Thủ thuật Tìm & Diệt Vỉut = Tay !
Thủ thuật tìm và diệt virus máy tính bằng tay Khi virus hoạt động chia
làm 2 trường phái,một là âm thầm chạy, không bộc lộ ra một triệu
chứng hay dấu vết nào (mang tính đánh cắp thông tin), loại khác là
chạy cực kì sung sức, thực hiện nhiều hành động phá hoại công
khai, chiếm nhiều tài nguyên của bộ xử lý
Khi virus hoạt động chia làm 2 trường phái,một là âm thầm chạy,
không bộc lộ ra một triệu chứng hay dấu vết nào (mang tính đánh
cắp thông tin), loại khác là chạy cực kì sung sức, thực hiện nhiều
hành động phá hoại công khai, chiếm nhiều tài nguyên của bộ xử lý
(mang tính phá hoại). Có khi bạn mở Task manager ra thấy "CPU
usage" luôn ở mức trên 90% trong khi máy đang không hoạt động gì
cả, chạy cực kì chậm.
Lý do là vì virus đã giả dạng là một ứng dụng hệ thống của hệ điều
hành windows (ví dụ như là svchost.exe thì nó giả là
svchoost,svhost,taskmgr.exe thì nó giả là taskmgrz.exe - một loại
back door) và lén chạy nền.
Lúc này, bạn cần phải ra tay tiêu diệt lũ chuột bọ đang hoành hành
phá hoại. Các công cụ cần thiết để tiến hành công việc, đã có sẵn
trong Windows, chỉ cần vào start - run - gõ tên ứng dụng đó
1. msconfig //Công cụ quản lý các dịch vụ,driver,ứng dụng tự khởi
động
2. cmd //Môi trường điều khiển máy tính = chế độ dòng lệnh
3. regedit //Công cụ chỉnh sửa registry - một cơ sở dữ liệu các cấu
hình,thông số của windows
4. notepad //Trình soạn thảo
5. gpedit.msc //Quản lý các thông số,cấu hình dc thiết lập trong
Windows
6. taskmgr //Task manager,công cụ quản lý các tiến trinh đang hoạt
động
Phòng "sâu bệnh"
Tất nhiên phương pháp đơn giản nhất mà ai cũng biết đó là cài đặt
các chương trình antivirus như là Norton,McAfee,BKAV,... và để ở
chế độ tự bảo vệ (auto protect). Nhưng ở đây chúng ta phòng bằng
tay nên sẽ tập trung vào những kĩ năng, kinh nghiệm cần có để cảnh
giác và đề phòng.
Nguyên tắc để lây nhiễm của virus là tự nhân bản và sao chép chính
nó thông qua các phương tiện lưu trữ như : đĩa cứng,flash USB,đĩa
mềm...Và thông thường chúng sẽ được tự nạp vào hệ điều hành mỗi
khi khởi động xong.
Như vậy, để phòng ngừa thì các bạn cần ngăn cản không cho virus
xâm nhập vào, bằng cách tăng cường cảnh giác :
- Không nên double click chuột để mở một thiết bị lưu trữ nào đó
trong windows explorer,nhất là đối với flash USB (virus hay lây lan
qua đường này nhất),mà các bạn nên click phải chuột,chọn "explore"
từ menu ngữ cảnh, hoặc truy nhập vào từ thanh Address trên toolbar
(nhấn phím F4).
Bởi vì khi bạn double click để mở 1 thiết bị lưu trữ,windows sẽ gọi
ứng dụng được khai báo trong file autorun.inf (dòng OPEN=...) , và
nếu ứng dụng này là virus thì như vậy virus đã được kích hoạt
chạy,nó sẽ tự động sao chép chính nó vào ổ cứng của bạn (thường
nằm trong thư mục Root\windows\system32\... hoặc một "chốn xó
xỉnh" nào đó mà người dùng ít để ý, để có thể tiếp tục hoạt động lâu
dài và kín đáo về sau.
- Không nên tùy tiện click vào những đường dẫn đến các website lạ,
chấp nhận và chạy các script lạ khi duyệt web hoặc đọc các email,
download và sử dụng những screen saver .scr hay các ựng dụng
.exe, .com, .bat lạ
- Cảnh giác với các crack, patch,loader,tools,... được download về từ
internet hay copy từ đâu đó.Tốt nhất là mỗi khi thử bạn nên chạy trên
account Guest của Windows,khi đó do bị hệ điều hành giới hạn một
số chức năng và quyên hạn nên virus sẽ không thực hiện được một
số thao tác phá hoại (nếu có),hoặc nếu có thể - cài đặt riêng cả 1 hệ
điều hành để vọc thì hay quá
Tất nhiên là dù 1 bro có giỏi đến đâu đi nữa thì cũng không thể chỉ
dùng mắt mà quản lý và ngăn chặn được hết tất cả virus xâm nhập
vào PC, bạn cũng nên kết hợp sử dụng một soft antivirus nào đó cảm
thấy tâm đắc.
