antivirus PC 2009\2.vbs
c:\Program Files\Antivirus PC 2009\avpc2009.exe
c:\Program Files\Antivirus PC 2009\avpc2009s.exe
c:\Program Files\Antivirus PC 2009\bzip2.dll
c:\Program Files\Antivirus PC 2009\libltdl3.dll
c:\Program Files\Antivirus PC 2009\pthreadVC2.dll
c:\Program Files\Antivirus PC 2009\Uninstaller.exe
c:\Program Files\Antivirus PC 2009\data
c:\Program Files\Antivirus PC 2009\data\daily.cvd
c:\Program Files\Antivirus PC 2009\data\self.hdb
c:\Program Files\Antivirus PC 2009\quarantine%UserProfile%\xvgke.exe
%UserProfile%\Desktop\Antivirus PC 2009.lnk
%UserProfile%\My Documents\eopqi.exe
%UserProfile%\Start Menu\Programs\Antivirus PC 2009.lnk
c:\WINDOWS\wvjhtpr.exe
c:\WINDOWS\system32\fnrnspc.exe
c:\WINDOWS\system32\islbk.exe

Đồng thời, mở registry và xóa những khóa được tạo ra bởi Antivirus PC 20009 như sau:

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
HKEY_LOCAL_MACHINE\SOFTWARE\AVPC2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Antivirus PC 2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run “Antivirus PC 2009

Kết thúc bước trên mà không gặp bất cứ khó khăn nào thì bạn đã thành công trong việc xóa bỏ hoàn toàn Antivirus PC 2009 ra khỏi máy tính đã bị lây nhiễm. Để đảm bảo an toàn hơn nữa cho hệ thống, các bạn nên tham khảo tính năng và sử dụng các chương trình bảo mật của các hãng danh tiếng sau: Spyware Doctor with Antivirus, Norton, Trend Micro, Kaspersky, AVG, MalwareBytes hoặc những ứng dụng bảo mật có sẵn của công ty Meta tại đây.

Antivirus Pro 2010 – hiện đang là 1 trong những ứng dụng an ninh giả mạo với tốc độ lây truyền nhanh nhất trong khoảng thời gian đầu năm 2010, được tạo ra với mục đích đánh lừa người sử dụng mua bản quyền kích hoạt của chương trình.

Khi Antivirus Pro 2010 xâm nhập thành công vào máy tính của nạn nhân, chương trình sẽ bí mật thu thập các thông tin cá nhân của người dùng dựa vào các phần mềm spyware và malware đi kèm, chúng ta có thể dễ dàng nhận thấy những điểm chung của Antivirus Pro 2010 và PC Antispyware 2010, Home Antivirus 2010, PC Security 2009:

Giao diện chính của Antivirus Pro 2010

Khi cài đặt thành công vào máy tính, Antivirus Pro 2010 sẽ liên tục hiển thị các thông báo sai lệch về tình trạng an ninh của hệ thống và đưa ra những lời khuyên để họ chi tiền ra mua bản quyền. Với những phần mềm giả mạo như này, các chuyên gia bảo mật đã khuyến cáo mọi người sử dụng chương trình Spyware Doctor with Antivirus.

Các bước xóa bỏ Antivirus Pro 2010

Trước tiên, bật Task Manager hoặc Process Explorer và tắt tiến trình chính sau đây: AntivirusPro_2010.exe. Sau khi ngắt hoạt động của tiến trình AntivirusPro_2010.exe thì những thư viện động sau cũng sẽ được “giải phóng” và chúng ta có thể dễ dàng xóa bỏ chúng: AVEngn.dll, htmlayout.dll, pthreadVC2.dll, msvcm80.dll, msvcp80.dll và msvcr80.dll.
Bước tiếp theo, tìm và xóa các file dữ liệu trace của Antivirus Pro 2010:

AntivirusPro_2010.lnk
Uninstall.lnk
AntivirusPro_2010.cfg
AntivirusPro_2010.exe
msvcm80.dll
msvcp80.dll
msvcr80.dll
pthreadVC2.dll
Uninstall.exe
AVEngn.dll
htmlayout.dll

Tuy nhiên, có 1 vài file trên thường không “cư trú” tại thư mục gốc tại %Program Files%\AntivirusPro_2010. Sau đó, mở Registry, tìm và xóa tất cả các khóa sinh ra bởi Antivirus Pro 2010:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LinksBar\ItemCache
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Extensions
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Recovery
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SQM\PIDs
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Settings\{DBC80044-A445-435B-BC74-9C25C1C588A9}
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Settings\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Proces s\[TÊN FILE GỐC]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\AntivirusPro_2010

Trên đây là những bước cơ bản để loại bỏ phần mềm an ninh giả mạo Antivirus Pro 2010 ra khỏi hệ thống. Để đảm bảo an toàn hơn nữa cho hệ thống, các bạn nên tham khảo tính năng và sử dụng các chương trình bảo mật của các hãng danh tiếng sau: Spyware Doctor with Antivirus, Norton, Trend Micro, Kaspersky, AVG, MalwareBytes hoặc những ứng dụng bảo mật có sẵn của công ty Meta tại đây.

T.Anh (theo RemoveVirus)

Về bản chất, đây là bản sao của chương trình giả mạo Total Security, và nó cũng không quá khó để xóa bỏ.

