Làm thế nào để gỡ bỏ Sysinternals Antivirus ra khỏi hệ thống.

Được biết đến với các biệt danh như

* Win-Trojan/Malware.72192.N
* Win32:Malware-gen
* SHeur3.ACCN
* Trojan.Siggen1.26839
* Trojan.Win32.FraudPack.axjf
* Trojan:Win32/FakeScanti
* Win32/Adware.PCProtector
* RogueAntiSpyware.WindowsAntivirusPro
* Malware-Cryptor.Win32.Limpopo

Các tập tin, thư mục được tạo ra trên hệ thống

* C:Documents and Settingsmalwarehelp.orgDesktopSysinternals Antivirus.lnk
* C:Documents and Settingsmalwarehelp.orgLocal SettingsTempwin1.tmp
* C:Documents and Settingsmalwarehelp.orgLocal SettingsTempwin2.tmp
* C:Documents and Settingsmalwarehelp.orgLocal SettingsTempwin7.tmpXP
* C:Documents and Settingsmalwarehelp.orgLocal SettingsTempwin9.tmpXP
* C:Documents and Settingsmalwarehelp.orgLocal SettingsTempwinB.tmpXP
* C:Documents and Settingsmalwarehelp.orgLocal SettingsTempwinD.tmpXP
* C:Documents and Settingsmalwarehelp.orgStart MenuProgramsSysinternals AntivirusSysinternals Antivirus.lnk
* C:Documents and Settingsmalwarehelp.orgApplication DataMicrosoftInternet Explorerwmrun.log

* C:Program Filesadc_w32.dll
* C:Program Filesalggui.exe
* C:Program Filesnuar.old
* C:Program Filesscdatadbsinit.exe
* C:Program Filesscdataimagesi1.gif
* C:Program Filesscdataimagesi2.gif
* C:Program Filesscdataimagesi3.gif
* C:Program Filesscdataimagesj1.gif
* C:Program Filesscdataimagesj2.gif
* C:Program Filesscdataimagesj3.gif
* C:Program Filesscdataimagesjj1.gif
* C:Program Filesscdataimagesjj2.gif
* C:Program Filesscdataimagesjj3.gif
* C:Program Filesscdataimagesl1.gif
* C:Program Filesscdataimagesl2.gif
* C:Program Filesscdataimagesl3.gif
* C:Program Filesscdataimagespix.gif
* C:Program Filesscdataimagest1.gif
* C:Program Filesscdataimagest2.gif
* C:Program FilesscdataimagesThumbs.db
* C:Program Filesscdataimagesup1.gif
* C:Program Filesscdataimagesup2.gif
* C:Program Filesscdataimagesw1.gif
* C:Program Filesscdataimagesw11.gif
* C:Program Filesscdataimagesw2.gif
* C:Program Filesscdataimagesw3.jpg
* C:Program Filesscdataimagesword.doc
* C:Program Filesscdataimageswt1.gif
* C:Program Filesscdataimageswt2.gif
* C:Program Filesscdataimageswt3.gif
* C:Program Filesscdatawispex.html
* C:Program Filesskynet.dat
* C:Program Filessvchost.exe
* C:Program FilesSysinternals AntivirusSysinternals Antivirus.exe
* C:Program Fileswp3.dat
* C:Program Fileswp4.dat
* C:Program Fileswpp.exe

* C:WINDOWSTempwin10.tmpXP
* C:WINDOWSTempwin12.tmpXP
* C:WINDOWSTempwin14.tmpXP
* C:WINDOWSTempwin16.tmpXP
* C:WINDOWSTempwin18.tmpXP
* C:WINDOWSTempwin2.tmpXP
* C:WINDOWSTempwin4.tmpXP
* C:WINDOWSTempwin6.tmpXP
* C:WINDOWSTempwin8.tmpXP
* C:WINDOWSTempwinA.tmpXP
* C:WINDOWSTempwinC.tmpXP
* C:WINDOWSTempwinE.tmpXP

* C:Program FilesSysinternals Antivirus
* C:Documents and Settingsmalwarehelp.orgStart MenuProgramsSysinternals Antivirus
* C:Sysinternals Antivirus
* C:Program Filesscdata

Lưu ý : Ngoài các tập tin có tên gọi như bên trên Sysinternals Antivirus còn tạo ra các tên gọi ngẫu nhiên khác nhau do đó bạn hãy cẩn thận khi thực hiện xoá bỏ chúng ở chế độ thủ công.

Các tiến trình, khoá đăng ký trên hệ thống

* HKEY_CLASSES_ROOTCLSID{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CLASSES_ROOTCLSID{149256D5-E103-4523-BB43-2CFB066839D6}InprocServer32


* HKEY_CURRENT_USERControl PanelDesktopForegroundLockTimeout=14416036
* HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainCheck_Associations=no
* HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainNoProtectedModeBanner=1
* HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerLowRegistry
* HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerLowRegistryDontShowMeThisDialogAgain
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsProxyEnable=0
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnonBadCertRecving=0
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnOnHTTPSToHTTPRedirect=0
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnOnPostRedirect=0
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnOnView=
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWarnAlwaysOnPost=
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunnovavapp=C:Documents and Settingsmalwarehelp.orgApplication DataMicrosoftInternet Explorerccsmn.exe
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunnovavappr=C:Documents and Settingsmalwarehelp.orgApplication DataMicrosoftInternet Explorerccsrs.exe
* HKEY_CURRENT_USERSoftwareSysinternals Antivirus
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirus
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals AntivirusRegistration
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdata
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatascantime=5.6.2010 4:15:52
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatascncnt=11
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck9=1
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck10=0
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck11=1
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck12=1
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck13=0
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck14=1
* HKEY_CURRENT_USERSoftwareSysinternals AntivirusSysinternals Antivirussetdatacheck15=0


* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{149256D5-E103-4523-BB43-2CFB066839D6}
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpd
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdType=16
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdStart=2
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdErrorControl=1
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdImagePath=C:Program Filessvchost.exe
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdDisplayName=Adobe Update Service
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdObjectName=LocalSystem
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdSecurity
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdSecuritySecurity=.
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdEnum
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdEnum�=RootLEGACY_ADBUPD�000
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdEnumCount=1
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAdbUpdEnumNextInstance=1


* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPDNextInstance=1
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000Service=AdbUpd
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000Legacy=1
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000ConfigFlags=0
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000Class=LegacyDriver
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000ClassGUID={8ECC055D-047F-11D1-A537-0000F8753ED1}
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000DeviceDesc=Adobe Update Service
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000Control
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000Control*NewlyCreated*=0
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ADBUPD�000ControlActiveService=AdbUpd


Cảnh báo : Nếu không thực sự hiểu về hoạt động của hệ thống bạn không nên chỉnh sửa các tiến trình này ở chế độ thủ công.

Ngoài các thông tin trên còn có 2 địa chỉ liên quan tới hoạt động của Sysinternals Antivirus

http://jn2950.onlinevieworder. com/signup.cgi?ver=3&aff=2950&h.....=............
http://core2950.mylivejournalchanel. com/stat/action3.cgi?p=1&a=2950&sys.....=6.0.2900|5.1.3|1033&id=............

Do sự nguy hiểm của nó, tránh việc truy cập bởi sự tò mò muốn khám phá, tìm hiểu và bảo vệ bạn trước sự lây nhiễm, tác giả đã xoá bớt một phần thông tin của 2 trang này.

Sau khi đã cài đặt thành công trên hệ thống nó sẽ tự động quét hệ thống và hiển thị một loạt cảnh báo với kết quả giả mạo như

* Security Alert
Infiltration Alert
Your computer is being attacked by an Internet Virus. It could be a password-stealing attack, a trojan-dropped or similar

*Warning: Infection is Detected
Windows has found spyware infection on your computer! Click here to update your WIndows antivirus software...

*svchost.exe has encountered a problem and needs to close. We are sorry for the inconvenience.
If you were in the middle of something, the information you were working on might be lost.
Please tell Microsoft about this problem.
We have created an error report that you can send to us. We will treat this report as confidential and anonymous.

Đồng thời hiển thị trên giao diện hiển thị các kết quả không có thật và yêu cầu nạn nhân đăng ký sử dụng trực tuyến với các thông tin về tài khoản giao dịch để trả với mức phí là 52.95 USD, xin đừng lo lắng hãy bỏ qua tất cả và nhấn vào nút Enter Activation Key, nhập mã kích hoạt DB038748-B4659586-4A1071AF-32E768CD-36005B1B-F4520642-3000BF2A-04FC910B > Enter hoặc Activate > hãy thực hiện xoá bỏ những gì Sysinternals Antivirus tìm thấy.

Nhấn vào các nút Privacy, Firewall, Update, Settings vô hiệu hoá tất cả các chức năng bảo vệ, khởi động cùng Windows cũng như các tính năng khác đang hoạt động của nó.

Nhấn tiếp tổ hợp phím Ctrl + Alt + Del > tại cửa sổ Windows Task Manager > Proccesses > phải chuột các tiến trình đang chạy của Sysinternals Antivirus như bên dưới > End Process để ngừng mọi hoạt động của nó

* alggui.exe
* %Program Files%svchost.exe
* dbsinit.exe
* Sysinternals Antivirus.exe
* ccsmn.exe
* ccsrr.exe

Khởi động lại hệ thống trong chế độ Safe Mode With Networking > kết nối Internet tải Malwarebytes AntiMalware Free bằng cách tìm với Google với từ khoá MBAM, tải về cài đặt công cụ về cài đặt, cập nhật dữ liệu mới nhất cho Malwarebytes AntiMalware > thực hiện quét hệ thống ở chế độ Perform full scan > quá trình này kết thúc nhanh hoặc chậm tuỳ thuộc vào hoạt động của từng hệ thống máy tính.

Tải công cụ Malwarebytes AntiMalware Free

Quá trình quét kết thúc chọn tất cả các tập tin, thư mục của Sysinternals Antivirus được tìm thấy trên hệ thống > Remove Selected để xoá bỏ chúng.

Tải ứng dụng chống Virus thích hợp về cài đặt, cập nhật dữ liệu mới nhất cho ứng dụng thực hiện quét kiểm tra hệ thống một lần nữa ở chế độ quét sâu (Full Scan, Complete Scan) trong khi vẫn làm việc ở chế độ Safe Mode with Networking.

Nếu đang sử dụng hệ điều hành Win 7 hãy thực hiện với chức năng User Account Control (UAC) ở chế độ Always notify để Windows hiển thị cảnh báo khi cài đặt một ứng dụng mới.

Để kích hoạt chức năng này trên Win 7 > Start > Control Panel > nếu đang sử dụng định dạng Category ở mục View by > nhấp vào mũi trên trỏ xuống chọn Small icons >  User Accounts > Change User Account Control settings > kéo thanh trượt lên mức cao nhất "Always notify" > OK. Sau khi kích hoạt chức năng Windows sẽ hiển thị cảnh báo mỗi khi bạn cài đặt một ứng dụng mới hoặc khởi động các ứng dụng để xác nhận sự đồng ý của bạn trước khi làm việc với các ứng dụng nhằm bảo đảm an ninh cho hệ thống một cách tốt nhất.