Start.Programs.Accessories.System Tools.System Restore, tiếp đến chọn Create a restore point, rồi thực hiện theo các hướng dẫn. Hãy tiến hành thực hiện công việc này trước khi tác động trực tiếp vào hệ thống Windows. Bạn cũng có thể loại bỏ chế độ không hiển thị các thư mục và tập tin hệ thống với thuộc tính “ẩn” của Windows. Mở tiện ích Windows Explorer hay bất cứ cửa sổ thư mục nào, chọn trình đơn Tools.Folder Options, tiếp đến chọn nhãn View. Tại mục Hidden files and folders, đánh dấu tuỳ chọn “Show hidden files and folders”, ngoài ra bỏ đánh dấu chọn tại các mục “Hide extensions for known file types” và “Hide protected operating system files (Recommended)”. Chọn Yes nếu xuất hiện cửa sổ cảnh báo của Windows. Ngoài ra, để giảm bớt khối lượng công việc trong quá trình thực hiện nên chạy các chương trình diệt vi rút máy tính và chống phần mềm gián điệp mà bạn đang sử dụng trong hệ thống. Cuối cùng, nếu đã hoàn toàn tin chắc rằng tập tin đó là dấu hiệu của sự lây nhiễm một phần mềm xấu tính, hãy xóa chúng. Tuy nhiên, bạn không thể sử dụng cách này để loại bỏ các tập tin có phần mở rộng là .dll trong thư mục hệ thống Windows. KIỂM TRA BỘ NHỚ Bây giờ là lúc chuyển sang tìm hiểu xem các chương trình và dịch vụ nào đang hoạt động. Do công cụ Task Manager của Windows cung cấp không đủ thông tin cần thiết nên chúng ta sẽ sử dụng tiện ích miễn phí Process Explorer của Sysinternal. Theo mặc định, tiện ích Process Explorer chưa hiển thị ngay thông tin cần thiết của một chương trình nên bạn cần thực hiện thêm những thủ tục sau: khởi động Process Explorer, nhấn phải chuột lên tiêu đề một cột nào đó trong màn hình, chọn Select Columns. Tiếp đến, đánh dấu 4 tùy chọn là Process Name, Description, Company Name, Command Line. Trong màn hình Select Columns chọn nhãn DLL, đánh dấu chọn mục Path rồi nhấn OK. Sau đó, bạn nhấn View và kiểm tra xem tùy chọn Show Lower Pane đã được đánh dấu chưa. Cuối cùng, chọn trình đơn View.Lower Pane View.DLLs. Với cấu hình khai như trên, mỗi khi chọn một chương trình trong danh sách các ứng dụng đang chạy thì Process Explorer sẽ cho chúng ta biết tất cả các tập tin DLL được chương trình cần đến khi đang chạy. Cột Command Line chỉ ra tên thư mục và ổ đĩa lưu trữ chương trình. Với các chương trình hoạt động ở dạng service (do tiện ích hệ thống svchost.exe điều khiển) thì tiện ích sẽ chỉ rơ số thứ tự của dịch vụ đó. Các chương trình chạy trên bộ nhớ mà nơi lưu trữ là thư mục Temp (thư mục chứa các tập tin tạm thời của Windows trong quá trình hoạt động) sẽ được đánh dấu đỏ bên cạnh để chúng ta lưu ư xem xét kỹ hơn.Thường thì các chương trình gián điệp hay vi rút máy tính hay thực hiện cài đặt hoặc ẩn nấp tại thư mục này. Tuy nhiên cũng phải cẩn thận, nếu bạn đang cài đặt một phần mềm nào đó thì thư mục Temp của Windows cũng là nơi chứa các tập tin cần thiết cho trình cài đặt ứng dụng ví dụ như InstallShield. Bạn cũng cần lưu ư rằng trong Windows XP, khi chương trình Explorer.exe hoạt động thì các dịch vụ như smss.exe, winlogon.exe, services.exe, alg.exe và lsass.exe cũng sẽ được chạy trong bộ nhớ của máy tính. Vì thế hãy tránh đ ụ n g đến những chương trình quan trọng này. Tuy vậy, cần lưu ư đến chương trình rundll32.exe xuất hiện trong bộ nhớ của hệ thống. Rất nhiều phần mềm gián điệp hay vi rút máy tính ẩn nấp dưới dạng tập tin .dll, sử dụng chương trình này làm bàn đạp để xâm nhập vào bộ nhớ của hệ thống. Đây chính là cơ chế mà Windows khởi động các chương trình điều khiển thiết bị nên trước khi loại bỏ chương trình nào, bạn cần xem xét kỹ liệu chúng có phải là chương trình của Windows hay không. Thông thường tên thư mục lưu giữ tập tin chương trình trên đĩa cứng sẽ chứng tỏ đó có phải là một chương trình hợp pháp không. XÁC ĐỊNH CHƯƠNG TRÌNH CHƯA RƠ DANH TÍNH Khi Windows hoạt động, một chức năng chủ chốt của hệ điều hành chạy sẽ khởi động rất nhiều tập tin phụ trợ (thường là hoạt động ở chế độ nền), ví dụ như các chương trình điều khiển thiết bị phần cứng, điều khiển cổng kết nối máy tính, kết nối mạng Khi khảo sát một chương trình đang hoạt động trong bộ nhớ bằng tiện ích Process Explorer, thông tin trên các cột Description, Company Name, Command Line sẽ giúp chúng ta biết được các tập tin này dùng để làm gì, do ai sản xuất và được lưu giữ ở đâu Nếu một chương trình nào đó không có một hay tất cả 4 thông tin vừa đề cập thì thực hiện thủ tục sau: Trong màn hình của Process Explorer nhấn phải chuột lên chương trình cần xem, chọn Properties. Nếu thông tin trong nhãn Image vẫn chưa đủ thì nhấn nhãn Services. Những thủ tục hợp lệ được liệt kê ở cột hơi thụt vào một chút dưới dòng “service.exe” sẽ xuất hiện dưới nhãn này. Hãy làm theo các hướng dẫn ở trên để kiểm tra tất cả chương trình và dịch vụ hoạt động ở chế độ nền. Trường hợp một chương trình đang hoạt động nhưng không có thông tin gì thì bạn phải xử lư chúng như thế nào? Đây chính là lúc chúng ta tiến hành tìm kiếm thông tin về chương trình này bằng Internet. TẬN DỤNG INTERNET Nếu cần tìm thông tin về một tập tin DLL nào đó thì bạn có thể tham khảo ở cơ sở dữ liệu DLL Help Database của Microsoft tại địa chỉ http://support.microsoft.com/dllhelp/.Nếu nghi ngờ một tập tin là phần mềm gián điệp thì tra cứu tại cơ sở dữ liệu Spyware Information Center (http://www3.ca.com/securityadvisor/pest/) hay Pest Encyclopedia (http://research.pestpatrol.com/) lưu trữ thông tin của 27.000 phần mềm gián điệp. Trang web Task List Programs tại địa chỉ AnswerThatWork.com sẽ cho chúng ta biết thông tin phần mềm ứng dụng cũng như là vi rút máy tính và spyware. Ngoài ra các tiện ích như WinPatrol hay WinTask 5 Professional của Uniblue cũng cho biết một tiện ích hay tập tin .dll có phải là chương trình nguy hiểm hay không. Hai tiện ích này còn có một cơ sở dữ liệu trực tuyến về hàng ngàn tập tin chương trình hay DLL. Riêng tiện ích WinTask còn có chức năng lập được “danh sách đen” các chương trình cấm không cho chạy trên hệ thống. Nếu chỉ có mục đích tìm kiếm các chương trình nguy hiểm thì bạn nên xem xét sử dụng công cụ có tên là Security Task Manager của Neuber Software 7. Giống như một phần mềm diệt vi rút máy tính, công cụ này cho phép kiểm tra và đánh giá tất cả các tập tin chương trình trong hệ thống của bạn (tập tin thực thi, trình điều kiển thiết bị, tập tin .dll) có phải là chương trình gián điệp hay không cho dù chúng được chưa khởi động. Dù sao đi nữa, bạn cũng đừng quá tin vào những kết quả trên internet. Cho dù hàng ngàn website trên thế giới đều nói rằng một tập tin có tên nào đó là nguy hiểm nhưng chỉ cần Microsoft nói rằng đó là một chương trình ứng dụng “an toàn” thì tất cả thông tin của hàng ngàn website trên đều trở nên vô nghĩa. Càng có nhiều thông tin, nguy cơ bạn xóa nhầm các tập tin đó càng thấp. nguồn: pcworld.com.vn diendan.thienantech.com Kinh nghiệm phòng chống virus và spyware Cách gở bỏ các chương trình virus, spyware ! Các phần mềm gián điệp này có phạm pháp không? Ngay cả khi bạn cảm giác rằng các Spyware là những kẻ quấy rối phiền phức, luôn xâm phạm đời sống riêng tư của bạn thì cũng xin nhắc với bạn rằng sự hoạt động của các Spyware là không hề phạm pháp! Thật vậy, nếu để ư hơn một chút nữa, bạn sẽ biết rằng trong phần “quy ước” trước khi cài đặt phần mềm mà “trên nguyên tắc” là người sử dụng phải đọc thật kỹ, có nói đến sự hiện diện của 1 Spyware trong chương trình. Nhưng chắc chắn chỉ có ít hơn 1% người trong số chúng ta chịu đọc hết tất cả các điều khoản trong bản hợp “đồng đó” vì thông thường nó dài cả trăm trang và phần nhắc đến Spyware thì không thực sự rơ ràng. Tóm lại sự ra đời của Spyware làm 99% những người sử dụng vi tính khó chịu vì khi đã chấp nhận sử dụng chương trình thì dĩ nhiên phải “chịu đấm ăn xôi”, đành làm lơ với các Spyware. 