Mục đích của phần mềm giả mạo là lừa đảo, khiến cho người dùng tin vào những cảnh báo không có thật về tình trạng, số lượng của virus, spyware, malware… có trong máy tính của họ. Nếu để ý kỹ, bạn sẽ thấy rằng nó có giao diện y hệt với Total Security, chỉ khác biệt 1 chút trong file trace. Khi hoạt động ẩn, chương trình sẽ hiển thị 1 giao diện gần giống với ứng dụng mặc định của Windows Security. Khi người dùng click chuột vào biểu tượng đó, chương trình sẽ lập tức hiển thị bảng thông báo với vẻ ngoài rất đáng tin cậy mang phong cách của Microsoft và khuyên bạn nên tiến hành cập nhật Cyber Security. Và sau đó là yêu cầu người sử dụng mua key kích hoạt bản quyền chương trình. Khi họ tiến hành cập nhật chương trình, các loại virus, trojan và spyware sẽ đua nhau tải về máy của người dùng.

Một số biểu hiện của máy tính đã bị nhiễm Cyber Security

- Luôn hiển thị các kết quả nghiêm trọng về tình hình an ninh của máy tính
- Tự động kích hoạt chế độ scan khi hệ thống khởi động
- Biểu tượng cảnh báo luôn xuất hiện ở khay hệ thống
- Cửa sổ popup và địa chỉ trang chủ luôn trỏ về website của ứng dụng giả mạo

Một số hình ảnh của chương trình Cyber Security

Để khắc phục những triệu chứng trên, nhiều chuyên gia bảo mật đều khuyến cáo cộng đồng người dùng sử dụng chương trình Spyware Doctor with Antivirus.

Hướng dẫn xóa bỏ Cyber Security theo cách thủ công

Bật Task Manager, tìm và tắt các tiến trình sau: tsc.exe, csc.exe
Tiếp theo, tìm các khóa sau trong Registry và xóa tất cả những gì có liên quan đến Cyber Security:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Cyber Security
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run “csc.exe”

Và xóa bỏ tất cả các file thực thi *.exe trong thư mục %Program Files\CS\: iehelpmod.dll, csc.exe, iehelpmod.dll (file này nằm trong thư mục c:\windows\system32\), winsource.dll, Help.lnk, Registration.lnk và Cyber Security.lnk.
Nếu thực thiện tất cả các bước trên mà không gặp trở ngại nào, có nghĩa là bạn đã thành công trong việc loại bỏ phần mềm giả mạo Cyber Security ra khỏi hệ thống. Để đảm bảo an toàn cho hệ thống, các bạn có thể tham khảo tính năng và sử dụng các chương trình bảo mật của các hãng danh tiếng sau: Spyware Doctor with Antivirus, Norton, Trend Micro, Kaspersky, AVG, MalwareBytes hoặc những ứng dụng bảo mật có sẵn của công ty Meta tại đây.

T.Anh (theo RemoveVirus)

Được tạo ra với mục đích nhắm vào túi tiền của những người sử dụng ít kinh nghiệm, AntiSpyware Shield Pro thường đi kèm với những loại Trojan và malware độc hại khác.

Sau khi xâm nhập thành công vào máy tính của nạn nhân, chương trình sẽ liên tục hiển thị các thông báo ở mức nghiêm trọng về tình hình an ninh hiện thời của toàn bộ hệ thống:

Giao diện chính của AntiSpyware Shield Pro

Ngay sau khi được cài đặt thành công lên máy tính của người dùng, Antispyware Shield Pro sẽ tự động kích hoạt quá trình quét toàn bộ hệ thống để phát hiện sự tồn tại của malware và các hiểm họa khác. Tất nhiên, chương trình sẽ liên tục cảnh báo cho người sử dụng rằng hệ thống của họ đã bị lây nhiễm rất nặng nề, và yêu cầu họ kích hoạt, mua bản quyền đầy đủ để diệt tận gốc các hiểm họa trên. Với những chương trình độc hại như này, các chuyên gia bảo mật khuyến cáo với người sử dụng rằng họ nên sử dụng Spyware Doctor with Antivirus – hiện đang là 1 chiếc lá chắn hữu hiệu nhất khi muốn đương đầu với các dòng spyware và phần mềm độc hại hiện nay.

Cách thức xóa bỏ Antispyware Shield Pro bằng cách thủ công

Sử dụng Task Manager hoặc Process Explorer, tìm và tắt bỏ tiến trình sau antispyshield.exe. Sau đó, xóa tất cả các file, thư mục và các nguồn thư viện có liên quan đến AntiSpyware Shield Pro như:

%UserProfile%\Desktop\Antispyware Shield Pro.lnk
%UserProfile%\Start Menu\Programs\Antispyware Shield Pro
%UserProfile%\Start Menu\Programs\Antispyware Shield Pro\Antispyware Shield Pro.lnk
%UserProfile%\Start Menu\Programs\Antispyware Shield Pro\Uninstall.lnk
c:\Program Files\Antispyware Shield Pro
c:\Program Files\Antispyware Shield Pro\antispyshield.exe
c:\Program Files\Antispyware Shield Pro\License.rtf
c:\Program Files\Antispyware Shield Pro\uninst.exe
c:\Documents and Settings\All Users\Application Data\JKPF893
c:\Documents and Settings\All Users\Application Data\JKPF893\restore.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\Restore
c:\Documents and Settings\All Users\Application Data\Microsoft\Restore\storage.dat

Và các khóa registry sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Paths\antispyshield.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Antispyware Shield Pro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system “EnableLUA” = 0
HKEY_CURRENT_USER\Software\Entire Safe Scripts Ltd\Antispyware Shield Pro
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run “Restore”

Sau đó, xóa bỏ toàn bộ tất cả những gì có trong thư mục: c:\Program Files\Antispyware Shield Pro\
Để đảm bảo an toàn cho hệ thống, các bạn có thể tham khảo tính năng và sử dụng các chương trình bảo mật của các hãng danh tiếng sau: Spyware Doctor with Antivirus, Norton, Trend Micro, Kaspersky, AVG, MalwareBytes hoặc những ứng dụng bảo mật có sẵn của công ty Meta tại đây.

T.Anh (theo RemoveVirus)