Và người ta hay nói đối với virus (cả virus sinh học và virus tin học)
thì phòng bệnh vẫn hơn chữa bệnh, ngăn cản không cho virus xâm
nhập vào sẽ an toàn hơn là để nó vào rồi mới tìm cách xử lý. Bởi vì
virus có rất nhiều loại, thiên biến vạn hóa khôn lường, rất khó để có
thể tiêu diệt một cách hoàn toàn 100%,mà chủ yếu là ta chỉ cách ly
chúng ra.Và nếu như bạn đã cảnh giác cao độ nhưng vẫn "dính
chàm" thì đành phải tìm cách diệt chúng vậy.
Tìm và diệt
Diệt virus chẳng qua là tìm xem virus nằm ở đâu để cách ly ra hoặc
là xóa hẳn chúng, thông thường việc này sẽ được làm tự động thông
qua một soft antivirus nhưng lẽ thường tình là máy tính vẫn không
thể thông minh hơn con người, chúng chỉ giỏi ứng dụng, làm việc
nhanh, chính xác cứ không thể biết nghiên cứu, suy luận và tư duy
sáng tạo - Những đặc điểm mà chỉ con người mới có thông qua quá
trình lao động và làm việc.
Virus thường là những file có thể thực thi .exe,.com,.scr hoặc là
những file dữ liệu bị nhúng "mã độc",như ở các file office của
Windows hay bị nhúng những macro mang tính phá hoại, cả định
dạng trình diễn .swf (shockwave flash) của Macromedia dạo gần đây
cũng bị lợi dụng để phán tán virus, sau đó virus sẽ được bí mật tự
động sao chép vào một chốn "xó xỉnh" nào đó, như là
-\Windows\system32\...
-\Windows\inf\...
-\Windows\system32\drivers\...
Và thường được ngụy trang rất kín đáo. Sau đây là một số cách ngụy
trang phổ biến của virus:
-Giả làm ...folder (là file thực thi .exe nhưng bề ngoài mang thuộc
tính icon là folder) thế là bạn tò mò mở xem: "ủa thư mục nào lạ thế
nhỉ?"
-Giả làm ... file tài liệu : virus có thể "dụ khị" bằng cách đặt tên file có
2 đuôi,ví dụ như là tailieu.txt.exe với icon là của file text,nhìn vào bạn
sẽ lầm tưởng là file text vô hại và tò mò mở ra xem thế là "dính
chưởng".
-Giả làm ... các ứng dụng hệ thống trong windows như msconfig,task
manager với các tên file thực thi gần giống,ví dụ như taskmgr.exe
(thật) -> taskmgrz.exe (giả),svchost.exe (thật) ->
svchoost.exe,svhost.exe (giả)
Các bạn nên thường xuyên vào những khu vực này để kiểm tra. Nếu
phát hiện có những ứng dụng lạ nào vừa được thêm vào mà mình
không hề biết nó về thuộc chương trình nào thì hết 99% có thể là
virus.
Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 2) Để có thể diệt
được virus bằng tay (tức là không dùng đến trình anti virus hay các
công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ
chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,...). Thường thì
các virus "thú dữ" sẽ khoá các công
Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 1)
Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti
virus hay các công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6
công cụ chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,...).
Thường thì các virus "thú dữ" sẽ khoá các công cụ ở trên,hay gặp
nhất là khoá task manager và regedit
Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi
Enter :
Code:
REG add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /
v DisableTaskMgr /t REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào
regedit rồi bấm Enter)
Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \
CurrentVersion \ Policies \ System
Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg
rồi chạy file này
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersi
on\Policies\System]
"DisableTaskMgr"=dword:00000000
Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete
Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not
Configured, xong rồi OK.
Mở/khoá regedit
Có 2 cách :
1. Mở Group Policy
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative
Templates -> System->Prevent access to registry editing tools Mở
khóa này, chọn Disable . Đóng Group Policy.
2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật
regedit thì chạy
Mở/khoá Run trong Start Menu
Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các
cách sau: