Phòng Chống Và Diệt Virus Bằng Tay
* Tìm Và Diệt Bằng Tay:
- Làm sao để biết "nó" có phải là virus không? Chắc hẳn sẽ có
người hỏi câu này khi đã bật chế độ hiện file ẩn (kể cả file ẩn hệ
thống) và nhìn thấy những ứng dụng nằm dưới dạng file ẩn hoặc
nhìn vào bảng Process trong Task Manager (Vào Start, chọn Run,
gõ lệnh taskmgr). Điều này đòi hỏi bạn phải có một chút hiểu biết
về file hệ thống hoặc rất đơn giản bạn gõ tên của ứng dụng đang
ẩn hoặc process đang chạy trong Task Manager lên Google tìm
kiếm xem nó là file hệ thống hay đó là một "em virus". Khi đã xác
định đó chính là virus thì mình khuyên bạn đầu tiên hãy khoan
động chạm đến nó mà hãy nhớ lại xem lúc mới cài máy và các ứng
dụng bạn đã tạo một bản Ghost hay một bản sao hệ thống nào
chưa!? Vì có thể sau khi hoặc trong khi "xử" virus nó sẽ gây cho
bạn một số phiền hà như tắt máy và khởi động lại máy liên tục
nhưng không vào Windows được...
- Khi đã có file sao lưu hệ thống dự phòng rồi thì bây giờ bạn mặc
sức bắt tay vào "xử" mấy em virus. Các Virus chạy trong Task
Manager thường hay giả mạo các process của hệ thống như:
svhost, taskmgrz thay vì svchost và taskmgr vì thế bạn nên xem
xét cận trọng kẻo lại End Process nhầm process của hệ thống.
Trong ổ đĩa cũng có mấy con virus giả mạo là file hệ thống như:
ntdelect.com, ntde1ect.com thay vì file hệ thống là ntdetect.com...
Ngoài ra còn có một số hình thức giả mạo phổ biến của virus như
sau:
+ Giả là 1 Folder: thực chất là 1 file thực thi đuôi .exe mang icon là
folder (để nhìn thấy đuôi của file rất đơn giản bạn mở một cửa sổ
bất kỳ như My Computer, trên thanh menu bạn chọn Tools, chọn
thẻ View, click bỏ chọn vào ô vuông chỗ Hide extensions for know
file types, chọn OK; bây giờ bạn có thể thấy được đuôi định dạng
của các file). Nếu lầm tưởng mà click thử vào "thư mục" giả dạng
này thì virus sẽ được "bung" ra máy bạn.
+ Giả là 1 File tài liệu: Virus sẽ có icon như các file tài liệu, văn bản
và có 2 đuôi để đánh lừa bạn như: tai_lieu.doc.exe,
tai_lieu.txt.exe...
- Việc đầu tiên khi bạn bắt gặp những file hoặc process giả mạo
này là bạn hãy ngắt kết nối Internet trước để ngăn không cho virus
tự động tải chính nó từ trên mạng về. Sau đó hãy xóa các file giả
và nhấn nút End Process để tắt các process giả.
- Có thể bạn sẽ gặp trường hợp khi xóa các file virus hoặc End
Process xong thì chúng lại tự phục hồi dù cho bạn có xóa hay tắt
chúng hàng trăm lần!! Việc này có nghĩa là con "virus chúa" đang
nằm ở một nơi bạn ít đến nhất như Windows, system32, inf... và
chúng còn sửa lại một số Key trong Registry nên bạn cần phải tìm
ra hết chúng và "xóa sổ tận gốc". Bạn hãy click Start, chọn Search,
ở mục Search Options bên khung trái bạn click Advanced Options,
chọn Search hidden files and folder. Tiếp theo bạn gõ tên con virus
cần xóa vào ô Search for files and folders named, click Search Now
và chờ cho máy bạn tìm xong thì hãy xóa hết tất cả chúng. Chưa
hết! Bạn vào Registry Editor để tìm tiếp những key đã bị chúng sửa
bằng cách click Start, chọn Run và gõ lệnh regedit. Trong Registry
bạn nhấn tổ hợp phím Ctrl + F và gõ tên con virus vào ô để tìm
kiếm những key có chứa tên virus, sau khi tìm được bạn cũng xóa
các key đó và nên tìm thêm một lần nữa vì không phải chỉ có 1 key
bị sửa; tìm đến khi nào Registry báo là không tìm thấy nữa là OK!!
- Kiểm tra các file tự khởi động với Windows bằng cách click Start,
chọn Run và gõ lệnh msconfig, chọn thẻ Startup, hãy dò xem trong
list có chương trình nào là virus không ví dụ KAVO.EXE, bạn hãy
click bỏ chọn nó và click OK.
- Sau khi chỉnh sửa lại Registry và Msconfig, bạn nên Restart lại
máy vì như thế thì các chỉnh sửa của bạn mới có hiệu lực.
- Mẹo Nhỏ: Có thể sẽ có lúc bạn gặp tình trạng máy không chạy
bất cứ một chương trình nào cả nhưng máy lại chạy rất chậm!!!
