Online Media

QuanTriMang - Khi hệ thống bị lây nhiễm, một trong những triệu chứng dễ thấy nhất là không thể chạy các tập tin thực thi. Bất kỳ phần mềm quét virus hay mã độc nào bạn tải về đều sẽ gây ra lỗi khi cố gắng chạy nó. Bạn có thể nhận được cảnh báo rằng tập tin bị lây nhiễm hoặc không thể mở. Điều này xảy ra bởi một số phần mềm độc hại (đặc biệt là các biến thể của Bagle hoặc rootkit TDSS) đã chặn các chương trình từ việc cài đặt và thực thi. Nếu bạn đã cố gắng sửa chữa tập tin .exe bằng phương pháp nào đó mà không hiệu quả thì hãy thử một vài tùy chọn khác.

Bài viết sau sẽ giới thiệu cách giải quyết khá đơn giản, do đó bạn sẽ có thể chạy được các công cụ như bình thường.

Như đã từng đề cập, malware và rootkit có thể chặn các chương trình bảo mật từ lúc khởi chạy chúng, vì vậy khi tải về các công cụ này bạn cần đổi tên cho nó trước khi lưu ra desktop.

Lưu ý: Việc đổi tên file sau khi đã tải về sẽ không có tác dụng bởi ngay lập tức nó có thể bị phát hiện và ngăn chặn việc đổi tên, thậm chí sẽ ngăn chặn cả việc tải xuống file đó.

Trường hợp bạn muốn copy phần mềm từ usb sang máy tính bị nhiễm virus, hãy nhớ đổi tên phần mềm đó trước khi cắm usb vào máy.

Trong hầu hết các trường hợp ComboFix chỉ cần đổi tên trong một thời gian. Tuy nhiên một số chương trình như các “Antivirus” độc hại, trojans được nâng cao hơn (ví dụ như ‘Windows Police Pro') bạn sẽ cần đổi tên ComboFix thành CF.bat trước khi lưu file này về desktop của mình. Hãy chắc chắn rằng lựa chọn tại mục ‘Save as Type:' là "All Files."

Ngoài ra cũng có trường hợp với MalwareBytes bạn phải đổi tên file hai lần:

1. Trước khi tải về tập tin/trước khi lưu ra máy tính của bạn.
2. Sau khi cài đặt xong, vào thư mục cài đặt của chương trình, tìm file mbam.exe và đổi tên cho nó.

Bạn cũng có thể kiểm tra sự có mặt của trình điều khiển TDSS bằng cách sau:

• Vào Control Panel.
• Chọn System > Hardware > Device Manager.
• Tại menu View chọn "Show hidden Devices".
• Kích chuột vào mục "Non Plug and Play Drivers" để mở rộng.
• Kích chuột phải vào TDSSserv.sys (nếu có) và chọn Properties > driver, kích stop để vô hiệu hóa nó.
• Nếu có yêu cầu restart lại máy tính, chọn No.

Bạn cũng cần vô hiệu hóa những biến thể khác nếu thấy như: seneka*, gao*, UAC*, geyek*, ytasfw*… đây là những biến thể của rootkit phát triển theo toàn bộ thời gian.

Một số biến thể của chương trình chống virus (như SystemSecurity) có tên là những con số ngẫu nhiên chạy từ thư mục Application Data (giống như 4283411.exe hay 3251452.exe) sẽ giám sát mọi chương trình bạn cố gắng tải về. Khi bạn cố mở hoặc chạy, chúng sẽ được gắn lá cờ như đã bị lây nhiễm, đồng thời cũng chặn tất cả các tập tin thực thi, ngoại trừ các file hệ thống quan trọng.

Để bỏ qua việc bị ngăn chặn, bạn có thể tải về tiện ích Process Explorer và đổi tên cho nó thành svchost.exe hoặc winlogon.exe (giống như tên tập tin quan trọng của hệ thống) và khởi chạy. Sau đó bạn có thể xác định được ví trí của SystemSecurity để tìm và tiêu diệt những tiến trình có tên là những con số ngẫu nhiên. Bạn có thể chạy Malwarebytes hoặc ComboFix ngay sau đó.