Tổng hợp về Rogue software (Malware )

[4 fantastic]

Trong thời gian gần đây, tôi thấy khá nhiều bạn gặp vấn đề này trong sub- box security cũng như box phần mềm.Vì lý do đó nên tôi lập theard này để tổng hợp các thông tin , cách phòng tránh cũng như hướng dẫn gỡ bỏ Rogue software ( Fake - security software ) ra khỏi computer của bạn khi bị nó xâm nhập

----------------------------------------------
- Dấu hiệu để nhận biết khi bị dính rogue là bạn tự nhiên thấy một phần mềm lạ xuất hiện đi kèm với nó là cảnh báo máy tính của bạn đang gặp vấn đề nghiêm trọng về virus , spyware.. hoặc phần mềm tự động đưa ra một bảng scan với 1 danh sách virus , spyware .. " được nó " phát hiện có trong máy của bạn .Và đi kèm với nó là yêu cầu bạn phải mua nó (lolz) thì mới có thể diệt được cái danh sách mà nó đã đưa ra.
- Nhận dạng chung của các rogue này là :
+ Tên gọi thường rất " hoành tráng " .Ví dụ : Ultimate Antivirus , SpyGuarder ,XP SecurityCenter
+ Giao diện rất đẹp , bắt mắt ( cái này các soft real - anti nên làm )
+ Thông báo thường gặp khi máy bị nhiễm rouge :WARNING! Your computer is infected with spyware! Buy [software name] to remove it! và nếu bạn nhấn OK trong cửa sổ thông báo này thì thường nó sẽ dẫn bạn đến 1 trang xxx :'> , nếu bạn đóng thông báo trên lại thì đa phần nó sẽ thực hiện ngay quá trình cài đặt -.- - để đóng thông báo này cách tốt nhất là sd Alt+F4 . Còn 1 số rogue thì không cần bạn làm gì nó cũng vẫn tự download và install mà bạn ko hề biết.
+ Thường ở thanh taskbar bạn sẽ nhìn thấy thông báo như hình sau

- Cách diệt Rogue :
+ Có thể sử dụng HijackThis
+ Các guild hướng dẫn remove manual ( gỡ bỏ bằng "tay" )
+ Sử dụng Malwarebytes' Anti-Malware ( Tùy từng trường hợp )

Next post : Vista Antivirus 2008 (Removal Instructions)
NOTE : Cái này biết là thừa những vẫn cần viết : Tất cả những tên phần mềm được trình bày sau bài này đều là các phần mềm gây nguy hại cho máy của bạn , thế nên đừng ai thử download về nhé :)

 

[4 fantastic]

Vista Antivirus 2008​

Vista Antivirus 2008 là 1 dạng rogue anti-spyware , có họ hàng thân thiết với các rogue khác như :Windows Antivirus 2008, Antivirus 2008, System Antivirus 2008.
Khi đã bị rogue này cài đặt vào máy nó sê tự động và scan máy của bạn và báo cho bạn biết computer của bạn đang gặp vấn đề nghiêm trọng về security , dĩ nhiên là nó bắt phải mua thì mới remove .

Giao diện chính của Vista Antivirus 2008​

website của rogue này hxxp://vav2008.com
nguồn gốc : Ukraine
Độ nguy hiểm : Extremely High

