Virus explorer.exe và svshost.exe cách nhận biết và khắc phục

Virus explorer.exe và svshost.exe cách nhận biết và khắc phục. Hiện tại 2 con virus này hay trốn kỹ trong Windows/System, phải bật “Hide Protected OS file” trong view oftion mới thấy nó. Mình có thể vào Safe mode và Registry xóa sạch sẽ từ RUN, startup…nhưng vấn đề là khi chạy 1 số app 32bit nào dó như xampp, tableplus, và 1 số game 32bit nào đó… thì nó sẽ tự generate ra lại, xuất hiện svshost.exe và explorer.exe lại chỗ như trên.

Virus explorer.exe và svshost.exe cách nhận biết và khắc phục
Virus explorer.exe và svshost.exe cách nhận biết và khắc phục

1/ Các tên có thể nhận biết của Virus này và nơi hay cư trú

  • Tên:

explorer.exe, svshost.exe, spoolsv.exe …

  • Các địa điểm nó hay tới tui:

C:/Windows/System

C:/Windows/Resource

2/ Cách nhận biết máy tính nhiễm virus “explorer.exe” fake này:

  • Windows defender không thể nhận biết con virus này, chỉ có app quét mạnh mẽ mới nhận ra (đọc tiếp chi tiết phần dưới)
  • Ở tab startup trong task manager, có 1 hoặc nhiều ứng dụng tên explorer.exe svshost.exe , spoolsv.exe… (ảnh 1)

  • Khi bật task manager, có nhiều hơn 1 explorer.exe chạy cùng.
  • Trong task manager, khi xem properties của thằng fake explorer.exe, nếu không nằm trong đường dẫn C:/Windows thì chắc chắn là explorer.exe fake (ảnh 3 là explorer.exe thật của windows)

  • Nếu bạn vào thư mục của thằng explorer.exe fake, bạn sẽ không thấy nó, vì con virus nó ẩn dưới dạng file system, muốn thấy được nó thì vào safe mode, tắt starup của nó, reboot, vào thư mục nó ở mới thấy được. (ảnh 2)

  • Đôi khi bạn mở app 32bit (như mình mở tablePlus và Xampp) hoặc app crack, keygen kém bảo mật… bạn sẽ thấy bị chậm hơn 1 chút và có xuất hiện 1 khung trắng hoàn toàn rồi tự tắt (nó đang đánh vào app của bạn, biến app thành công cụ hồi sinh, sẽ nói rõ ở phần dưới)

3/ Cách lây lan và nhận biết của Virus này:

  • Một khi nó vào máy bạn tại cư trú các điểm nói trên, lúc nó đang chạy dưới nền(trong task manager có nó), lúc này bạn mở 1 keygen nào đó, 1 app, 1 game nào đó kém bảo mật, trường hợp như mình mở XAMPP tải từ trang chủ của apachefriends để chạy server web, tablePlus tải từ trang chủ tablePlus để sử dụng database, thì khi đó XAMPP và tableplus của mình thành công cụ hồi sinh cho nó và bị nhiễm bệnh vĩnh viễn (sau khi 2 phần mềm này nhiễm, mình quét virus 2 app chính chủ này, các phần mềm diệt virus đề muốn giết 2 phần mềm chính chủ này)
  • Khi ứng dụng của bạn thành công cụ hồi sinh của nó, dù bạn dùng phần mềm diệt Virus diệt sạch nó trong registtry, ổ C, các startUp liên quan….thì bạn chạy lại ứng dụng bị nhiễm, nó sẽ tải sinh hoàn toàn (ảnh số 2 là nó tái sinh nhờ phần mềm xampp nên có icon xampp), trường hợp bạn dùng phần mềm diệt virus mạnh như Malewarebytes, Norton, Kaspersky thì nó diệt luôn app bị bệnh của bạn để chống hồi sinh.
  • Khi máy bạn bị lây nhiễm, ví dụ app Rufus bản cũ cũng có thể bị nhiễm (đọc post trước của mình), thì bạn share app rufus cho bạn bè bạn, bạn bè bạn mở refus này lên và máy bạn bè bạn cũng nhiễm theo y chang bạn.

