Thủ Thuật

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus

Vào tháng 3 năm 2022, trên Internet xuất hiện nhiềucài đặt Play Store trên Windows 11. Cách này liên quan đến một dự án mã nguồn mở từ GitHub. Thật không may, dự án này lại chứa phần mềm độc hại. Vậy nên mình viết bài này để hướng dẫn các bạn cách khắc phục vấn đề đó.

Cảnh báo các bạn đã cài đặt Play Store trên Windows 11

Chuyện gì đã xảy ra với Play Store trên Windows 11

Windows 11 đã giới thiệu tính năng cài đặt ứng dụng Android nhưng không phải thông qua Cửa hàng Google Play. Đương nhiên, mọi người bắt đầu tìm cách giải quyết vấn đề này. Hướng dẫn mà mình đã viết bao gồm cách tải tập lệnh từ trang web của bên thứ ba. Nhưng vào cuối tuần qua, một nhóm làm việc với tập lệnh đã phát hiện ra nó có chứa phần mềm độc hại.

Lưu ý: Một số trang web khác cũng đề xuất tập lệnh này. Ngay cả khi bạn đã làm theo hướng dẫn của trang web khác, bạn cũng có thể đã tải xuống tập lệnh chứa phần mềm độc hại này.

Tập lệnh đó đã làm gì

Tập lệnh này tải công cụ Windows Toolbox, gồm tính năng cài đặt cửa hàng Google Play vào thiết bị Windows 11 của bạn. Thật không may, tập lệnh tải Windows Toolbox đã làm được nhiều thứ hơn những gì nó quảng cáo. Nó chứa mã độc thiết lập một loạt các tác vụ đã lên lịch và tạo tiện ích mở rộng nhắm mục tiêu các trình duyệt dựa trên Chromium – Google Chrome, Microsoft Edge và Brave. Chỉ các PC Windows đặt ngôn ngữ là tiếng Anh mới bị nhắm mục tiêu.

Tiện ích mở rộng sau đó được chạy trong một cửa sổ trình duyệt “headless” ở chế độ nền, ẩn nó khỏi người dùng một cách hiệu quả. Nhóm phát hiện ra phần mềm độc hại cho rằng mục đích chính của tiện ích này là quảng cáo, chứ không nghĩ là nó có thể làm những thứ nguy hiểm hơn.

Các tác vụ đã lên lịch cũng chạy một số tập lệnh khác phục vụ cho các mục đích khác nhau. Ví dụ: một tác vụ sẽ giám sát các tác vụ đang hoạt động trên PC và kill trình duyệt và tiện ích mở rộng đang được sử dụng để quảng cáo bất cứ khi nào Task Manager được mở. Ngay cả khi bạn thấy hệ thống của mình hoạt động hơi chậm và đi kiểm tra vấn đề, thì bạn cũng sẽ không thấy gì cả. Một tác vụ được lập lịch riêng, được đặt để chạy 9 phút một lần, sau đó sẽ khởi động lại trình duyệt và tiện ích mở rộng.

Các tác vụ khác được tạo để sử dụng curl tải các tệp từ trang web gốc đã phân phối tập lệnh độc hại, sau đó thực thi bất cứ thứ gì mà nó đã tải xuống. Các tác vụ được thiết lập để chạy 9 phút một lần sau khi người dùng đăng nhập vào tài khoản của họ. Về lý thuyết, các tác vụ này có thể được sử dụng để cung cấp các bản cập nhật cho mã độc nhằm bổ sung thêm chức năng cho phần mềm độc hại, phân phối phần mềm độc hại hoàn toàn riêng biệt hoặc bất kỳ thứ gì khác mà chúng muốn.

May mắn thay, kẻ đứng sau cuộc tấn công đã không làm đến bước đó, tác vụ 9 phút chạy một lần không bao giờ được sử dụng cho những việc khác ngoài việc tải xuống một file thử nghiệm có tên “asd”, nó không làm gì cả. Domain mà tác vụ curl tải xuống các tệp từ đó đã bị xóa nhờ hành động nhanh chóng từ CloudFlare. Điều đó có nghĩa là ngay cả khi phần mềm độc hại vẫn đang chạy trên máy của bạn, thì nó cũng không thể tải xuống bất kỳ thứ gì khác. Bạn chỉ cần xóa nó là được.

Lưu ý: Vì Cloudflare đã xóa domain nên phần mềm độc hại không thể tải xuống bất kỳ phần mềm bổ sung nào hoặc nhận bất kỳ lệnh nào khác.

Nếu bạn muốn đọc bản phân tích chi tiết về cách thức phân phối phần mềm độc hại được thực hiện và nhiệm vụ của mỗi tác vụ, thì phần mềm này có sẵn trên GitHub.

Cách khắc phục

Có hai cách để bạn có thể khắc phục vấn đề này. Đầu tiên là tự xóa tất cả các tệp bị ảnh hưởng và các tác vụ đã lên lịch theo cách thủ công. Thứ hai là sử dụng tập lệnh được viết bởi những người phát hiện ra phần mềm độc hại này.

Lưu ý: Hiện tại, không có phần mềm chống virus nào phát hiện được hoặc loại bỏ phần mềm độc hại này nếu nó đang chạy trên máy của bạn.

Khắc phục theo cách thủ công

Mình sẽ bắt đầu bằng cách xóa tất cả các tác vụ độc hại, sau đó sẽ xóa tất cả các tệp và thư mục mà nó đã tạo.

Xóa các tác vụ độc hại

Tất cả các tác vụ được tạo đều được đặt dưới các tác vụ Microsoft > Windows trong Task Scheduler. Dưới đây là cách tìm và xóa chúng.

Nhấp vào Start, sau đó nhập “Task Scheduler” vào thanh tìm kiếm và nhấn Enter hoặc nhấp vào “Open”.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 16

Bạn cần truy cập đến các tác vụ Microsoft > Windows. Tất cả những gì bạn cần làm là nhấp đúp vào “Task Scheduler Library”, “Microsoft”, sau đó nhấp vào “Windows”.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 17

Lưu ý: Do phần mềm độc hại hoạt động hơi khác nhau tuỳ theo máy, nên bạn có thể không thấy tất cả các tác vụ được liệt kê bên dưới đây.

  • AppID > VerifiedCert
  • Application Experience > Maintenance
  • Services > CertPathCheck
  • Services > CertPathw
  • Servicing > ComponentCleanup
  • Servicing > ServiceCleanup
  • Shell > ObjectTask
  • Clip > ServiceCleanup

Khi bạn xác định được tác vụ độc hại trong Task Scheduler, hãy nhấp chuột phải vào tác vụ đó, sau đó nhấn “Delete”.

Cảnh báo: Không xóa bất kỳ tác vụ nào khác ngoài những tác vụ mà mình đã đề cập ở trên. Hầu hết các tác vụ ở đây được tạo bởi chính Windows hoặc bởi các ứng dụng hợp pháp của bên thứ ba.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 18

Xóa tất cả các tác vụ khỏi danh sách trên mà bạn có thể tìm thấy, sau đó bạn đã sẵn sàng để chuyển sang bước tiếp theo.

Xóa các tệp và thư mục độc hại

Phần mềm độc hại chỉ tạo một số ít tệp và may mắn thay, chúng chỉ được chứa trong ba thư mục:

  • C:systemfiles
  • C:Windowssecuritypywinvera
  • C:Windowssecuritypywinveraa

Đầu tiên, hãy mở File Explorer. Ở đầu File Explorer, hãy nhấp vào “View”, chuyển đến “Show” và sau đó chọn “Hidden Items”.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 19

Tìm một thư mục hơi trong suốt có tên là “systemfile” rồi nhấp chuột phải vào nó và nhấn “Delete”.

Cảnh báo: Đảm bảo bạn xác định chính xác các thư mục mà bạn sắp xóa. Việc vô tình xóa các thư mục Windows khác có thể gây ra lỗi hệ thống. Nếu bạn lỡ xoá, thì hãy khôi phục chúng từ Recycle Bin càng sớm càng tốt.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 20

Sau khi bạn xóa thư mục “systemfiles”, hãy bấm đúp vào thư mục Windows, sau đó cuộn cho đến khi bạn tìm thấy thư mục “Security”. Tìm hai thư mục có tên “pywinvera” và “pywinveraa”. Nhấp chuột phải vào từng cái, sau đó nhấp vào “Delete”.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 21

Lưu ý: Xóa tệp và thư mục trong thư mục Windows có thể sẽ cần đặc quyền quản trị. Nếu được nhắc, hãy tiếp tục và cho phép nó. (Tuy nhiên, hãy chắc chắn rằng bạn chỉ xóa các tệp và thư mục chính xác mà mình đề cập)

Bạn đã khắc phục xong rồi đó. Tuy gây nhiều rắc rối nhưng phần mềm độc hại này không làm được nhiều việc để bảo vệ chính nó.