giao diện web trên​

-------------------------------------------

Hướng dẫn gỡ bỏ Vista Antivirus 2008

Đến thời điểm này thì tôi đã tổng hợp được 3 cách gỡ bỏ rogue này

Cách I : Sử dụng phần mềm để tự động gỡ bỏ

Nếu sử dụng cách này trước hết bạn nên ghi lại hoặc in ... bất cứ cách nào để nhớ được nhg bước sau , cũng nên cẩn thận sao lưu những dữ liệu quan trọng đê đề phòng
1. Download file SmitFraudFix , save luôn ở desktop cho nó dễ nhìn
2. Restart lại máy ở chế độ Safe Mode , chạy file SmitfraudFix.exe
3. Sau khi chạy file trên , bạn sẽ nhìn thấy menu để lựa chọn , chọn option 2 là Clean (safe mode recommended) , sau đó nhấn Enter
4. SmitFraudFix sẽ tự động làm phần việc của nó , sau đó chương trình Disk Cleanup sẽ tự động chạy
5. Sau khi Disk Cleanup chạy xong , sẽ có thông báo hiện ra : Registry cleaning - Do you want to clean the registry , bạn chọn YES , enter và reboot lại computer
6. SmitFraudFix sẽ kiểm tra nếu phát hiện được file wininet.dll và sẽ hỏi Replace infected file? chọn Yes và nhấn enter
7. Reboot computer sẽ hoàn thành việc dọn dẹp process.
8. Sau khi reboot lại , một cửa sổ Notepad sẽ hiện ra ( nếu không thấy bạn có thể tìm file này "rapport.txt" trong ổ chứa OS
9. Restart lại máy và tiếp tục lựa chọn Safe Mode
10. Vào C:\Windows\Temp> Edit > Select All > nhấn DELETE
11.Tiếp tục vào C:\Documents and Settings\[LISTED USER]\Local Settings\Temp thực hiện như bc 10
12. Reboot lại máy bạn ở chế độ bình thg .

-------------------------------------------

Cách 2 : Gỡ bỏ bằng "tay"

Trước khi thực hiện việc này bạn cần đóng tất cả các ứng dụng lại

1 .Vào control panel > Add/Remove Programs tìm Vista Antivirus 2008 sau đó chọn uninstall.
2. Start > Run > gõ regedit > OK.
Sửa giá trị ( value ) ở cửa sổ bên phải bằng việc chuột phải vào nó , lựa chọn Modify option > Delete option.
Search và delete Vista Antivirus 2008 registry keys: Vista Antivirus 2008.
3.Bước này là bước phụ : nếu Homepage trong IE của bạn bị thay đổi thì hãy vào lại IE và chỉnh lại về mặc định ( Default )
4.Bạn vào C:\ProgramFiles tìm Folder Vista Antivirus 2008 , nhấn del folder này sẽ hiện ra thông báo : Are you sure you want to remove the folder Vista Antivirus 2008 and move all its contents to the Recycle Bin?’, dĩ nhiên là chọn Yes. Tiếp theo là một thông báo khácRenaming, moving or deleting Vista Antivirus 2008 could make some programs not work. Are you sure you want to do this?’, khỏi bàn ta chọn Yes
5.Còn một công việc cuối là gỡ nốt shortcut của đ/c kia trên desktop và Empty Recyle Bin

-------------------------------------------

Cách 3 : Nói chung đây là cách nhẹ nhàng nhất vì tất cả việc bạn cần làm là ngồi nhìn Malwarebytes' Anti-Malware ( link download tại #1 )làm hộ .Bản thân tôi thì ko thích cách này vì nó quá đơn giản =) , nhưng nó lại rất hữu ích cho những người lười

End.Thx 4 reading

 

[4 fantastic]

#2 Làm thử cái hướng dẫn khá loằng ngoằng nên post này tớ chú trọng đến vấn đề đơn giản , hay gọi là thống kê cũng được.Nội dung của post này là tổng hợp những rouge mà phần mềm Malwarebytes' Anti-Malware có thể diệt được ( A->Z) . Sẽ cập nhật khi có thêm rouge được update vào database của Malwarebytes' Anti-Malware

Advanced Antivirus
Advanced XP Defender
AdvancedXPFixer
AdwareRemover 2007
Antispyboss
AntiSpyCheck
AntiSpyKit
Antivirus 2009
Deus Cleaner 2008
Doctor Antivirus 2008
Easy Spyware Cleaner
Files Secure
IE AntiVirus
Immunizr
InfeStop
KvmSecure
Malware Bell
MalwareAlarm
MalwareCore
MalwarePatrolPro
OnlineGuard
PCAntiVirusPro
PCPrivacyCleaner
Pestsweeper
RealAV
SpyBurner
Spy-Rid
SpySnipe
Spyware.Passwords
SpywareScanner 2008
SpyWatchE
SysCleaner
SystemDefender
The LastDefender
Trojan.Agent
Trojan.BHO
Trojan.FakeAlert
Trojan.Zlob
VideoAccessCodec
VirusHeat
WinAntispyware2008
WinFix Master
WinIFixer
WinReanimator
WinSpyKiller
WinX Security Center
WinXDefender
XP SecurityCenter
XpAntivirus


