Diệt virus và gián điệp (spyware) bằng... tay không pot
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (325.04 KB, 6 trang )
Diệt virus và gián điệp
(spyware) bằng tay không!
Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần gián
điệp xâm nhập, chúng ta sẽ sử dụng các phần mềm diệt virus và phần mềm “phản
gián” để tìm và diệt “lũ sâu bọ đáng ghét” này. Tuy nhiên, đôi khi có những con virus
hay thành phần gián điệp rất ma mãnh có thể qua mặt được các phần mềm diệt
virus và gián điệp. Trong những trường hợp đó, chúng ta buộc phải tìm và diệt chúng
bằng tay không!
Quá trình diệt virus bằng tay đòi hỏi phải can thiệp vào registry của hệ thống. Vì vậy,
bạn phải thật thận trọng. Nhớ đọc kỹ hướng dẫn trước khi thực hành!
Bước 1: Phát hiện những kẻ lạ mặt
Do những “kẻ tội đồ” thường tự kích hoạt khi vừa mới khởi động Windows tương tự
như các ứng dụng bình thường khác (chẳng hạn như các ứng dụng chống virus, phần
mềm gõ tiếng Việt Unikey, Vietkey ), vì vậy bạn phải nhận diện cho được đâu là
“người có ích”, đâu là “kẻ có hại”. Nếu bạn không phân biệt được (hoặc lưỡng lự),
đây lại là trường hợp chúng ta thường xuyên gặp phải, thì cũng phải có cách để thử.
Tôi sẽ trình bày cách làm của mình kèm theo hình minh họa từ một máy mà tôi đã
gặp phải trong thực tế. Trước tiên, tôi chạy chương trình Regedit (chọn Start/Run,
nhập Regedit và ấn Enter). Trong cửa sổ Regedit Editor, tôi duyệt theo đường dẫn
sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un
Các mục liệu trong
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Quan sát khung cửa sổ bên phải, tôi nhận thấy nhiều tập tin có tên rất lạ lùng và
hổng giống ai như: 9uhnvkvc8.exe, d48lit61.exe Những tập tin này có nhiều khả
năng là “những kẻ xâm nhập có hại”. Hay thậm chí cả những cái tên tưởng có vẻ tử
tế như Carpservice.exe, wsfcog.exe, fsbsbeb.exe cũng rất đáng ngờ! Những “kẻ
đáng ngờ” được tôi “khoanh” lại trong các khung hình chữ nhật trên hình 1.
Bước 2: Tạm vô hiệu hóa các mục đáng ngờ trong registry
Tôi dùng chữ “đáng ngờ” là vì không thể khẳng định ngay liệu chúng có thật sự có
hại hay không? Muốn biết phải thử. Ví dụ, muốn kiểm tra CARPService có phải là
“kẻ tội đồ” hay không, tôi tạm vô hiệu hóa mục này bằng cách điều chỉnh tên tập tin
kích hoạt mục này (carpservice.exe) thành carpservice.txt. Tất nhiên là trong hệ
thống của chúng ta không có tập tin này, mà nếu có thì với phần đuôi .TXT nó cũng
không tự kích hoạt được.
Điều chỉnh tên tập tin kích hoạt mục đang bị “nghi vấn”
Bước 3: Tạm xóa các tập tin đáng ngờ
Ngoài việc tạm vô hiệu hóa, bạn cũng nên xóa tạm thời (bằng cách nhấn DEL để bỏ
vào thùng rác) các tập tin có phần tên của tập tin kích hoạt đang bị nghi vấn (trong
ví dụ của tôi là các tập tin có phần tên bắt đầu là CARPSERVICE). Tuy nhiên, trước
khi xóa chúng, bạn cần phải xác định xem hiện chúng có đang chạy trong bộ nhớ của
hệ thống không? Nếu đang chạy thì bạn không thể xóa được đâu. Trong trường hợp
này, bạn phải nhấn CTRL-ALT-DEL (và chọn Task Manager nếu đang chạy
Windows 2000), chọn thẻ Process và tìm trong cột Image Name xem có mục nào
có tên trùng với tập tin đang bị nghi vấn không? Nếu có thì bạn bấm chọn nó và bấm
nút End Process. Trong ví dụ này, tập tin carpservice.exe đang chạy trong bộ nhớ
và tôi “buộc” phải kết thúc nó.