Khắc phục bằng Script

Những người đã xác định được phần mềm độc hại ngay từ đầu cũng đã dành cả cuối tuần để phân tích mã độc, xác định cách nó hoạt động và cuối cùng, viết một script khác để loại bỏ nó. Mình muốn gửi lời cảm ơn chân thành đến nhóm này vì những nỗ lực của họ.

Đầu tiên, tải tập lệnh tại đây, sau đó giải nén tập lệnh ở bất kỳ đâu bạn muốn.

Tiếp theo, bạn cần kích hoạt các tập lệnh. Nhấp vào nút Start , nhập “PowerShell” vào thanh tìm kiếm và nhấp vào “Run as Administrator“.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 22

Sau đó, nhập hoặc dán lệnh set-executionpolicy remotesigned vào cửa sổ PowerShell và nhấn Y. Sau đó, bạn có thể đóng cửa sổ PowerShell.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 23

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 24

Nếu phát hiện ra chúng, bạn sẽ được cung cấp tùy chọn để xóa chúng. Nhập “Y” hoặc “y” vào cửa sổ PowerShell, sau đó nhấn Enter.
Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 25

Sau đó, tập lệnh sẽ xóa tất cả rác do phần mềm độc hại tạo ra.

Cần xóa ngay Play Store trên Windows 11 nếu không muốn bị Virus 26

Sau khi bạn chạy tập lệnh xóa, hãy đưa chính sách thực thi tập lệnh của bạn về cài đặt mặc định. Mở PowerShell với tư cách quản trị viên, nhập lệnh set-executionpolicy default và nhấn Y. Sau đó, đóng cửa sổ PowerShell.

Những gì đã làm

Vẫn còn một số câu hỏi chưa được trả lời – chẳng hạn như tại sao một số người báo cáo rằng Máy chủ OpenSSH được cài đặt trên máy của họ. Nếu bất kỳ thông tin mới quan trọng nào được đưa ra, mình sẽ đảm bảo cập nhật cho bạn.

Chút tâm sự của mình: Trong những năm qua, mình đã thấy nhiều ứng dụng Windows và tiện ích mở rộng trình duyệt bước vào con đường tà đạo. Mình cố gắng hết sức cẩn thận và chỉ giới thiệu các giải pháp đáng tin cậy cho các bạn. Do nguy cơ ngày càng tăng mà các tác nhân độc hại gây ra cho các dự án mã nguồn mở, nên mình sẽ càng chăm chỉ hơn với các đề xuất trong tương lai.

Ngoài ra, mình muốn nhấn mạnh một lần nữa rằng không có bằng chứng nào về việc thông tin nhạy cảm của bạn đã bị xâm phạm. Domain mà phần mềm độc hại phụ thuộc vào hiện đã bị xóa và những người tạo ra nó không còn có thể kiểm soát được nó nữa.

Một lần nữa, mình muốn gửi lời cảm ơn chân thành đến những người đã tìm ra cách hoạt động của phần mềm độc hại này và xây dựng một tập lệnh để tự động xóa nó. Danh sách không được sắp xếp theo thứ tự đặc biệt:

  • Pabumake
  • BlockyTheDev
  • blubbablasen
  • Kay
  • Limn0
  • LinuxUserGD
  • Mikasa
  • OptionalM
  • Sonnenläufer
  • Zergo0
  • Zuescho
  • Cirno
  • Harromann
  • Janmm14
  • luzeadev
  • XplLiciT
  • Zeryther
Đánh giá post

Rất Hữu ích

RatHuuIch là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. RatHuuIch cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Bài liên quan

Theo dõi
Thông báo của
guest

0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận
Back to top button