-------------------------------------------


Thông tin chi tiết về các rouge trên sẽ được cập nhật trong các post sau ( bạn nào giúp tổng hợp thì càng tốt :'> ), nếu thấy rouge quái quái một chút thì tôi sẽ giới thiệu về cách gỡ bỏ bằng "tay" và dĩ nhiên cả những rouge chưa có trong danh sách trên :)

 

[kid_pvt]

Thêm con WinSpywareProtect nữa :( Con này giao diện đẹp thôi rồi Tên virus thì rất pờ rồ Tớ vừa bị dính con này xong ::(
Tớ hỏi thêm 1 tí , tớ bị nhiễm con Vista Antivirus 2008 với con này , quét bằng Malwarebytes' Anti-Malware xong rồi nhưng cứ vào Control Panel thì Windown Explorer lại bị Don't Send báo lỗi , Restart lại Explorer ( Tớ đang dùng Win Vista ) , giờ sửa thế nào đây ::(

 

[4 fantastic]

Tớ hỏi thêm 1 tí , tớ bị nhiễm con Vista Antivirus 2008 với con này , quét bằng Malwarebytes' Anti-Malware xong rồi nhưng cứ vào Control Panel thì Windown Explorer lại bị Don't Send báo lỗi , Restart lại Explorer ( Tớ đang dùng Win Vista ) , giờ sửa thế nào đây

bồ dùng đĩa setup mà repair , tiện đã nhắc đến con WinSpywareProtect , làm luôn về chú này vậy

--------------------------------------------

WinSpywareProtect
​

Trước hết về mặt hình thức xâm nhập thì gần như tương tự so với Vista Antivirus 2008 ( #2)
Anh em thân thiết của rouge này : WinSpywareProtect, Win Spyware Protect, WinSpywareProtect 5.1, WinSpywareProtect.com

Giao diện chính của WinSpywareProtect

WinSpywareProtect Website​

--------------------------------------------

Hướng dẫn gỡ bỏ WinSpywareProtect

Cách 1 : Sử dụng phần mềm để tự động gỡ bỏ

Các bước và cách làm giống như đã trình bày tại #2

Cách 2 : Gỡ bỏ bằng "tay" ( các bước cũng gần giống với #2 )

1. Trước hết bạn cần phải end processes của WinSpywareProtect
ctrl+shift+esc để mở taskmanger , tìm đến dòng có WinSpywareProtect :WinSpywareProtect.exe , chuột phải lên nó lựa chọn “End task”.
2. Vào control panel > Add/Remove Programs tìm WinSpywareProtect sau đó chọn uninstall.
3. Bước này là bước phụ : nếu Homepage trong IE của bạn bị thay đổi thì hãy vào lại IE và chỉnh lại về mặc định ( Default )
4. Bạn vào C:\ProgramFiles tìm Folder WinSpywareProtect , nhấn del folder này sẽ hiện ra thông báo : Are you sure you want to remove the folder WinSpywareProtect and move all its contents to the Recycle Bin?’, dĩ nhiên là chọn Yes. Tiếp theo là một thông báo khác Renaming, moving or deleting WinSpywareProtect could make some programs not work. Are you sure you want to do this?’, khỏi bàn ta chọn Yes
5.Còn một công việc cuối là gỡ nốt shortcut của đ/c kia trên desktop và Empty Recyle Bin

 

[4 fantastic]

Trong # 1 thì tôi đã có nhắc đến một cách để diệt rouge

+ Có thể sử dụng HijackThis

Nói chung cách sử dụng , khái niệm ..etc về HijackThis đã có khá nhiều trên mạng , ở đây tôi chỉ xin mạn phép trích dẫn lại để cho các bạn tiện theo dõi

----------------------------------------------------

Hijackthis là cái gì?

Tác giả Merijn Bellekom đã phát triển một chương trình miễn phí với tên là Hijackthis để có thể xoá các browser hijacker (nói nôm na là những chương trình thay đổi những tinh chỉnh, tuỳ chọn trong browser của mọi người ví dụ như coolwebsearch).

