Điều này đòi hỏi bạn phải có một chút hiểu biết về file hệ thống hoặc rất đơn giản bạn gõ tên của ứng dụng đang ẩn hoặc process đang chạy trong Task Manager lên Google tìm kiếm xem nó [r]
(1)Phòng Chống Và Diệt Virus Bằng Tay * Tìm Và Diệt Bằng Tay:
- Làm để biết "nó" có phải virus khơng? Chắc hẳn có người hỏi câu bật chế độ file ẩn (kể file ẩn hệ thống) nhìn thấy ứng dụng nằm dạng file ẩn nhìn vào bảng Process Task Manager (Vào Start, chọn Run, gõ lệnh taskmgr) Điều đòi hỏi bạn phải có chút hiểu biết file hệ thống đơn giản bạn gõ tên ứng dụng ẩn process chạy Task Manager lên Google tìm kiếm xem file hệ thống "em virus" Khi xác định virus khun bạn khoan động chạm đến mà nhớ lại xem lúc cài máy ứng dụng bạn tạo Ghost hay hệ thống chưa!? Vì sau "xử" virus gây cho bạn số phiền hà tắt máy khởi động lại máy liên tục không vào Windows
- Khi có file lưu hệ thống dự phịng bạn bắt tay vào "xử" em virus Các Virus chạy Task Manager thường hay giả mạo process hệ thống như: svhost, taskmgrz thay svchost taskmgr bạn nên xem xét cận trọng kẻo lại End Process nhầm process hệ thống Trong ổ đĩa có virus giả mạo file hệ thống như: ntdelect.com, ntde1ect.com thay file hệ thống
ntdetect.com Ngồi cịn có số hình thức giả mạo phổ biến virus sau:
+ Giả Folder: thực chất file thực thi exe mang icon folder (để nhìn thấy file đơn giản bạn mở cửa sổ My Computer, menu bạn chọn Tools, chọn thẻ View, click bỏ chọn vào ô vuông chỗ Hide extensions for know file types, chọn OK; bạn thấy định dạng file) Nếu lầm tưởng mà click thử vào "thư mục" giả dạng virus "bung" máy bạn
+ Giả File tài liệu: Virus có icon file tài liệu, văn có để đánh lừa bạn như: tai_lieu.doc.exe,
tai_lieu.txt.exe
(2)virus tự động tải từ mạng Sau xóa file giả nhấn nút End Process để tắt process giả
- Có thể bạn gặp trường hợp xóa file virus End Process xong chúng lại tự phục hồi bạn có xóa hay tắt chúng hàng trăm lần!! Việc có nghĩa "virus chúa" nằm nơi bạn đến Windows, system32, inf chúng sửa lại số Key Registry nên bạn cần phải tìm hết chúng "xóa sổ tận gốc" Bạn click Start, chọn
Search, mục Search Options bên khung trái bạn click Advanced Options, chọn Search hidden files and folder Tiếp theo bạn gõ tên virus cần xóa vào Search for files and folders named, click Search Now chờ cho máy bạn tìm xong xóa hết tất chúng Chưa hết! Bạn vào Registry Editor để tìm tiếp key bị chúng sửa cách click Start, chọn Run gõ lệnh
regedit Trong Registry bạn nhấn tổ hợp phím Ctrl + F gõ tên virus vào để tìm kiếm key có chứa tên virus, sau tìm bạn xóa key nên tìm thêm lần khơng phải có key bị sửa; tìm đến Registry báo khơng tìm thấy OK!!
- Kiểm tra file tự khởi động với Windows cách click Start, chọn Run gõ lệnh msconfig, chọn thẻ Startup, dò xem list có chương trình virus khơng ví dụ KAVO.EXE, bạn click bỏ chọn click OK
- Sau chỉnh sửa lại Registry Msconfig, bạn nên Restart lại máy chỉnh sửa bạn có hiệu lực
- Mẹo Nhỏ: Có thể có lúc bạn gặp tình trạng máy khơng chạy chương trình máy lại chạy chậm!!! Việc bạn nghĩ đến "Virus"! Kiểm tra Task
Manager thấy có Process chạy 90% trở lên mang tên SPOOLSV.EXE spoolsv.exe Mình khẳng định với bạn Virus mà Process hệ thống hẳn hòi chuyên việc in ấn (Print); lý chiếm cao có file mà bạn in chưa hồn chỉnh cịn lưu nhớ Việc khắc phục đơn giản! Đầu tiên bạn tắt Process SPOOLSV Sau vào ổ đĩa C -> WINDOWS -> system32 -> spool -> PRINTERS Bạn xóa tất file nằm thư mục Tiếp theo bạn vào lại Task Manager chọn File -> New Task (Run ) gõ đường dẫn sau:
(3)trở lại, bạn in bình thường khơng cịn tình trạng hệ thống chạy 100% nữa!!
* Khắc Phục Một Số Lỗi Do Virus Gây Ra:
- Virus mang đến cho bạn số "hiệu quả" như: khóa Task Manager, Registry, tắt chế độ file ẩn Có vài cách để khắc phục mà sưu tầm sẵn share với người luôn:
Mở Lại Task Manager:
- Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d /f
- Cách 2: Vào Registry Editor để chỉnh sửa, bạn mở khóa bên khung bên trái theo đường dẫn sau:
Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
=> Tìm khóa DisableTaskMgr khung bên phải thay đổi giá trị thành cách click đúp vào khóa gõ
- Cách 3: Mở Notepad copy đoạn code save lại với reg (ví dụ: enable_task.reg):
Code:
Windows Registry Editor Version
5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]"DisableTaskMgr"=dword:00000000 => Sau chạy file cách click đúp vào chọn Yes - OK
-Cách 4: Dùng Group Policy Editor (Start -> Run -> gpedit.msc) mở thư mục bên trái theo đường dẫn sau:
Code:
User Configuration\Administrative
(4)=> Click đúp vào Remove Task Manager thiết lập Not Configured, click OK
Mở Lại Registry Editor:
- Cách 1: Mở Group Policy (Start -> Run -> gpedit.msc) mở thư mục bên trái theo đường dẫn sau:
Code:
User Configuration\Administrative Templates\System\Prevent access to registry editing tools
=> Mở khóa này, chọn Disable
- Cách 2: Mở Notepad copy đoạn code save lại với tên enable_regedit.reg:
Code:
Windows Registry Editor Version
5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]"DisableRegistryTools"=dword:000000 00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]"**.del.DisableRegistryTools"=-[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group
PolicyObjects\LocalUser\Software\Microsoft\Windows \Curre ntVersion\Policies\System]"DisableRegistryTools"=dword:000000 00[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group
PolicyObjects\LocalUser\Software\Microsoft\Windows \Curre ntVersion\Policies\System]"**del.DisableRegistryTools"=-[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoSaveSettings"=dword:00000000 => Sau chạy file cách click đúp vào chọn Yes - OK
Mở Lại Run Trong Start Menu:
- Bạn click Start -> Programs ->Accessories->Command Prompt Sau gõ regedit, tìm đến khóa theo đường dẫn sau:
HKEY_CURRENT_USER -> Software -> Microsoft ->
(5)khóa
Mở Lại Chế Độ Hiện File Và Folder Ẩn:
- Nhiều bạn bị trường hợp này, chỉnh file ẩn lên xong lại tự chuyển lại ẩn Thường "kavo đồng bọn" làm việc
- Cách 1: Vào Registry tìm đến khóa theo đường dẫn sau: Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersionExplorer\Advanced\Folder\Hidden\SHOWALL
=> Chỉnh lại giá trị Checked Value thành để file ẩn - Cách 2: Mở Group Policy hướng dẫn Bên khung trái mở theo đường dẫn:
Code:
User Configuration \Administrative Templates\Windows Components\Windows Explorer
Kế đến khung bên phải, chuyển đến click đúp vào phần thiết lập Removes the Folder Options menu item from the Tools menu
=>Có tùy chọn là: Khơng thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled) Chọn tùy chọn theo ý muốn Nhấn OK để ngồi
- Cách 3: Mở Notepad copy đoạn code save lại với tên show_hidden.reg:
Code:
Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath "="Software\\Microsoft\\Windows\\CurrentVersion\\Expl
orer\\Advanced""Text"="Show all
files""Type"="radio""CheckedValue"=dword:00000001"ValueNam e"="Hidden""DefaultValue"=dword:00000000"HKeyRoot"=dword: 80000001"HelpID"="update.hlp#51105"
(6)cần kết hợp ĐỀ PHÒNG VÀ NGĂN NGỪA VIRUS TỪ USB VÀ INTERNET - DÙNG MỘT CHƯƠNG TRÌNH DIỆT VIRUS ỔN ĐỊNH PHÙ HỢP HỆ THỐNG - LN KIỂM SỐT NHỮNG FILE VÀ