Phòng Chống Và Diệt VirusBằngTay * Tìm Và DiệtBằng Tay: - Làm sao để biết "nó" có phải là virus không? Chắc hẳn sẽ có người hỏi câu này khi đã bật chế độ hiện file ẩn (kể cả file ẩn hệ thống) và nhìn thấy những ứng dụng nằm dưới dạng file ẩn hoặc nhìn vào bảng Process trong Task Manager (Vào Start, chọn Run, gõ lệnh taskmgr). Điều này đòi hỏi bạn phải có một chút hiểu biết về file hệ thống hoặc rất đơn giản bạn gõ tên của ứng dụng đang ẩn hoặc process đang chạy trong Task Manager lên Google tìm kiếm xem nó là file hệ thống hay đó là một "em virus". Khi đã xác định đó chính là virus thì mình khuyên bạn đầu tiên hãy khoan động chạm đến nó mà hãy nhớ lại xem lúc mới cài máy và các ứng dụng bạn đã tạo một bản Ghost hay một bản sao hệ thống nào chưa!? Vì có thể sau khi hoặc trong khi "xử" virus nó sẽ gây cho bạn một số phiền hà như tắt máy và khởi động lại máy liên tục nhưng không vào Windows được . - Khi đã có file sao lưu hệ thống dự phòng rồi thì bây giờ bạn mặc sức bắt tay vào "xử" mấy em virus. Các Virus chạy trong Task Manager thường hay giả mạo các process của hệ thống như: svhost, taskmgrz thay vì svchost và taskmgr vì thế bạn nên xem xét cận trọng kẻo lại End Process nhầm process của hệ thống. Trong ổ đĩa cũng có mấy con virus giả mạo là file hệ thống như: ntdelect.com, ntde1ect.com thay vì file hệ thống là ntdetect.com . Ngoài ra còn có một số hình thức giả mạo phổ biến của virus như sau: + Giả là 1 Folder: thực chất là 1 file thực thi đuôi .exe mang icon là folder (để nhìn thấy đuôi của file rất đơn giản bạn mở một cửa sổ bất kỳ như My Computer, trên thanh menu bạn chọn Tools, chọn thẻ View, click bỏ chọn vào ô vuông chỗ Hide extensions for know file types, chọn OK; bây giờ bạn có thể thấy được đuôi định dạng của các file). Nếu lầm tưởng mà click thử vào "thư mục" giả dạng này thì virus sẽ được "bung" ra máy bạn. + Giả là 1 File tài liệu: Virus sẽ có icon như các file tài liệu, văn bản và có 2 đuôi để đánh lừa bạn như: tai_lieu.doc.exe, tai_lieu.txt.exe . - Việc đầu tiên khi bạn bắt gặp những file hoặc process giả mạo này là bạn hãy ngắt kết nối Internet trước để ngăn không cho virus tự động tải chính nó từ trên mạng về. Sau đó hãy xóa các file giả và nhấn nút End Process để tắt các process giả. - Có thể bạn sẽ gặp trường hợp khi xóa các file virus hoặc End Process xong thì chúng lại tự phục hồi dù cho bạn có xóa hay tắt chúng hàng trăm lần!! Việc này có nghĩa là con "virus chúa" đang nằm ở một nơi bạn ít đến nhất như Windows, system32, inf . và chúng còn sửa lại một số Key trong Registry nên bạn cần phải tìm ra hết chúng và "xóa sổ tận gốc". Bạn hãy click Start, chọn Search, ở mục Search Options bên khung trái bạn click Advanced Options, chọn Search hidden files and folder. Tiếp theo bạn gõ tên con virus cần xóa vào ô Search for files and folders named, click Search Now và chờ cho máy bạn tìm xong thì hãy xóa hết tất cả chúng. Chưa hết! Bạn vào Registry Editor để tìm tiếp những key đã bị chúng sửa bằng cách click Start, chọn Run và gõ lệnh regedit. Trong Registry bạn nhấn tổ hợp phím Ctrl + F và gõ tên con virus vào ô để tìm kiếm những key có chứa tên virus, sau khi tìm được bạn cũng xóa các key đó và nên tìm thêm một lần nữa vì không phải chỉ có 1 key bị sửa; tìm đến khi nào Registry báo là không tìm thấy nữa là OK!! - Kiểm tra các file tự khởi động với Windows bằng cách click Start, chọn Run và gõ lệnh msconfig, chọn thẻ Startup, hãy dò xem trong list có chương trình nào là virus không ví dụ KAVO.EXE, bạn hãy click bỏ chọn nó và click OK. - Sau khi chỉnh sửa lại Registry và Msconfig, bạn nên Restart lại máy vì như thế thì các chỉnh sửa của bạn mới có hiệu lực. - Mẹo Nhỏ: Có thể sẽ có lúc bạn gặp tình trạng máy không chạy bất cứ một chương trình nào cả nhưng máy lại chạy rất chậm!!! Việc đầu tiên bạn nghĩ đến là "Virus"! Kiểm tra trong Task Manager thì thấy có 1 Process đang chạy 90% trở lên mang tên SPOOLSV.EXE hoặc spoolsv.exe. Mình khẳng định với các bạn rằng đây không phải là Virus mà là một Process hệ thống hẳn hòi chuyên về việc in ấn (Print); lý do là nó chiếm cao như vậy là do có thể có 1 file nào đó mà bạn in chưa hoàn chỉnh còn lưu trong bộ nhớ. Việc khắc phục rất đơn giản! Đầu tiên bạn hãy tắt Process SPOOLSV đi. Sau đó vào ổ đĩa C -> WINDOWS -> system32 -> spool -> PRINTERS Bạn hãy xóa tất cả các file nằm trong thư mục này. Tiếp theo bạn vào lại Task Manager chọn File -> New Task (Run .) và gõ đường dẫn sau: C:\WINDOWS\system32\spoolsv.exe; Vậy là Process này đã chạy trở lại, bạn có thể in bình thường và không còn tình trạng hệ thống chạy 