Việc đầu tiên bạn nghĩ đến là "Virus"! Kiểm tra trong Task Manager
thì thấy có 1 Process đang chạy 90% trở lên mang tên
SPOOLSV.EXE hoặc spoolsv.exe. Mình khẳng định với các bạn rằng
đây không phải là Virus mà là một Process hệ thống hẳn hòi
chuyên về việc in ấn (Print); lý do là nó chiếm cao như vậy là do có
thể có 1 file nào đó mà bạn in chưa hoàn chỉnh còn lưu trong bộ
nhớ. Việc khắc phục rất đơn giản! Đầu tiên bạn hãy tắt Process
SPOOLSV đi. Sau đó vào ổ đĩa C -> WINDOWS -> system32 ->
spool -> PRINTERS Bạn hãy xóa tất cả các file nằm trong thư mục
này. Tiếp theo bạn vào lại Task Manager chọn File -> New Task
(Run...) và gõ đường dẫn sau:
C:\WINDOWS\system32\spoolsv.exe; Vậy là Process này đã chạy
trở lại, bạn có thể in bình thường và không còn tình trạng hệ thống
chạy 100% nữa!!
* Khắc Phục Một Số Lỗi Do Virus Gây Ra:
- Virus có thể sẽ mang đến cho các bạn một số "hiệu quả" như:
khóa Task Manager, Registry, tắt chế độ hiện file ẩn... Có vài cách
để khắc phục mà mình đã sưu tầm được sẵn share với mọi người
luôn:
Mở Lại Task Manager:
- Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi
Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol
icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
- Cách 2: Vào Registry Editor để chỉnh sửa, bạn mở lần lượt các
khóa bên khung bên trái theo đường dẫn sau:
Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System
=> Tìm khóa DisableTaskMgr trong khung bên phải và thay đổi giá
trị thành 0 bằng cách click đúp vào khóa và gõ 0.
- Cách 3: Mở Notepad copy đoạn code dưới đây và save lại với đuôi
là .reg (ví dụ: enable_task.reg):
Code:
Windows Registry Editor Version
5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]"DisableTaskMgr"=dword:00000000
=> Sau đó chạy file này bằng cách click đúp vào và chọn Yes - OK.
-Cách 4: Dùng Group Policy Editor (Start -> Run -> gpedit.msc)
lần lượt mở các thư mục ở bên trái theo đường dẫn sau:
Code:
User Configuration\Administrative
Templates\System\Ctrl+Alt+Delete Options
=> Click đúp vào Remove Task Manager rồi thiết lập là Not
Configured, click OK.
Mở Lại Registry Editor:
- Cách 1: Mở Group Policy (Start -> Run -> gpedit.msc) lần lượt
mở các thư mục ở bên trái theo đường dẫn sau:
Code:
User Configuration\Administrative Templates\System\Prevent
access to registry editing tools
=> Mở khóa này, chọn Disable.
- Cách 2: Mở Notepad copy đoạn code dưới đây và save lại với tên
enable_regedit.reg:
Code:
Windows Registry Editor Version
5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]"DisableRegistryTools"=dword:0000000
0[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\System]"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Group
PolicyObjects\LocalUser\Software\Microsoft\Windows \Curre
ntVersion\Policies\System]"DisableRegistryTools"=dword:0000000
0[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Group
PolicyObjects\LocalUser\Software\Microsoft\Windows \Curre
ntVersion\Policies\System]"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Policies\Explorer]"NoSaveSettings"=dword:00000000
=> Sau đó chạy file này bằng cách click đúp vào và chọn Yes - OK.
Mở Lại Run Trong Start Menu:
- Bạn click Start -> Programs ->Accessories->Command Prompt.
Sau đó gõ regedit, tìm đến khóa theo đường dẫn sau:
HKEY_CURRENT_USER -> Software -> Microsoft ->
Windows\CurrentVersion-> Explorer -> Advanced. Bên khung phải
bạn click phải chuột chọn New -> DWORD Value đặt tên là
StartMenuRun. Click đúp vào giá trị này gõ 1 để chọn mở, 0 là để
khóa.
Mở Lại Chế Độ Hiện File Và Folder Ẩn:
- Nhiều bạn sẽ bị trường hợp này, cứ chỉnh hiện file ẩn lên xong thì
nó lại tự chuyển lại là ẩn. Thường là do con "kavo và đồng bọn"
làm việc này...
- Cách 1: Vào Registry tìm đến các khóa theo đường dẫn sau:
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersionExplorer\Advanced\Folder\Hidden\SHOWALL
=> Chỉnh lại giá trị Checked Value thành 1 để có thể hiện file ẩn.
- Cách 2: Mở Group Policy như ở trên đã hướng dẫn. Bên khung
trái lần lượt mở theo đường dẫn:
Code:
User Configuration \Administrative Templates\Windows
Components\Windows Explorer
. Kế đến ở khung bên phải, chuyển đến và click đúp vào phần thiết
lập Removes the Folder Options menu item from the Tools menu.
=>Có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt
(Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK
để thoát ra ngoài.
- Cách 3: Mở Notepad copy đoạn code dưới đây và save lại với tên
là show_hidden.reg:
Code:
Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"
="Software\\Microsoft\\Windows\\CurrentVersion\\Expl
orer\\Advanced""Text"="Show all
files""Type"="radio""CheckedValue"=dword:00000001"ValueName"
="Hidden""DefaultValue"=dword:00000000"HKeyRoot"=dword:800
00001"HelpID"="update.hlp#51105"
=> đó chạy file này bằng cách click đúp vào và chọn Yes - OK.
P/S: Việc diệt virus không phải chỉ cần bằng tay là được mà phải
cần kết hợp giữa ĐỀ PHÒNG VÀ NGĂN NGỪA VIRUS TỪ USB VÀ
INTERNET - DÙNG MỘT CHƯƠNG TRÌNH DIỆT VIRUS ỔN ĐỊNH PHÙ
HỢP HỆ THỐNG - LUÔN KIỂM SOÁT NHỮNG FILE VÀ PROCESS LẠ
ĐỂ TIÊU DIỆT CHÚNG KỊP THỜI. Bài viết này chỉ là "một vài" thủ