Tìm và “buộc” kết thúc các tập tin “bị nghi vấn” đang chạy trong bộ nhớ
Sau khi đã đảm bảo tập tin “bị nghi vấn” không còn chạy trong bộ nhớ, bạn dùng
công cụ tìm kiếm (Start/Search) để tìm các tập tin đang bị “nghi vấn”. Ví dụ, nếu
bạn muốn tìm các tập tin có phần tên là 9UHNKVC8 thì bạn làm như trong hình 4.
Dùng công cụ Search của Windows để tìm các tập tin bị “nghi vấn”
Trong ví dụ của tôi, tôi tìm các tập tin CARPSERVICE. Sau khi tìm thấy, tôi đánh dấu
chọn hết tất cả các tập tin này và nhấn nút DEL để tạm “vứt” chúng vào thùng rác.
Tiếp tục làm tương tự đối với các mục bị nghi vấn khác. Bạn lưu ý là có nhiều con
virus rất tinh ma, nó không chỉ ẩn mình trong đường dẫn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un của registry để tự kích hoạt mà nó còn ẩn mình trong các đường dẫn khác để
phòng ngừa tình trạng bị “tiêu diệt” ở chỗ này và nó sẽ tự “nhân bản và tái sinh” ở
chỗ khác. Vì vậy, không chỉ tìm trong đường dẫn trên mà bạn còn phải tìm trong các
đường dẫn sau để “nhổ cỏ tận gốc”:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
unOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Once
Sau khi đã tạm thời “vô hiệu hóa” các “phần tử đáng ngờ”, bạn cho khởi động lại
máy và lần lượt chạy hết các ứng dụng mà bạn đã cài vào máy xem Windows hay
các ứng dụng có bị trục trặc gì không? Nếu không có trục trặc gì và các tình trạng
khó chịu khác (chẳng hạn bỗng nhiên xuất hiện một lô một lốc các cửa sổ pop-up)
chấm dứt hẳn thì bạn yên tâm là mình đã “tiêu diệt đúng đối tượng”. Khi đó, bạn vào
thùng rác và dọn sạch hẳn khỏi đĩa cứng bằng cách nhấn nút “Empty Recycle Bin”
để đề phòng các “hiểm họa” về sau. Sau đó, bạn cũng có thể vào Regedit và “vô
hiệu hóa vĩnh viễn” bằng cách xóa hẳn các mục mà bạn đang “vô hiệu hóa” tạm thời.
Với cách làm này, xác suất “bắt đúng người đúng tội” khoảng 90%, còn 10% có thể
là “tiêu diệt nhầm!”. Gặp trường hợp này, khi bạn chạy Windows và các ứng dụng thì
chắc chắn có một lúc nào đó hệ thống sẽ hiện lên thông báo lỗi do thiếu tập tin hoặc
tập tin nào đó chưa được kích hoạt khi khởi động Windows. Lúc này, bạn vào thùng
rác tìm lại tập tin đã bị “giết nhầm” và khôi phục lại. Kế đó, bạn vào lại Regedit để
gỡ bỏ tình trạng vô hiệu hóa tạm thời đối với mục chứa tập tin này. Đó chính là lý do
vì sao ngay từ đầu tôi không xóa sạch các tập tin “bị nghi vấn” khỏi hệ thống và chỉ
“vô hiệu hóa tạm thời”.
Điều quan trọng là ngay sau khi đã dùng tay diệt được virus, bạn nên nhớ cài đặt
và cập nhật thường xuyên các phiên bản chống virus và “phản gián” mới nhất, nếu
không thì “chẳng chóng thì chầy” máy của bạn sẽ bị “tái nhiễm cúm vi tính!”.
VÕ VĂN THÀNH
(Bài đăng trên Tạp chí e-CHÍP)