100% nữa!! * Khắc Phục Một Số Lỗi Do Virus Gây Ra: - Virus có thể sẽ mang đến cho các bạn một số "hiệu quả" như: khóa Task Manager, Registry, tắt chế độ hiện file ẩn . Có vài cách để khắc phục mà mình đã sưu tầm được sẵn share với mọi người luôn: Mở Lại Task Manager: - Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter : Code: REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f - Cách 2: Vào Registry Editor để chỉnh sửa, bạn mở lần lượt các khóa bên khung bên trái theo đường dẫn sau: Code: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System => Tìm khóa DisableTaskMgr trong khung bên phải và thay đổi giá trị thành 0 bằng cách click đúp vào khóa và gõ 0. - Cách 3: Mở Notepad copy đoạn code dưới đây và save lại với đuôi là .reg (ví dụ: enable_task.reg): Code: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]"DisableTaskMgr"=dword:00000000 => Sau đó chạy file này bằng cách click đúp vào và chọn Yes - OK. -Cách 4: Dùng Group Policy Editor (Start -> Run -> gpedit.msc) lần lượt mở các thư mục ở bên trái theo đường dẫn sau: Code: User Configuration\Administrative Templates\System\Ctrl+Alt+Delete Options => Click đúp vào Remove Task Manager rồi thiết lập là Not Configured, click OK. Mở Lại Registry Editor: - Cách 1: Mở Group Policy (Start -> Run -> gpedit.msc) lần lượt mở các thư mục ở bên trái theo đường dẫn sau: Code: User Configuration\Administrative Templates\System\Prevent access to registry editing tools => Mở khóa này, chọn Disable. - Cách 2: Mở Notepad copy đoạn code dưới đây và save lại với tên enable_regedit.reg: Code: Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]"DisableRegistryTools"=dword:0000000 0[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]"**.del.DisableRegistryTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group PolicyObjects\LocalUser\Software\Microsoft\Windows \Curre ntVersion\Policies\System]"DisableRegistryTools"=dword:0000000 0[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group PolicyObjects\LocalUser\Software\Microsoft\Windows \Curre ntVersion\Policies\System]"**del.DisableRegistryTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoSaveSettings"=dword:00000000 => Sau đó chạy file này bằng cách click đúp vào và chọn Yes - OK. Mở Lại Run Trong Start Menu: - Bạn click Start -> Programs ->Accessories->Command Prompt. Sau đó gõ regedit, tìm đến khóa theo đường dẫn sau: HKEY_CURRENT_USER -> Software -> Microsoft -> Windows\CurrentVersion-> Explorer -> Advanced. Bên khung phải bạn click phải chuột chọn New -> DWORD Value đặt tên là StartMenuRun. Click đúp vào giá trị này gõ 1 để chọn mở, 0 là để khóa. Mở Lại Chế Độ Hiện File Và Folder Ẩn: - Nhiều bạn sẽ bị trường hợp này, cứ chỉnh hiện file ẩn lên xong thì nó lại tự chuyển lại là ẩn. Thường là do con "kavo và đồng bọn" làm việc này . - Cách 1: Vào Registry tìm đến các khóa theo đường dẫn sau: Code: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersionExplorer\Advanced\Folder\Hidden\SHOWALL => Chỉnh lại giá trị Checked Value thành 1 để có thể hiện file ẩn. - Cách 2: Mở Group Policy như ở trên đã hướng dẫn. Bên khung trái lần lượt mở theo đường dẫn: Code: User Configuration \Administrative Templates\Windows Components\Windows Explorer . Kế đến ở khung bên phải, chuyển đến và click đúp vào phần thiết lập Removes the Folder Options menu item from the Tools menu. =>Có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để thoát ra ngoài. - Cách 3: Mở Notepad copy đoạn code dưới đây và save lại với tên là show_hidden.reg: Code: Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath" ="Software\\Microsoft\\Windows\\CurrentVersion\\Expl orer\\Advanced""Text"="Show all files""Type"="radio""CheckedValue"=dword:00000001"ValueName" ="Hidden""DefaultValue"=dword:00000000"HKeyRoot"=dword:800 00001"HelpID"="update.hlp#51105" => đó chạy file này bằng cách click đúp vào và chọn Yes - OK. P/S: Việc diệtvirus không phải chỉ cần bằngtay là được mà phải cần kết hợp giữa ĐỀ PHÒNG VÀ NGĂN NGỪA VIRUS TỪ USB VÀ INTERNET - DÙNG MỘT CHƯƠNG TRÌNH DIỆTVIRUS ỔN ĐỊNH PHÙ HỢP HỆ THỐNG - LUÔN KIỂM SOÁT NHỮNG FILE VÀ PROCESS LẠ ĐỂ TIÊU DIỆT CHÚNG KỊP THỜI. Bài viết này chỉ là "một vài" thủ thuật nhỏ chưa đầy đủ được mong các bạn hãy đóng góp thêm để chúng ta không còn nỗi lo lắng về virus nữa!! . Phòng Chống Và Diệt Virus Bằng Tay * Tìm Và Diệt Bằng Tay: - Làm sao để biết "nó" có phải là virus không? Chắc hẳn sẽ có người. này bằng cách click đúp vào và chọn Yes - OK. P/S: Việc diệt virus không phải chỉ cần bằng tay là được mà phải cần kết hợp giữa ĐỀ PHÒNG VÀ NGĂN NGỪA VIRUS