4/ Nguồn gốc:

  • Theo mình có thể là do lỗi mình từng down nhiều keygen, và trong số đó có 1 keygen bị nhiễm con này
  • Cũng có thể mình down rufus từ nguồn không rõ ràng nên bị dính, mong các bạn đừng như mình, mình dùng malewarebytes quét rufus 3.3 cũ thì bị keygen, còn mình down rufus 3.11 mới nhất về từ trang chủ thì quét không có virus, nhiều anh em có khuyên nên dùng ultra iso, power Iso cài boot hoặc anhdv boot, vì có vẻ rufus không đáng tin cho lắm (đọc comment bác Dương Thành Toàn ở post cũ mình)

5/ Tác hại:

  • Đầu tiên là lây lan và làm hỏng các app, các key clean của bạn, vì khi nó nhiễm thì nó sẽ lây tiếp.
  • Khi bạn đã bị nhiễm virus này, các file cài đặt .exe hoặc tệp .exe bạn down về, hoặc bạn chạy file .exe nào đó, khả năng rất cao file này sẽ bị hỏng và bị dính con virus này.
  • một số ứng dụng .exe đã bị nhiễm con virus này, đang làm công cụ hồi sinh cho nó sẽ không thể mở được nữa (1 số trường hợp mình thử để trong file nén mở được file .exe chưa bị bệnh, giải nén ra chạy file .exe thì chạy không được vì bị nhiễm bệnh ngay hoặc đã nhiễm rồi)
  • Làm chậm máy, tuy không nhiều nhưng vẫn ăn ít cpu của bạn, biến máy bạn thành ổ virus explorer.
  • có thể đánh cắp thông tin (tuy ko rõ nhưng mình nghĩ sự sống dai và hồi sinh không ngừng cuả nó là có lý do)
  • Khi bạn chạy máy ảo (như mình là VMware), nó làm ảnh hưởng nặng nề tới sử dụng con trỏ chuột trong máy ảo.
  • có thể âm thầm dùng máy bạn để thực hiện các mục đích như DDoS và các mục đích xấu tương tự (đào tiền ảo…)

6/ Cách khắc phục và đề phòng:

  • Cách đơn giản và triệt tiêu nhất là cài và sử dụng các trình diệt Virus mạnh như Malewarebytes, Norton, KasperSky, Bitdefender… LƯU Ý là các app đã bị nhiễm, các app đã bị lây bệnh làm công cụ hồi sinh cho con virus của bạn cũng sẽ bay theo nó luôn (như mình là tablePlus và XAMPP bị lây win.exe của nó), bạn nên note tên các app bị bay lại để sau khi quét xong, bạn tải lại bản clean trên trang chủ của app đó.
  • Hạn chế down keygen quá nhiều như mình, hãy xài bản quyền nếu có thể, nếu cài win nên dùng ultraIso (mình thấy nhiều anh em khuyên)
  • Check task manager thường xuyên, để nhận biết máy bị nhiễm hay chưa, vì khi bị nhiễm, bạn vô tình mở app nào kém bảo mật 1 tý là xác định app đó nhiễm bệnh luôn. Khi phát hiện bị nhiễm nên dùng phần mềm quét virus mạnh quét để tránh bị lây sang các app còn clean.
  • Cách ly con virus (không khuyến khích sử dụng nếu bạn không rành, giỏi về windows, ưu tiên sử dụng cách triệt để đầu tiên, cách này dùng sai sẽ dẫn đến die win mạnh): Cách này do bác Quoc Trieu Nguyen chỉ mình tận tình, teamview qua help, cụ thể như sau (có thể xem ảnh 4 và 5, 5b cho nhanh):

Trường hợp Windows bạn không có gpedit chi tiết như hình 4-5, bạn có thể xài 1 cách khác để on nó lên, trong tài nguyên nhóm có(ảnh 6) hoặc google chi tiết “bật gpedit cho Windows Home”. (cảm ơn bác 

Nguyễn Khánh Long

)

– Mở group Policy (Windows+R : gpedit.msc), sau đó sẽ có 2 đường dẫn cần thực hiện:

– Mở Computer Configuration > Windows Setting > Security Setting > Software Restriction Policies > Addition Rules, tại đây bấm phải, chọn new Hash Rule, bấm Browse, Browse tới nơi cư trú con virus bạn, nếu nó ẩn thì bạn gõ tên thủ công ở đây (toàn bộ explorer.exe, svshost.exe, spoolsv.exe), sau đó level chọn disallowed.

Trường hợp tại Software Restriction Policies trống rỗng/không tồn tại sẵn thì bạn chuột phải vào nó -> new Software Restriction Policies (ảnh 5b), rồi quay lại làm như trên.

 

– Mở Computer Configuration > Windows Setting > Security Setting > Application Control Policies > Excute Table Rules, tại đây bấm chuột phải chọn “create new rule” -> next -> chọn deny -> next-> chọn “path” -> next-> tại đây browse như cách ở đường dẫn 1 cho các file virus cư trú -> create.

 
  • Cách nhận biết ứng dụng nào đã nhiễm Virus, ứng dụng nào chưa nhiễm (xem ảnh 7, 8, 9, 10 để hiểu thêm chi tiết):
  • – Khi 1 ứng dụng bị con virus này chiếm lấy, cách nhận biết đơn giản là chuột phải vào file .exe bạn nghi là bị chiếm -> Properties -> Details, bạn sẽ thấy Original File name là Win.exe, cụ thể khi xem ảnh số 8, 8a là rufus chưa bị nhiễm, 8b là rufus sau khi nhiễm, rất ít người để ý details của ứng dụng, trong đó có mình, nghiên cứu kỹ thì mình rút ra như các hình 7, 8, 9, 10… khi bạn thấy bị nhiễm như ảnh 8a, hãy dùng phần mềm diệt virus cực mạnh quét ngay, hoặc xóa ngay nhé.

  • – Hình số 7 là file setup Wamp64 của mình đã bị lây nhiễm, nếu mình mở ứng dụng này cài đặt -> phần mềm sẽ cài bình thường, nhưng lúc đó, con virus explorer cũng sẽ vào máy cư trú.

  • – Hình số 9 và 9b là phần mềm safe IP của mình khi đã bị lây nhiễm, mình chạy nó, lập tức virus sẽ hồi sinh, có icon của safeIP, và tác hại như đã biết, safeIP không chạy được nữa, khi mở proccess explorer, sẽ thấy icon của fake explorer là của safeIP (hình 9c)

  • – Hình số 10: kể cả file setup DiskCrystal của mình cũng không thoát nổi con virus này.

7/ tổng kết:

  • hãy trang bị ít nhất 1 công cụ diệt virus có tiếng và mạnh mẽ bên mình
  • đừng tải hoặc cực hạn chế xài cr@.ck các kiểu vì có thể có virus khủng hơn con này
  • nếu có tải app nào thì nên tải trang chính chủ nhé, ở đây mình tổng hợp 1 vài cái cụ thể mình thấy mọi người hay nhầm(như mình dính vụ rufus):

– winrar: trang chủ duy nhất rarlab.com

– unikey: unikey.org (.vn là fake nhé)

– rufus: rufus.ie

  • cảm ơn các anh em đã comment gợi ý giúp đỡ mình ở post trước, mình share lại những cái này để anh em tránh bị như mình nhé.
  • từ đây chắc ko dám tải keygen bậy bạ :(( cài win ko dám xài rufus :(((, ae hay tạo usb cài win bằng phần mềm nào ạ? và xài các app cr@ck thế nào cho an toàn chia sẻ bên dưới nhé, mình có mua game và app bản quyền nhưng 1 số cái mắc quá nên mình cr@ck thôi :((

Nguồn : Sưu tập

Đọc nhiều tuần qua: