TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM
KHOA KINH TẾ - CƠ SỞ THANH HÓA

BÀI TIỂU LUẬN
MÔN: CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI:
Kinh nghiệm phòng chống virus và spyware
GIẢNG VIÊN HD:
SINH VIÊN TH :
Lớp : DHTH8A
THANH HÓA, THÁNG 10 NĂM 2014
Trang 1
MỤC LỤC
MỤC LỤC 2
Kinh nghiệm phòng chống virus và spyware 3
1.Khái niệm 3
2. Nhận biết máy tính bị nhiễm virus, spyware 4
3. Anware và spyware là gì? 7
4. Spyware làm gì? 9
5. Spyware từ đâu ra? 10
Làm sao nhận diện phần mềm gián điệp trong Windows? 13
AN TOÀN LÀ TRÊN HẾT 14
KIỂM TRA BỘ NHỚ 15
XÁC ĐỊNH CHƯƠNG TRÌNH CHƯA RÕ DANH TÍNH 16
TẬN DỤNG INTERNET 17
Các phần mềm gián điệp này có phạm pháp không? 19
Làm sao gở bỏ những spyware 19
Tìm và xóa các khóa có liên quan đến spyware trong các nhánh sau: 24
Thoát khỏi Registry Editor và khởi động lại máy tính 25
Hãy luôn có ý thức về độ an toàn của hệ thống 25
Trang 2

Kinh nghiệm phòng chống virus và spyware
1.Khái niệm
Trong bài viết này, chúng tôi chỉ giới thiệu một số loại virus "quen
thuộc" với người dùng gia đình. Một số loại hầu như đã "tuyệt chủng" vì
không theo kịp sự phát triển của máy tính, của Internet do chỉ lây lan trong
đối tượng bị nhiễm, khả năng gây nguy hại không cao, dễ bị phát hiện. Tuy
nhiên, đây không phải là tin mừng vì chúng ta phải tiếp tục "đối đầu" với thế
hệ kế tiếp của chúng: tinh quái hơn, hiểm độc hơn, lây nhiễm nhanh hơn, khả
năng phá hoại khủng khiếp Bạn có thể tham khảo thêm thông tin về lịch sử
phát triển của virus trong bài viết "Virus máy tính: 20 năm nhìn lại", ID:
A0603_95.
Virus. Là một đoạn mã, một chương trình nhỏ được viết ra nhằm thực
hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép
hoặc người dùng không biết. Chúng có khả năng tự nhân bản, lây lan sang các
tập tin, chương trình khác trong máy tính và sang máy tính khác. Virus máy
tính thường được chia thành một số loại như: File virus (Jerusalem,
Cascade ) là loại virus lây vào những tập tin của một số phần mềm thường
sử dụng trong hệ điều hành Windows như tập tin .com, .exe, .bat, .pif, .sys ;
Boot virus (Disk Killer, Michelangelo, Stoned ) là loại virus lây nhiễm vào
đoạn mã trong cung từ khởi động (boot sector) của đĩa cứng; Macro virus
(W97M.Melissa, WM.NiceDay, W97M.Groov ) lây nhiễm vào tập tin trong
MS. Office. Ngoài ra, còn một số loại virus khác như virus lưỡng tính (kết
hợp giữa boot virus và file virus), master boot record virus
Trang 3
Trojan horse. Là những chương trình được ngụy trang bằng vẻ ngoài vô
hại nhưng ẩn chứa bên trong những đoạn mã nguy hiểm nhằm đánh cắp thông
tin cá nhân, mở các cổng để hacker xâm nhập, biến máy tính bị nhiễm thành
nguồn phát tán thư rác hoặc trở thành công cụ tấn công một website nào đó,
chẳng hạn như W32.Mimic. Không như virus và worm, Trojan horse không
có khả năng tự nhân bản để lây lan, vì vậy chúng thường kết hợp với virus,

worm để xâm nhập vào máy tính người dùng.
Spyware. Là phần mềm theo dõi những hoạt động của bạn trên máy
tính. Chúng thu thập tất cả những thông tin cá nhân, thói quen cá nhân, thói
quen lướt web của người dùng và gửi về cho tác giả. Spyware là mối đe dọa
lớn nhất đối với sự an toàn của một máy tính, một hệ thống máy tính.
Adware. Đơn giản là một dạng phần mềm quảng cáo lén lút cài đặt vào
máy tính người dùng hoặc cài đặt thông qua một phần mềm miễn phí, được
người dùng cho phép (nhưng không ý thức được mục đích của chúng). Tuy
nhiên, chúng không dừng lại ở tính đơn giản là quảng cáo khi kết hợp với
những loại virus khác nhằm tăng "hiệu quả” phá hoại.
Worm. Sâu máy tính là một loại phần mềm có sức lây lan nhanh, rộng
và phổ biến nhất hiện nay. Không giống với virus thời "nguyên thủy", worm
không cần đến các tập tin "mồi" để lây nhiễm. Chúng tự nhân bản và phát tán
qua môi trường Internet, mạng ngang hàng, dịch vụ chia sẻ
2. Nhận biết máy tính bị nhiễm virus, spyware
Sau khi xâm nhập vào hệ thống, một số máy virus lập tức thực hiện
việc phá hoại. Số khác lại ẩn nấp, âm thầm lây lan sang những máy tính khác,
chờ đợi giờ G để đồng loạt "tổng tấn công" khiến người dùng trở tay không
kịp; điển hình như virus CIH, Melissa. Một số hiện tượng thường gặp khi máy
Trang 4
tính nhiễm virus: Có những triệu chứng bất thường như đĩa cứng bị truy cập
liên tục; hệ thống hoạt động ì ạch; một số trang web lạ, popup quảng cáo tự
động nhảy ra khi bạn làm việc. Nếu sử dụng Windows NT/2000/XP, bạn có
thể xem thông tin trong Windows Task Manager như CPU Usage luôn ở mức
100%, xuất hiện một số tập tin thực thi lạ trong tab Processes của Windows
Task Manager.
Trang 5
Trang 6
Và thường có bao giờ bạn cảm thấy máy tính của mình lại trở nên chậm
chạp đến nỗi bạn không đủ kiên nhẫn để một trình ứng dụng nào đó kết thúc

thời gian khởi động của nó? Hay gần đây, bạn có thấy trên trình duyệt đột
nhiên xuất hiện một thanh toolbar mới mà trước đây bạn chưa hề thấy nó xuất
hiện? Bạn thấy những popup quảng cáo xuất hiện ngay cả khi bạn không lướt
web?
Trên đây là một vài triệu chứng cho thấy máy tính của bạn đã bị "dính"
spyware, hardware hoặc những phần mềm độc hại không mong muốn. Cũng
giống virus, những chương trình loại này có thể xâm nhập vào máy tính thông
qua con đường gắn kèm vào các file download, e-mail hoặc các website khi
người dùng viếng thăm. Mặc dù nó không mang lại những tác hại giống như
virus, thế nhưng các chương trình kiểu này có thể làm máy tính của bạn chậm
chạp đáng kể, không chỉ về tốc độ chạy các trình ứng dụng mà còn cả tốc độ
kết nối vào Internet, giảm thiểu năng suất làm việc, và đôi khi nguỗn dữ liệu
"nhạy cảm" của bạn có thể tiết lộ ra ngoài.
Bạn có thể tránh được nguy cơ cài đặt những phần mềm không mong
muốn bằng việc chọn lựa cẩn thẩn các trình phần mềm miễn phí trên mạng
khi download về máy, hiểu được các thiết lập thông số an toàn của trình
duyệt. Gõ bỏ adware và spyware đòi hỏi cần có khả năng hiểu biết về máy
tính vì đôi khi chúng ẩn náu rất tinh vi. Tuy nhiên, "vỏ quýt dày đã có móng
tay nhọn", có một số tiện ích miễn phí có thể phát hiện và "tống khứ" những
thứ rác rưởi trong máy tính.
3. Anware và spyware là gì?
Adware là phần mềm khi được cài đặt trên máy tính, nó có thể biến
trình duyệt windows thành nơi chứa popup quảng cáo. Phần mềm này có thể
Trang 7
ghi lại thông tin về trình duyệt để rồi gửi cho các địa chỉ đã được lập sẵn. Xét
về góc độ ảnh hưởng của loại phần mềm này đối với hệ thống, có thể coi nó là
một thứ "vô thưởng vô phạt", có nghĩa không ảnh hưởng gì tới sự an toàn của
máy tính. Tuy nhiên, cái giá mà bạn phải trả chính là tốc độ hoạt động của hệ
thống giảm và băng thông kết nối bị chiếm dụng.
Spyware (Tiếng Anh gọi nó là “spyware”, tiếng Pháp gọi nó là “logiciel

espion”, đồng nghĩa với từ “phần mềm gián điệp” trong tiếng Việt. Đó là 1
chương trình nhỏ thường xuyên được “khuyến mãi” thêm trong hầu hết các
phần mềm miễn phí) cũng giống như adware, nếu xét về mục đích được tạo
ra. Nó có thể quét tìm những thông tin cá nhân được lưu trong ổ cứng, hoặc
tạo kết nối giữa địa chỉ e-mail của người dùng với những trang web mà họ
từng viếng thăm. Khi spyware phát hiện được địa chỉ e-mail của bạn, một
"tương lai đen tối" về nạn spam sẽ là điều hiển nhiên chờ bạn.
Xảo quyệt hơn spyware và adware là phần mềm có tên "dialers". Nói
nôm na, phần mềm này có thể "cướp đoạt" kết nối Internet của bạn, tự động
định tuyến vào các website yêu cầu số điện thoại, để rồi đến cuối tháng bạn
mới bật ngửa ra khi thấy hoá đơn thanh toán của mình lên tới hàng nghìn
USD. Dialers thường được gắn kèm vào các spam khiêu dâm, được xem là
bệnh dịch lan tràn đối với hầu hết hộp thư e-mail hiện nay. Chỉ đơn giản bằng
một thao tác click chuột để đọc loại spam này, dialers sẽ được cài đặt vào
máy.
Phần lớn adware và spyware có thể gói trong những chương trình phần
mềm miễn phí như Kazaa, IMesh, và BearShare, Nếu cài đặt một trong số các
trình này sẽ làm phát sinh hàng chục chương trình khác được cài đặt vô tổ
chức trong máy. Spyware là hoàn toàn có thể xảy ra.
Trang 8
4. Spyware làm gì?
Người Pháp thường gọi chúng là những tên “mách lẻo” điện tử
(mouchards électroniques). Thật vậy, khi được cài đặt vào máy của người sử
dụng, các điệp viên sẽ bắt đầu ngay công việc của mình khi chiếc máy đó kết
nối Internet. Chủ nhân của các tên “mách lẻo” này sẽ nhận được mọi thông tin
về việc sử dụng chiếc máy tính đó: từ thói quen duyệt web, các địa chỉ trang
web hay, đến những thông số kỹ thuật của máy và nội dung của các đĩa cứng,
nhờ đó mà họ biết được các địa chỉ thư điện tử và phiền toái hơn là cả các mật
mã nữa.
Ông bà ta có câu “nhân tri sơ, tính bổn thiện" thì Spyware cũng thế.

Khi sinh ra chúng, những nhà sản xuất đều thật ngọt ngào cho rằng nhờ các
Spyware này, khách hàng của họ sẽ được chăm sóc chu đáo hơn bởi các dịch
vụ hậu mãi. Họ hứa hẹn rằng tất cả các lỗi của chương trình sẽ được gửi trực
tiếp về cho nhà sản xuất và nhà sản xuất sẽ gửi cho khách hàng của mình
những file để sửa lỗi phần mềm. Một lý lẽ nghe “bùi tai” hơn là việc sẽ gửi
thông báo về việc ra đời những phiên bản mới của phần mềm đến khách hàng
để họ “tiện bề cập nhật”.
Nhưng đó chỉ là mặt nổi của vấn đề. Những gì mà Spyware mang lại
cho người sử dụng chẳng thấm tháp là bao so với những gì mà họ phải “chịu
đựng”. Dần dà, các máy “mách lẻo” bị lạm dụng vì những mục đích thương
mại. Các Spyware sẽ xâm nhập máy tính của bạn và thu thập tất cả các thông
tin cá nhân của người sử dụng máy. Các thông tin này sẽ được bán lại cho các
công ty khác, những người cũng rất cần chúng. Hãy lấy ví dụ từ các công ty
chuyên gửi spam. Có bao giờ bạn tự hỏi làm sao những kẻ chuyên gửi thư rác
biết nhiều địa chỉ e-mail đến thế không? Đó là do họ ### chúng ở các công ty
bố mẹ của các Spyware. Rồi có bao giờ bạn tự hỏi rằng không hiểu tại sao
Trang 9
người ta lại biết bạn thích bóng đá mà gửi cho bạn nhiều yêu cầu tham gia các
diễn đàn về bóng đá trên mạng? Có thể bạn hơi bất ngờ nhưng tất cả các thói
quen duyệt web, những trang web mà bạn hay thăm viếng, những thông tin
bạn thường đọc,… đều được các Spyware “học thuộc lòng” rồi “méc” lại cho
các trang web khác.
5. Spyware từ đâu ra?
Phần mềm gián điệp (spyware) theo dõi thói quen lướt mạng của bạn,
rồi dựa theo đó tung ra màn hình những quảng cáo gây khó chịu. Bài viết này
sẽ giúp bạn có cái nhìn sâu hơn về bản chất vấn đề và phương pháp phòng
chống.
Theo định nghĩa của Ủy ban Thương mại liên bang Mỹ, spyware “là
một phần mềm hỗ trợ việc thu thập thông tin về một cá nhân hay tổ chức mà
họ không biết và có thể gửi những thông tin đó tới một đối tượng khác không

có sự đồng ý của người tiêu dùng, hay áp đặt điều khiển lên một máy tính mà
chủ nhân không được biết”.
Thường thì bạn “đưa giặc vào nhà” khi bấm vào các đường link hứa
hẹn những thứ “hấp dẫn”, đề nghị bạn tải về một phần mềm miễn phí với
những điều khoản lập lờ. Những đối tượng chuyên phát tán các đường link để
tải spyware được trả khoảng 0,15 USD cho mỗi lần một người lướt mạng
thiếu cảnh giác bấm vào “miếng mồi” được giăng trên bẫy.
Một kẻ đặt bẫy trẻ tuổi, xin tạm gọi là X., kể lại: “Tụi bạn đăng ký cho
tôi trong một đêm say sưa. Chúng nó bảo đấy là một cách kiếm tiền dễ dàng.
Tất cả những gì tôi phải làm là đăng ký và gửi những quảng cáo giả, như
‘Bấm vào đây để xem ảnh tôi!’”. Khi người dùng bấm vào đó, một cửa sổ sẽ
yêu cầu họ tải phần mềm xem ảnh. Tuy nhiên, người dùng không tải được
Trang 10
tấm ảnh nào cả. Thay vào đó, họ nhận được lời chào “Trở lại sau để xem
ảnh”. Quảng cáo giả nhưng máy tính bị nhiễm bệnh thật.
X. nhận xét các diễn đàn và những website không được kiểm soát là
những nơi tốt nhất để đặt quảng cáo, vì rất nhiều người có khuynh hướng hay
bấm vào các đường link “quyến rũ”. Đương nhiên, nếu có nhiều người dùng
than phiền, kẻ phát tán spyware sẽ bị tống cổ ra khỏi một site hay một trang
trong site nhưng đây không phải là một vấn đề lớn. “Cần phải liên tục di
chuyển”, X. tiết lộ, “Việc đó cũng dễ thôi. Vì thế, đặt lại quảng cáo chẳng khó
khăn gì cả”.
Được trả 0,15 USD mỗi cú bấm chuột, X. nhận thù lao 2 tuần/lần, mỗi
lần vài trăm USD. Anh ta cho hay: “Lẽ ra tôi kiếm được bộn tiền hơn nhiều.
Tất cả những gì cần làm là dựng thêm quảng cáo và đáng ra tôi đã tăng được
thu nhập gấp đôi hoặc gấp ba”. X. nói thêm rằng nay anh đã bỏ trò kiếm tiền
khá thất đức này.
Những kẻ gieo rắc spyware có thể cũng là nạn nhân của các công ty sản
xuất những phần mềm độc hại này. Nhiều công ty trả tiền cho các cá nhân
phát tán phần mềm gián điệp có đặt thông điệp tại website của họ, trong đó có

điều khoản cho người đọc biết nếu họ gian lận, hãng có quyền không chi trả
thù lao. Nhiều kẻ phát tán spyware không đọc thông điệp đó nhưng hiểu rằng
công ty sẽ trả tiền để họ lừa người khác tải về phần mềm gián điệp.
Khi được hỏi có cảm thấy áy náy vì đã làm ô nhiễm máy tính của
những người dùng cả tin hay không, X. đáp: “Tôi dùng lời lẽ khêu gợi mang
hàm ý những bức hình khiêu dâm đang chờ đợi. Và nếu bấm chuột vào quảng
cáo của tôi thì họ là những kẻ đồi trụy. Vì thế, tôi không cảm thấy bận lòng
chút nào cả”. Anh ta nhận xét bất kỳ ai khi lên mạng cũng phải tự vũ trang
Trang 11
cho mình phần mềm chặn spyware, ngăn spam và cần có tường lửa cá nhân.
“Nếu không làm thế, họ sẽ là những kẻ ngốc”, X. nói.
Đặt quảng cáo lừa đảo trên mạng là một cách kiếm tiền dễ dàng đầy
quyến rũ. Mỗi tháng, các công ty sản xuất spyware chi trả hàng trăm nghìn
USD để tạo dựng lên cả một hệ thống có cấu trúc bậc thang của những kẻ
chuyên phát tán. Bản chất gian lận của spyware khiến khó lần ra kẻ tạo ra nó
cũng như nơi và cách thức nó được gieo rắc. Hơn nữa, người tiêu dùng khó
nhận biết vấn đề máy tính của họ đang gặp phải là do phần mềm gián điệp
gây ra. Ngay cả khi nhận thức được, họ cũng không truy nguyên được nguồn
gốc của spyware.
Trong một số trường hợp, bạn có thể loại bỏ spyware một cách thủ
công bằng việc sử dụng tùy chọn Add/Remove Programs trong bảng Control
Panel của Windows. Tuy nhiên, giải pháp tốt nhất là bạn nên chạy một số
phần mềm được thiết kế để tìm và diệt tận gốc spyware.
Hãy bắt đầu với phần mềm miễn phí Spybot Search and Destroy. Để tối
ưu hóa chương trình, hãy luôn bảo đảm rằng bạn có danh sách những phần
mềm gián điệp mới nhất bằng cách nhấn phím Search for updates. Tiếp đó,
nhấn Scan để quét và loại bỏ tất cả những file bạn không cần thiết với phím
Fix Problems. Lưu ý rằng trong một số trường hợp, việc loại bỏ spyware cũng
sẽ mất tác dụng của tính năng chia sẻ file và một số phần mềm khác. (Nên xóa
bỏ tất cả, sau đó cài đặt lại phần mềm miễn phí nếu nó ngừng hoạt động).

Không phần mềm chống spyware nào có khả năng "bắt" tất cả gián
điệp. Vì vậy, hãy bổ sung bằng một chương trình khác. Xin giới thiệu với các
bạn phần mềm miễn phí Ad-aware của Lavasoft. Cũng như với Spybot, hãy
Trang 12
bảo đảm là bạn có danh sách spyware mới nhất bằng cách bấm nút
WebUpdate.
Sau khi đã "thanh trừng" những tên gián điệp nguy hại, bạn vẫn nên
thường xuyên quét lại máy tính để đề phòng chúng tái xâm nhập.
Nhận diện phần mềm gián điệp trong Windows

Làm sao nhận diện phần mềm gián điệp trong Windows?
Nếu chỉ đơn thuần sử dụng công cụ Task Manager trong Windows thì
chúng ta không thể nào biết được tất cả chương trình đang chạy trong hệ
thống. Tương tự, với từng chương trình cụ thể, chúng ta cũng không có đủ
thông tin để đánh giá xem chương trình đó có thực sự cần thiết hay không. Và
càng nguy hiểm hơn nếu chương trình đó có ý gây hại đến máy tính của bạn.
Trong Windows, một ứng dụng đang chạy thường “kéo theo” nhiều
chương trình phụ trợ làm cho sự việc vốn dĩ đã phức tạp càng thêm “rối”. Bài
viết sẽ giới thiệu đến bạn thông tin cần thiết để có thể xác định danh sách các
chương trình đang chạy trên hệ thống Windows, đồng thời xem đâu là chương
trình hợp lệ, phần mềm gián điệp hay vi-rút máy tính Ngoài ra, bạn cũng sẽ
được hướng dẫn cách “theo vết” mọi ứng dụng đang thực thi trên máy tính, kể
cả mối hiểm họa mới nhất là rootkits.
Trang 13
“Nhân vô thập toàn” nên không ai dám chắc hệ thống của mình thực sự
an toàn hay ổn định 100% trước mọi sự tấn công của vi rút máy tính. Cho dù
đã sử dụng các công cụ bảo vệ cần thiết như tường lửa, phần mềm diệt vi rút,
qui định nghiêm ngặt trong vấn đề tải ứng dụng nhưng hệ thống của bạn
cũng đành thúc thủ trước sự lây nhiễm của những dạng tấn công mới. Yếu tố
cơ bản để bảo vệ hệ thống là phải nhanh chóng phát hiện lỗ hổng bảo mật, cập

nhật danh sách vi rút máy tính mới cho các công cụ trên. Nếu có một vi rút
hay lổ hổng bảo mật mới xuất hiện mà hệ thống chưa được cập nhật thì chắc
chắn hệ thống của bạn sẽ bị tin tặc tấn công. Vì vậy, cách phòng chống tốt
nhất là sớm phát hiện những chương trình “ác ý” này trong hệ thống và loại
bỏ chúng ngay lập tức.
AN TOÀN LÀ TRÊN HẾT
Vì các thao tác giới thiệu trong bài viết này có liên quan trực tiếp đến
sự ổn định của hệ thống Windows nên chúng ta phải tuân thủ một số nguyên
tắc đảm bảo an toàn hệ thống như sau:
Trước hết, không được tùy tiện xóa bỏ hay sửa đổi nội dung của bất cứ
một tập tin nào khi chưa biết rõ về chức năng, vai trò của nó đối với hệ thống.
Tiến hành sao lưu hệ thống để đề phòng trục trặc. Với các hệ thống sử dụng
Windows XP/Me thì nên sử dụng chức năng System Restore, thủ tục thực
hiện như sau: nhấn Start.Programs.Accessories.System Tools.System Restore,
tiếp đến chọn Create a restore point, rồi thực hiện theo các hướng dẫn. Hãy
tiến hành thực hiện công việc này trước khi tác động trực tiếp vào hệ thống
Windows.
Bạn cũng có thể loại bỏ chế độ không hiển thị các thư mục và tập tin hệ
thống với thuộc tính “ẩn” của Windows. Mở tiện ích Windows Explorer hay
Trang 14
bất cứ cửa sổ thư mục nào, chọn trình đơn Tools.Folder Options, tiếp đến
chọn nhãn View. Tại mục Hidden files and folders, đánh dấu tuỳ chọn “Show
hidden files and folders”, ngoài ra bỏ đánh dấu chọn tại các mục “Hide
extensions for known file types” và “Hide protected operating system files
(Recommended)”. Chọn Yes nếu xuất hiện cửa sổ cảnh báo của Windows.
Ngoài ra, để giảm bớt khối lượng công việc trong quá trình thực hiện nên
chạy các chương trình diệt vi rút máy tính và chống phần mềm gián điệp mà
bạn đang sử dụng trong hệ thống.
Cuối cùng, nếu đã hoàn toàn tin chắc rằng tập tin đó là dấu hiệu của sự
lây nhiễm một phần mềm xấu tính, hãy xóa chúng. Tuy nhiên, bạn không thể

sử dụng cách này để loại bỏ các tập tin có phần mở rộng là .dll trong thư mục
hệ thống Windows.
KIỂM TRA BỘ NHỚ
Bây giờ là lúc chuyển sang tìm hiểu xem các chương trình và dịch vụ
nào đang hoạt động. Do công cụ Task Manager của Windows cung cấp không
đủ thông tin cần thiết nên chúng ta sẽ sử dụng tiện ích miễn phí Process
Explorer của Sysinternal. Theo mặc định, tiện ích Process Explorer chưa hiển
thị ngay thông tin cần thiết của một chương trình nên bạn cần thực hiện thêm
những thủ tục sau: khởi động Process Explorer, nhấn phải chuột lên tiêu đề
một cột nào đó trong màn hình, chọn Select Columns. Tiếp đến, đánh dấu 4
tùy chọn là Process Name, Description, Company Name, Command Line.
Trong màn hình Select Columns chọn nhãn DLL, đánh dấu chọn mục Path rồi
nhấn OK. Sau đó, bạn nhấn View và kiểm tra xem tùy chọn Show Lower
Pane đã được đánh dấu chưa. Cuối cùng, chọn trình đơn View.Lower Pane
View.DLLs.
Trang 15
Với cấu hình khai như trên, mỗi khi chọn một chương trình trong danh
sách các ứng dụng đang chạy thì Process Explorer sẽ cho chúng ta biết tất cả
các tập tin DLL được chương trình cần đến khi đang chạy. Cột Command
Line chỉ ra tên thư mục và ổ đĩa lưu trữ chương trình. Với các chương trình
hoạt động ở dạng service (do tiện ích hệ thống svchost.exe điều khiển) thì tiện
ích sẽ chỉ rõ số thứ tự của dịch vụ đó.
Các chương trình chạy trên bộ nhớ mà nơi lưu trữ là thư mục Temp
(thư mục chứa các tập tin tạm thời của Windows trong quá trình hoạt động) sẽ
được đánh dấu đỏ bên cạnh để chúng ta lưu ý xem xét kỹ hơn.Thường thì các
chương trình gián điệp hay vi rút máy tính hay thực hiện cài đặt hoặc ẩn nấp
tại thư mục này. Tuy nhiên cũng phải cẩn thận, nếu bạn đang cài đặt một phần
mềm nào đó thì thư mục Temp của Windows cũng là nơi chứa các tập tin cần
thiết cho trình cài đặt ứng dụng ví dụ như InstallShield. Bạn cũng cần lưu ý
rằng trong Windows XP, khi chương trình Explorer.exe hoạt động thì các

dịch vụ như smss.exe, winlogon.exe, services.exe, alg.exe và lsass.exe cũng
sẽ được chạy trong bộ nhớ của máy tính. Vì thế hãy tránh đ ụ n g đến những
chương trình quan trọng này.
Tuy vậy, cần lưu ý đến chương trình rundll32.exe xuất hiện trong bộ
nhớ của hệ thống. Rất nhiều phần mềm gián điệp hay vi rút máy tính ẩn nấp
dưới dạng tập tin .dll, sử dụng chương trình này làm bàn đạp để xâm nhập vào
bộ nhớ của hệ thống. Đây chính là cơ chế mà Windows khởi động các chương
trình điều khiển thiết bị nên trước khi loại bỏ chương trình nào, bạn cần xem
xét kỹ liệu chúng có phải là chương trình của Windows hay không. Thông
thường tên thư mục lưu giữ tập tin chương trình trên đĩa cứng sẽ chứng tỏ đó
có phải là một chương trình hợp pháp không.
XÁC ĐỊNH CHƯƠNG TRÌNH CHƯA RÕ DANH TÍNH
Trang 16
Khi Windows hoạt động, một chức năng chủ chốt của hệ điều hành
chạy sẽ khởi động rất nhiều tập tin phụ trợ (thường là hoạt động ở chế độ
nền), ví dụ như các chương trình điều khiển thiết bị phần cứng, điều khiển
cổng kết nối máy tính, kết nối mạng Khi khảo sát một chương trình đang
hoạt động trong bộ nhớ bằng tiện ích Process Explorer, thông tin trên các cột
Description, Company Name, Command Line sẽ giúp chúng ta biết được
các tập tin này dùng để làm gì, do ai sản xuất và được lưu giữ ở đâu
Nếu một chương trình nào đó không có một hay tất cả 4 thông tin vừa
đề cập thì thực hiện thủ tục sau: Trong màn hình của Process Explorer nhấn
phải chuột lên chương trình cần xem, chọn Properties. Nếu thông tin trong
nhãn Image vẫn chưa đủ thì nhấn nhãn Services. Những thủ tục hợp lệ được
liệt kê ở cột hơi thụt vào một chút dưới dòng “service.exe” sẽ xuất hiện dưới
nhãn này.
Hãy làm theo các hướng dẫn ở trên để kiểm tra tất cả chương trình và
dịch vụ hoạt động ở chế độ nền. Trường hợp một chương trình đang hoạt
động nhưng không có thông tin gì thì bạn phải xử lý chúng như thế nào? Đây
chính là lúc chúng ta tiến hành tìm kiếm thông tin về chương trình này bằng

Internet.
TẬN DỤNG INTERNET
Nếu cần tìm thông tin về một tập tin DLL nào đó thì bạn có thể tham
khảo ở cơ sở dữ liệu DLL Help Database của Microsoft tại địa chỉ
nghi ngờ một tập tin là phần mềm
gián điệp thì tra cứu tại cơ sở dữ liệu Spyware Information Center
( hay Pest Encyclopedia
Trang 17
( lưu trữ thông tin của 27.000 phần mềm gián
điệp. Trang web Task List Programs tại địa chỉ AnswerThatWork.com sẽ cho
chúng ta biết thông tin phần mềm ứng dụng cũng như là vi rút máy tính và
spyware. Ngoài ra các tiện ích như WinPatrol hay WinTask 5 Professional
của Uniblue cũng cho biết một tiện ích hay tập tin .dll có phải là chương trình
nguy hiểm hay không. Hai tiện ích này còn có một cơ sở dữ liệu trực tuyến về
hàng ngàn tập tin chương trình hay DLL. Riêng tiện ích WinTask còn có chức
năng lập được “danh sách đen” các chương trình cấm không cho chạy trên hệ
thống.
Nếu chỉ có mục đích tìm kiếm các chương trình nguy hiểm thì bạn nên
xem xét sử dụng công cụ có tên là Security Task Manager của Neuber
Software 7. Giống như một phần mềm diệt vi rút máy tính, công cụ này cho
phép kiểm tra và đánh giá tất cả các tập tin chương trình trong hệ thống của
bạn (tập tin thực thi, trình điều kiển thiết bị, tập tin .dll) có phải là chương
trình gián điệp hay không cho dù chúng được chưa khởi động.
Dù sao đi nữa, bạn cũng đừng quá tin vào những kết quả trên internet.
Cho dù hàng ngàn website trên thế giới đều nói rằng một tập tin có tên nào đó
là nguy hiểm nhưng chỉ cần Microsoft nói rằng đó là một chương trình ứng
dụng “an toàn” thì tất cả thông tin của hàng ngàn website trên đều trở nên vô
nghĩa. Càng có nhiều thông tin, nguy cơ bạn xóa nhầm các tập tin đó càng
thấp.
Cách gở bỏ các chương trình virus, spyware !

Trang 18

Các phần mềm gián điệp này có phạm pháp không?
Ngay cả khi bạn cảm giác rằng các Spyware là những kẻ quấy rối phiền
phức, luôn xâm phạm đời sống riêng tư của bạn thì cũng xin nhắc với bạn
rằng sự hoạt động của các Spyware là không hề phạm pháp! Thật vậy, nếu để
ý hơn một chút nữa, bạn sẽ biết rằng trong phần “quy ước” trước khi cài đặt
phần mềm mà “trên nguyên tắc” là người sử dụng phải đọc thật kỹ, có nói đến
sự hiện diện của 1 Spyware trong chương trình. Nhưng chắc chắn chỉ có ít
hơn 1% người trong số chúng ta chịu đọc hết tất cả các điều khoản trong bản
hợp “đồng đó” vì thông thường nó dài cả trăm trang và phần nhắc đến
Spyware thì không thực sự rõ ràng.
Tóm lại sự ra đời của Spyware làm 99% những người sử dụng vi tính
khó chịu vì khi đã chấp nhận sử dụng chương trình thì dĩ nhiên phải “chịu
đấm ăn xôi”, đành làm lơ với các Spyware. 1% còn lại là ai? Là những lập
trình viên tạo ra các phần mềm chống Spyware.
Làm sao gở bỏ những spyware
Trong một số trường hợp, bạn có thể gõ bỏ các trình adware và
spyware khi đọc kỹ phần thoả thuận của phần mềm cài đặt. Thường thì cách
làm này sẽ cho phép cài đặt miễn phí chương trình mà không gộp những thứ
không mong muốn. Nhưng cũng có một số adware và spyware "âm thầm" cài
đặt mà không có bất cứ một công cụ khả dĩ nào có thể giúp bạn gõ bỏ chúng
sau này.
Trang 19
Để bảo vệ máy tính của bạn chống lại adware, spyware và nhiều
chương trình có chức năng tương tự khác, bạn nên sử dụng tiện ích chống
spyware miễn phí, chẳng hạn như :
Spybot Search & Destroy của PepiMK Software (download tại địa chỉ:
age&tag=button
Hoặc Ad-ware của Lavasoft (download tại địa chỉ:

ml?tag=lst-0-1)
Trong thực tế, có lẽ tốt nhất nên dùng kết hợp cả hai vì nếu dùng một,
đôi khi nó không thể phát hiện được hết các trình độc hại trong máy. Hai phần
mềm trên không có tác dụng virus, nên bạn phải cài thêm một phần mềm
chống virus vào trong máy, như Norton AntiVirus của Symantec chẳng hạn.
Và để phát hiện được các spyware và adware có thể được gắn kèm
trong các chương trình download, bạn có thể dùng thử Spy Sweeper, một
dạng quét tìm spy trực tuyến.
Quét virus
Trang 20
Khi đã nghi ngờ hệ thống nhiễm virus, bạn cần tìm phần mềm để kiểm
tra và tiêu diệt chúng. Lưu ý: phòng chống virus trước khi chúng xâm nhập
vào hệ thống bao giờ cũng đơn giản hơn việc tiêu diệt chúng.
Sau khi lựa chọn phần mềm phù hợp, bạn cần cài đặt chúng vào hệ
thống. Một số virus "quỷ quái" đến mức sau khi lây nhiễm vào hệ thống,
chúng ngăn chặn người dùng cài đặt hoặc khống chế luôn những phần mềm
này để không phát hiện được chúng, ngăn chặn việc truy cập đến website của
nhà sản xuất. Nếu không cài đặt được ở chế độ Normal trong Windows, hãy
thử cài đặt ở chế độ Safe mode. Để khởi động máy tính trong chế độ Safe
mode, thực hiện như sau:
1. Sử dụng System Configuration Utility hoặc nhấn phím F8 trong quá
trình khởi động Windows để vào chế độ Safe mode.
- Đóng tất cả các ứng dụng đang sử dụng.
- Chọn Start. Run. Gõ dòng lệnh msconfig và nhấn Ok để mở cửa sổ
System Configuration Utility
- Trong tab BOOT.INI, đánh dấu tùy chọn /SAFEBOOT trong mục
Boot Options (hình 1)
- Nhấn Ok và chọn Restart để xác nhận việc khởi động lại máy tính để
vào chế độ Safe mode.
Trang 21