Tiện ích này còn có thể làm được nhiều hơn thế nữa đó là kiểm tra và phát hiện các trình phá hoại khác được cài vào hệ thống. Với sự giúp ích của hijackthis thì công việc phân tích, tìm và đưa ra hướng giải quyết đối với malware sẽ dễ dàng hơn nhiều cho cả người bị nhiễm với người giúp.

-Thông thường khi máy bị nhiễm spyware, malware… các bạn sẽ sử dụng đến các trình quét chuyên dụng như: Ad-Aware, Spybot search&destroy, couterspy hay Antispyware của Microsoft… Các trình trên cũng khá nổi đình nổi đám, nếu các bạn khéo léo sử dụng có thể bảo vệ máy 1 cách tốt nhất đấy. Tuy nhiên với tôi để cho nhanh, đơn giản mộc mạc tôi dùng 1 Hijackthis thôi

-Như các bạn biết các biến thể spyware thường tác động trực tiếp mà “tai nghe mắt thấy” ví như thay đổi mặc định trang Home của IE, tác động đến màn hình desktop, treo máy, tự động bung Pop-up… -> Sự tác động trên mình xếp vào tác động trực tiêp.
Còn tác động gián tiếp hay tác động ngầm thì thường do virus gây lên, bạn phải “điều trị” bằng cách dùng các chương trình quét virus như McaFee, Norton AntiVirus, Pccillin… Hijackthis ko làm đựơc việc này hiệu quả

Tải về và cài đặt :

Sau khi tải về hoặc tải về từ http://www.merijn.org/files/hijackthis.zip hoặc http://download.hijackthis.eu/hijackthis_199.zip, bạn cần sử dụng winzip để giải nén tệp tin đã được nén lại dưới dạng file.zip vào một thư mục được tạo sẵn [1] cho nó để cho hijackthis có thể tạo backup cho những thay đổi của bạn đối với hệ thống.
Rất quan trọng: bạn nên tạo riêng một thư mục cho hijackthis để trong trường hợp cần thiết có thể chỉnh lại được những thay đổi của chương trình đối với hệ thống.
[1] có thể là c:\program files\hijackthis\

Lỗi có thể gặp phải khi cài hijackthis :
Thiếu MSVBVM60.DLL ---> cách giải quyết là vào http://support.microsoft.com/?scid=kb;en...p;x=13&y=16 để tải VBRun60.exe về và cài vào máy.
Nếu không thể chạy được chương trình hijackthis và có nghi ngờ là chương trình phá hoại đã làm việc ngăn chặn máy bạn cho chạy tiến trình của hijackthis thì bạn có thể đổi tên của hijackthis thành một file .com chẳng hạn như kiemtra.com rồi cho chạy hijackthis.

Sử dụng hijathis- tạo log-file:
1.Sử dụng Windows Explorer để chuyển vào thư mục mà bạn đã cài đặt hijackthis (ví dụ như ở trong bài này là c:\program files\hijackthis\

2.Lần đầu tiên sử dụng hijackthis thì bạn sẽ nhận được một lời cảnh báo từ chương trình, bạn có thể bỏ qua việc đọc hướng dẫn khá dài này bằng việc nhấn ok (nhưng tôi vẫn khuyên bạn nên đọc để hiểu thêm một chút về chương trình bạn sử dụng).

3.Sau khi bạn ấn ok để xác nhận thì chương trình sẽ hiện lên cửa sổ “new user quickstart”, bạn nhấn vào nút được tô màu đỏ với tên “Do a system scan and save a log file”.

