Khi hệ thống bị lây nhiễm, một trong những triệu chứng dễ thấy nhất là không thể
chạy các tập tin thực thi. Bất kỳ phần mềm quét virus hay mã độc nào bạn tải về
đều sẽ gây ra lỗi khi cố gắng chạy nó. Bạn có thể nhận được cảnh báo rằng tập
tin bị lây nhiễm hoặc không thể mở.
Điều này xảy ra bởi một số
phần mềm độc hại (đặc biệt là các biến thể của Bagle hoặc rootkit TDSS) đã chặn
các chương trình từ việc cài đặt và thực thi. Nếu bạn đã cố gắng sửa chữa tập
tin .exe bằng phương pháp nào đó mà không hiệu quả thì hãy thử một vài tùy chọn
khác.
Bài viết sau sẽ giới thiệu
cách giải quyết khá đơn giản, do đó bạn sẽ có thể chạy được các công cụ như bình
thường.
Như đã từng đề cập, malware
và rootkit có thể chặn các chương trình bảo mật từ lúc khởi chạy chúng, vì vậy
khi tải về các công cụ này bạn cần đổi tên cho nó trước khi lưu ra desktop.
Lưu ý:
Việc đổi tên file sau khi đã
tải về sẽ không có tác dụng bởi ngay lập tức nó có thể bị phát hiện và ngăn chặn
việc đổi tên, thậm chí sẽ ngăn chặn cả việc tải xuống file đó.
Trường hợp bạn muốn copy
phần mềm từ usb sang máy tính bị nhiễm virus, hãy nhớ đổi tên phần mềm đó trước
khi cắm usb vào máy.
Trong hầu hết các trường hợp
ComboFix chỉ cần đổi tên trong một thời gian. Tuy nhiên một số chương trình như
các “Antivirus” độc hại, trojans được nâng cao hơn (ví dụ như ‘Windows Police
Pro') bạn sẽ cần đổi tên ComboFix
thành CF.bat
trước khi lưu file này về desktop của mình. Hãy chắc chắn rằng lựa chọn tại mục
‘Save as Type:' là "All
Files."
Ngoài ra cũng có trường hợp
với MalwareBytes bạn
phải đổi tên file hai lần:
1.
Trước khi tải về tập tin/trước khi lưu ra máy tính của bạn.
2.
Sau khi cài đặt xong, vào
thư mục cài đặt của chương trình, tìm file mbam.exe và đổi tên cho nó.
Bạn cũng có thể kiểm tra sự
có mặt của trình điều khiển TDSS bằng cách sau:
-
Vào
Control Panel.
-
Chọn
System >
Hardware >
Device Manager.
-
Tại menu
View chọn "Show
hidden Devices".
-
Kích chuột vào mục "Non
Plug and Play Drivers" để mở rộng.
-
Kích chuột phải vào
TDSSserv.sys (nếu
có) và chọn Properties
> driver,
kích stop để vô
hiệu hóa nó.
-
Nếu có yêu cầu restart
lại máy tính, chọn No.
Bạn cũng cần vô hiệu hóa
những biến thể khác nếu thấy như: seneka*,
gao*, UAC*, geyek*, ytasfw*… đây là những biến thể của rootkit phát
triển theo toàn bộ thời gian.
Một số biến thể của chương
trình chống virus (như SystemSecurity) có tên là những con số ngẫu nhiên chạy từ
thư mục Application Data (giống như
4283411.exe hay
3251452.exe) sẽ giám sát mọi chương trình bạn cố gắng tải về.
Khi bạn cố mở hoặc chạy, chúng sẽ được gắn lá cờ như đã bị lây nhiễm, đồng thời
cũng chặn tất cả các tập tin thực thi, ngoại trừ các file hệ thống quan trọng.
Để bỏ qua việc bị ngăn chặn,
bạn có thể tải về tiện ích
Process
Explorer và đổi tên cho nó thành
svchost.exe hoặc
winlogon.exe (giống như tên tập tin
quan trọng của hệ thống) và khởi chạy. Sau đó bạn có thể xác định được ví trí
của SystemSecurity để tìm và tiêu diệt những tiến trình có tên là những con số
ngẫu nhiên. Bạn có thể chạy Malwarebytes hoặc ComboFix ngay sau đó.
H.T (st)