Lưu ý:
Khởi động lại máy tính trong chế độ Normal: Thực hiện các bước trên
và bỏ tùy chọn /SAFEBOOT trong mục Boot Options.
Cập nhật danh sách virus. Như đã đề cập bên trên, nếu không thể truy
cập đến các website của nhà sản xuất, không thể cập nhật danh sách virus
(virus definition) trực tuyến; bạn hãy tải chúng về từ máy tính khác để cập
nhật.
Tắt System Restore. Nếu sử dụng Windows ME hoặc XP, bạn nên tắt
tính năng System Restore khi máy tính bị nhiễm virus. Mặc định trong
Windows ME và XP, tính năng này được kích hoạt để giúp bạn khôi phục hệ
thống khi gặp sự cố. Các phần mềm chống virus không thể quét được thư mục
System Volume Information, nơi System Restore lưu trữ những tập tin, thư
mục giúp khôi phục hệ thống. Vì vậy sẽ xảy ra tình trạng "tái nhiễm" virus
khi System Restore phục hồi hệ thống các bản lưu trữ bị nhiễm virus.
Để tắt System Restore trong Windows XP, thực hiện như sau:
- Nhấn phải chuột trên My Computer, chọn Properties
- Trong cửa sổ System Properties, tab System Restore, đánh dấu tùy
chọn Turn off System Restore on all drivers và nhấn OK (hình 2)
- Chọn Yes khi xuất hiện yêu cầu xác nhận việc này.
Trang 22
Nếu sử dụng Windows ME, thực hiện như sau:
- Trên màn hình Desktop, nhấn phải chuột vào biểu tượng My
Computer và chọn Properties.
- Trong cửa sổ System Properties, chọn Performance. File System.
Troubleshooting
- Đánh dấu tùy chọn lên Disable System Restore và nhấn OK
- Chọn Close và Yes để khởi động lại Windows
Lưu ý: tắt tính năng System Restore đồng nghĩa với việc xóa tất cả các
điểm khôi phục (restore points). Bạn hãy tạo thủ công một điểm khôi phục khi
System Restore được bật trở lại.

Quét ở chế độ đầy đủ (full system scan). Thiết lập mặc định của một số
chương trình phòng chống virus chỉ quét một số loại tập tin được chỉ định
trước. Để chắc ăn, bạn nên thiết lập "full system scan" để máy tính được kiểm
tra đầy đủ nhất. Một số lưu ý trong quá trình quét:
- Nếu gặp thông báo lỗi phần mềm không thể xóa được virus hoặc một
tập tin nào đó của virus. Bạn hãy khởi động lại máy tính ở chế độ Safe mode
và tiếp tục việc kiểm tra
Trang 23
- Kết thúc quá trình quét, chương trình sẽ đưa ra báo cáo tổng kết
những virus được phát hiện và cách xử lý chúng. Nếu chương trình không thể
diệt được một vài loại virus nào đó, bạn thử diệt chúng một cách thủ công. Sử
dụng công cụ tìm kiếm với từ khóa là tên virus đó, bạn sẽ tìm thấy những
thông tin hướng dẫn cách tiêu diệt tại một số website nhà sản xuất phần mềm
phòng chống virus.
- Sau khi khởi động lại Windows trong chế độ Normal, nếu gặp thông
báo lỗi tương tự như "Windows cannot find [FILE NAME]. Make sure you
typed the name correctly, and then try again. To search for a file, click the
Start button, and then click Search". Ví dụ: với virus W32.Lecna.A, bạn sẽ
gặp thông báo lỗi không tìm thấy tập tin iexplore.exe. Đây là những "tàn tích"
còn sót lại của virus W32.Lecna.A dù chúng đã bị diệt. Để xóa chúng, bạn
cần tìm và xóa những khóa do virus này thêm vào trong Registry. Chúng tôi
vẫn lưu ý bạn đọc nên sao lưu Registry trước khi bạn "###############ng"
đến chúng.
Chọn Start. Run để mở cửa sổ DOS Prompt; gõ vào lệnh "regedit" để
mở cửa sổ Registry Editor. Nếu gặp thông báo lỗi "Registry editing has been
disable by your administrator", tham khảo thông tin liên quan đến lỗi này
trong bài viết "Internet Explorer luôn truy cập trang web lạ”, ID: A0604_154.
Tìm và xóa các khóa có liên quan đến spyware trong các nhánh sau:
- KEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre
ntVersion\Run. Xóa khoá "iexplore.exe" = "iexplore.exe" ở khung bên phải.

Trang 24
- HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetIn f.
Xóa khóa "hostid" = "[RANDOM NUMBER]" và "pid" = "[ENCRYPTED
DATA]"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro
l\Lsa. Xóa khóa "forceguest" = "0"
Thoát khỏi Registry Editor và khởi động lại máy tính.
Cập nhật các bản sửa lỗi cho HĐH, phần mềm. Một số virus như
W32.Blaster.Worm thường khai thác lỗ hổng trong dịch vụ Remote Procedure
Call của HĐH Windows NT/2000/XP để phá hoại. Nếu sử dụng các phần
mềm của Microsoft, bạn có thể cập nhật bản sửa lỗi từ
displaylang=en, tránh tình trạng tái
nhiễm sau khi quét.
Hãy luôn có ý thức về độ an toàn của hệ thống
Khi bạn đã gõ bỏ những chương trình không mong muốn ra khỏi máy,
bạn có thể giữ hệ thống trong tình trạng luôn "sạch sẽ" bằng việc tránh
download những chương trình không mấy tin tưởng về nguồn gốc xuất xứ,
hay thiết lập các thông số an toàn của trình duyệt Internet Explorer để tránh
việc tự động cài đặt chương trình.
Trang 25