Có khá nhiều vấn đề gặp phải khi Task Manager luôn hiển thị ứng dụng wmpscfgs.exe, nhưng không làm cách nào để tắt bỏ, và gặp rất nhiều phiền toái.
Triệu chứng của hệ thống khi nhiễm loại virus này:
- Nếu máy tính có chương trình Malwarebytes hoặc Superantispyware, sẽ luôn luôn phát hiện được loại virus này. Nhưng khi khởi động lại hệ thống, nó lại xuất hiện, cho dù bạn có quét bằng chế độ safe mode
- Cảnh báo Internet Explorer không phải là trình duyệt mặc định của hệ thống, và nó luôn luôn hiển thị cho dù bạn có hoặc không kích vào biểu tượng IE. Nếu gặp phải tình huống này, tốt nhất là di chuyển cửa sổ IE về góc màn hình và để yên đó.
- Tính năng Windows UAC hoạt động không đúng chức năng, liên tục hỏi người sử dụng khi họ kích hoạt bất cứ file *.exe hoặc ứng dụng startup nào.
- Microsoft Security Essentials nhận diện các chương trình khởi động của hệ thống là virus.
Nếu máy tính của bạn có những triệu chứng như trên thì 80% là đã bị nhiễm virus wmpscfgs.exe, và sau đây là 1 số mẹo để phòng tránh loại virus này (không nên quan tâm hoặc để ý đến các chương trình bảo mật trong tình huống này):
Phòng tránh:
- Khởi động ở chế độ safe mode (đơn giản vì hệ thống chỉ sử dụng rất ít ứng dụng trong safe mode).
- Thiết lập chế độ hiển thị tất cả các loại file ẩn và hệ thống trong Tool > Folder Options, đánh dấu vào ô Show hidden files and folders, không đánh dấu tại ô Hide Extensions for known file types
- Di chuyển tới thư mục sau: C:\Program Files\Internet Explorer và C:\Users\user\AppData\Local\Temp, bạn sẽ nhìn thấy file wmpscfgs.exe. Hãy xóa ngay lập tức!
- Mở Task Manager, chọn mục show all processes, tìm ứng dụng có tên là wmpscfgs.exe, nếu nó đang hoạt động thì Kill.
- Tiếp theo, mở regedit và tìm tới khóa sau: HKLM -> Software -> Microsoft -> Windows -> CurrentVersion –> Run
- Tìm từ khóa “Adobe_reader” với dữ liệu liên quan %ProgramFiles%\Internet Explorer\wmpscfgs.exe, xóa bỏ nó. Tuy nhiên, đối với 1 vài trường hợp không có khóa này, và đây là ví do tại sao virus quay trở lại sau mỗi lần khởi động lại.
- Bạn phải kiểm tra từng chương trình cài đặt trong hệ thống, tất cả thông tin được lưu trữ trong khóa HKLM -> Software -> Microsoft -> Windows -> CurrentVersion -> Run, tìm cẩn thận trong tất cả các khóa lưu trữ ở đây, nếu thấy có sự xuất hiện của wmpscfgs.exe thì tiếp tục xóa.
- Mặt khác, loại virus trên có thể tự động đổi tên từ mcagent.exe thành mcagent .exe (có khoảng trống giữa tên và đuôi exe). Tiếp đó, nó sẽ tiếp tục tự động nhân bản với tên tương tự mỗi khi người dùng kích hoạt một ứng dụng nào đó, điều này nghĩa là nó sẽ nhân bản trước khi người dùng thực thi chương trình bất kỳ. Và nó sẽ lặp lại điều này với tất cả các ứng dụng trong khóa RUN của hệ thống.
- Nếu bạn tìm đến đường dẫn của mcagent.exe, sẽ nhìn thấy 2 hoặc 3 file *.exe với tên gần giống nhau:
+ mcagent.exe > dung lượng khoảng 39 KB, mới được tạo ra bởi wmpscfgs.exe
+ mcagent .exe > là file gốc của mcagent được đổi tên lại
+ mcagent.exe.delme (đi kèm 1 hoặc vài số ngẫu nhiên nào đó) > xóa bỏ file này
- Trước tiên, xóa bỏ những ứng dụng đang bị treo – corresponding, của hoặc có liên quan đến file lây nhiễm bên trên đang kích hoạt trong Task Manager, sau đó, xóa thủ công những file *.exe có dung lượng ~ 39 KB và đổi tên những file còn lại về tên nguyên gốc. Lặp lại bước trên với từng ứng dụng tìm thấy trong RUN. Thứ duy nhất virus này không lây nhiễm là ứng dụng windows defender. Việc gỡ bỏ hoặc cài lại toàn bộ ứng dụng không thể xóa bỏ những file bị lây nhiễm trong thư mục, và đó là lý do tại sao Microsoft Security Essentials nhận diện tất cả các ứng dụng khởi động - startup là virus.
- Sau khi hoàn tất các công đoạn trên, khởi động lại hệ thống. Sau đó kiểm tra lại toàn bộ ứng dụng trong Task Manager, nếu còn bất cứ chương trình nào “khả nghi”, các bạn chỉ cần lặp lại bước ở trên là được.
Chúc các bạn thành công!
T.Anh (theo howtogeek)