4.Sau khi thực hiện quét trong máy thì bạn sẽ thấy xuất hiện khung cửa sổ của notdpad mà trong đó là nội dung của log file được tạo bởi hijackthis, log file này bạn có thể lưu lại dưới đường dẫn c:\program files\hijackthis\

với file ---> save as ----> tên là hijathis1.log và ấn save
Log file được tạo ra với 3 phần :
1.Phần đầu tiên là những thông tin về hệ thống (systeminformation), tình trạng vá lỗi của hệ thống.
2.Phần giữa là những chương trình đang được chạy trên hệ thống.
3.Phần cuối là những mục từ R0 đến R23

 

[4 fantastic]

update nhân sang tháng mới nào ! Danh sách 1 số rogue mới cập nhật :

- WinAntispyware2008
- Pestsweeper
- SpywareScanner 2008
- Antivirus 2009
- Doctor Antivirus 2008
- WinX Security Center

Các rogue trên đều đã nằm trong database của phần mềm Malwarebytes' Anti-Malware

 

[Duong_de]

Quá đỉnh , cám ơn anh nhiều Cái này sẽ giúp khối người thoát chết đây ^^

 

[4 fantastic]

đến hẹn lại lên nào , toàn tên kêu :\

-WinAntispyware2008
-Wista Antivirus
-Total Antivirus
-VirusRemover2008
-PC-Antispy
-WinDefender 2008
-Your Web Safe, Registry Sentinel, and Web Sentinel
-Antivirus Master (Av Master)
-AntiSpyware 2008
-XP Antivirus 2008, XP Antivirus 2009, and XPAntiVirus
-Vitae Antivirus 2008
-XLG Security Center and XLGuarder
-RegistryDoctor 2008
-Win Antivir 2008 and Win Antivirus 2008
-Power Antivirus 2009

 

[Devil_kid]

người nhà vô tình để con virus "antivirus 2009" cài vào máy đã dùng spyhunter 3 remove nó đi nhưng hậu quả thật nặng nề:
IE 8 beta khi xài thì lâu lâu nó mở 1 đống tab mới,full tab nó lại mở cửa sổ ie mới lặp lại quá trình trên.(vào google khi search thì hiện tượng này xảy ra ngay).Dùng fire fox 3 hay IE thì khi suft web đều xuất hiện pop up đề nghị cài Antivirus2009(có điên ko cơ chứ) và pop up web game gladiatus.vn(hồi trước có vào trang này,giờ thì quảng cáo trang này nó chèn vào hình hay quảng cáo của hầu hết các site mình từng vô).
Giờ mình dùng Bkav pro scan ko có virus nào hết, nhưng spyhunter v3 lâu lâu lại scan được 1 số malware hay trojan nhưng remove xong đâu lại vào đấy.
Help me!!!!

 

[alwafa]

Góp ý thêm một tí : chương trình Malwarebytes' Anti-Malware down ở trên có phần Real Time Protection nghĩa là bảo vệ thời gian thực . Nhưng muốn có thì phải đăng ký bản quyền . Tôi có tìm được bản keygen , đưa lên đây để mọi người sử dụng .

 

[realmadrid_cf]

Mình cũng bị dính con Antivirus XP 2008, làm đủ mọi cách để diệt nó rồi. Cài lại win, nhưng vẫn không hết, nản quá.

 

[theonets123]

mình cũng bị dính con virut này nản quá , nó toàn mở sang trang web quảng cáo phần mềm diệt virut đã dùng ZoneAlarm, AVG diệt rồi đã deleted nhưng đâu vẫn hoàn đấy , nản quá mà dùng FF dạo này dùng google search nó toàn ra link 1 trang quảng cáo hoặc là virut đã del file temporary, và cookies thử mọi cách nhưng đâu vẫn hoàn đấy

 

[KytoSai]

Mình cũng bị dính con virus này ::( hình nó nè

Có cách nào diệt tận gốc nó được không vậy ?

 

[4 fantastic]

con này cũ rồi mà xài cái này mà diệt

 

[ongKing]

Malwarebytes' Anti-Malware có diệt đc con spyware guard 2009 ko anh ,máy em mới dính con này ::(

 

[4 fantastic]

remove manual cho nó máu
http://windowsprotection.net/how-to-remove-spyware-guard-2009-spywareguard-2009-removal-tool/

 

[ongKing]

remove manual cho nó máu
http://windowsprotection.net/how-to-remove-spyware-guard-2009-spywareguard-2009-removal-tool/

ko đc anh ơi cái này phải đăng kí ::(

 

[truongdepz]

chỉ mình cách diệt con này với

 

[quanzi_1507]

http://www.bleepingcomputer.com/virus-removal/remove-antivirus-pro-2010