1% còn lại là ai? Là những lập trình viên tạo ra các phần mềm chống Spyware. Làm sao gở bỏ những spyware Trong một số trường hợp, bạn có thể gơ bỏ các trình adware và spyware khi đọc kỹ phần thoả thuận của phần mềm cài đặt. Thường thì cách làm này sẽ cho phép cài đặt miễn phí chương trình mà không gộp những thứ không mong muốn. Nhưng cũng có một số adware và spyware "âm thầm" cài đặt mà không có bất cứ một công cụ khả dĩ nào có thể giúp bạn gơ bỏ chúng sau này. Để bảo vệ máy tính của bạn chống lại adware, spyware và nhiều chương trình có chức năng tương tự khác, bạn nên sử dụng tiện ích chống spyware miễn phí, chẳng hạn như : Spybot Search & Destroy của PepiMK Software (download tại địa chỉ: http://www.anonym.to/?http://downloa age&tag=button Hoặc Ad-ware của Lavasoft (download tại địa chỉ: http://www.anonym.to/?http://downloa ml?tag=lst-0-1) Trong thực tế, có lẽ tốt nhất nên dùng kết hợp cả hai vì nếu dùng một, đôi khi nó không thể phát hiện được hết các trình độc hại trong máy. Hai phần mềm trên không có tác dụng virus, nên bạn phải cài thêm một phần mềm chống virus vào trong máy, như Norton AntiVirus của Symantec chẳng hạn. Và để phát hiện được các spyware và adware có thể được gắn kèm trong các chương trình download, bạn có thể dùng thử Spy Sweeper, một dạng quét tìm spy trực tuyến. Quét virus Khi đã nghi ngờ hệ thống nhiễm virus, bạn cần tìm phần mềm để kiểm tra và tiêu diệt chúng. Lưu ư: phòng chống virus trước khi chúng xâm nhập vào hệ thống bao giờ cũng đơn giản hơn việc tiêu diệt chúng. Sau khi lựa chọn phần mềm phù hợp, bạn cần cài đặt chúng vào hệ thống. Một số virus "quỷ quái" đến mức sau khi lây nhiễm vào hệ thống, chúng ngăn chặn người dùng cài đặt hoặc khống chế luôn những phần mềm này để không phát hiện được chúng, ngăn chặn việc truy cập đến website của nhà sản xuất. Nếu không cài đặt được ở chế độ Normal trong Windows, hãy thử cài đặt ở chế độ Safe mode. Để khởi động máy tính trong chế độ Safe mode, thực hiện như sau: 1. Sử dụng System Configuration Utility hoặc nhấn phím F8 trong quá trình khởi động Windows để vào chế độ Safe mode. - Đóng tất cả các ứng dụng đang sử dụng. - Chọn Start. Run. Gơ dòng lệnh msconfig và nhấn Ok để mở cửa sổ System Configuration Utility - Trong tab BOOT.INI, đánh dấu tùy chọn /SAFEBOOT trong mục Boot Options (hình 1) - Nhấn Ok và chọn Restart để xác nhận việc khởi động lại máy tính để vào chế độ Safe mode. Lưu ư: Khởi động lại máy tính trong chế độ Normal: Thực hiện các bước trên và bỏ tùy chọn /SAFEBOOT trong mục Boot Options. Cập nhật danh sách virus. Như đã đề cập bên trên, nếu không thể truy cập đến các website của nhà sản xuất, không thể cập nhật danh sách virus (virus definition) trực tuyến; bạn hãy tải chúng về từ máy tính khác để cập nhật. Tắt System Restore. Nếu sử dụng Windows ME hoặc XP, bạn nên tắt tính năng System Restore khi máy tính bị nhiễm virus. Mặc định trong Windows ME và XP, tính năng này được kích hoạt để giúp bạn khôi phục hệ thống khi gặp sự cố. Các phần mềm chống virus không thể quét được thư mục System Volume Information, nơi System Restore lưu trữ những tập tin, thư mục giúp khôi phục hệ thống. Vì vậy sẽ xảy ra tình trạng "tái nhiễm" virus khi System Restore phục hồi hệ thống các bản lưu trữ bị nhiễm virus. Để tắt System Restore trong Windows XP, thực hiện như sau: . nên vô nghĩa. Càng có nhiều thông tin, nguy cơ bạn xóa nhầm các tập tin đó càng thấp. nguồn: pcworld.com.vn diendan.thienantech.com Kinh nghiệm phòng chống virus và spyware Cách