Diệtvirusvàgiánđiệp(spyware) bằng tay không!
Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần giánđiệp xâm nhập, chúng
ta sẽ sử dụng các phần mềm diệtvirusvà phần mềm “phản gián” để tìm vàdiệt “lũ sâu bọ đáng ghét”
này. Tuy nhiên, đôi khi có những con virus hay thành phần giánđiệp rất ma mãnh có thể qua mặt được
các phần mềm diệtvirusvàgián điệp. Trong những trường hợp đó, chúng ta buộc phải tìm vàdiệt chúng
bằng taykhông! Quá trình diệtvirus bằng tay đòi hỏi phải can thiệp vào registry của hệ thống. Vì
vậy, bạn phải thật thận trọng. Nhớ đọc kỹ hướng dẫn trước khi thực hành!
Bước 1: Phát hiện những kẻ lạ mặt Do những “kẻ tội đồ” thường tự kích hoạt khi vừa mới
khởi động Windows tương tự như các ứng dụng bình thường khác (chẳng hạn như các ứng dụng chống
virus, phần mềm gõ tiếng Việt Unikey, Vietkey ), vì vậy bạn phải nhận diện cho được đâu là “người có
ích”, đâu là “kẻ có hại”. Nếu bạn không phân biệt được (hoặc lưỡng lự), đây lại là trường hợp chúng ta
thường xuyên gặp phải, thì cũng phải có cách để thử. Tôi sẽ trình bày cách làm của mình kèm theo hình
minh họa từ một máy mà tôi đã gặp phải trong thực tế. Trước tiên, tôi chạy chương trình Regedit (chọn
Start/Run, nhập Regedit và ấn Enter). Trong cửa sổ Regedit Editor, tôi duyệt theo đường dẫn sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Các mục liệu trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Quan sát khung cửa sổ bên phải, tôi nhận thấy nhiều tập tin có tên rất lạ lùng và hổng giống ai như:
9uhnvkvc8.exe, d48lit61.exe Những tập tin này có nhiều khả năng là “những kẻ xâm nhập có hại”. Hay
thậm chí cả những cái tên tưởng có vẻ tử tế như Carpservice.exe, wsfcog.exe, fsbsbeb.exe cũng rất
đáng ngờ! Những “kẻ đáng ngờ” được tôi “khoanh” lại trong các khung hình chữ nhật trên hình 1.
Bước 2: Tạm vô hiệu hóa các mục đáng ngờ trong registry
Tôi dùng chữ “đáng ngờ” là vì không thể khẳng định ngay liệu chúng có thật sự có hại hay không? Muốn
biết phải thử. Ví dụ, muốn kiểm tra CARPService có phải là “kẻ tội đồ” hay không, tôi tạm vô hiệu hóa
mục này bằng cách điều chỉnh tên tập tin kích hoạt mục này (carpservice.exe) thành carpservice.txt.
Tất nhiên là trong hệ thống của chúng ta không có tập tin này, mà nếu có thì với phần đuôi .TXT nó cũng
không tự kích hoạt được.
Điều chỉnh tên tập tin kích hoạt mục đang bị “nghi vấn”
Bước 3: Tạm xóa các tập tin đáng ngờ
Ngoài việc tạm vô hiệu hóa, bạn cũng nên xóa tạm thời (bằng cách nhấn DEL để bỏ vào thùng rác) các
tập tin có phần tên của tập tin kích hoạt đang bị nghi vấn (trong ví dụ của tôi là các tập tin có phần tên
bắt đầu là CARPSERVICE). Tuy nhiên, trước khi xóa chúng, bạn cần phải xác định xem hiện chúng có
đang chạy trong bộ nhớ của hệ thống không? Nếu đang chạy thì bạn không thể xóa được đâu. Trong
trường hợp này, bạn phải nhấn CTRL-ALT-DEL (và chọn Task Manager nếu đang chạy Windows 2000),
chọn thẻ Process và tìm trong cột Image Name xem có mục nào có tên trùng với tập tin đang bị nghi
vấn không? Nếu có thì bạn bấm chọn nó và bấm nút End Process. Trong ví dụ này, tập tin
carpservice.exe đang chạy trong bộ nhớ và tôi “buộc” phải kết thúc nó.
Tìm và “buộc” kết thúc các tập tin “bị nghi vấn” đang chạy trong bộ nhớ
Sau khi đã đảm bảo tập tin “bị nghi vấn” không còn chạy trong bộ nhớ, bạn dùng công cụ tìm kiếm
(Start/Search) để tìm các tập tin đang bị “nghi vấn”. Ví dụ, nếu bạn muốn tìm các tập tin có phần tên là
9UHNKVC8 thì bạn làm như trong hình 4.
Dùng công cụ Search của Windows để tìm các tập tin bị “nghi vấn”
Trong ví dụ của tôi, tôi tìm các tập tin CARPSERVICE. Sau khi tìm thấy, tôi đánh dấu chọn hết tất cả các
tập tin này và nhấn nút DEL để tạm “vứt” chúng vào thùng rác.
Tiếp tục làm tương tự đối với các mục bị nghi vấn khác. Bạn lưu ý là có nhiều con virus rất tinh ma, nó
không chỉ ẩn mình trong đường dẫn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run của registry để tự
kích hoạt mà nó còn ẩn mình trong các đường dẫn khác để phòng ngừa tình trạng bị “tiêu diệt” ở chỗ này
và nó sẽ tự “nhân bản vàtái sinh” ở chỗ khác. Vì vậy, không chỉ tìm trong đường dẫn trên mà bạn còn
phải tìm trong các đường dẫn sau để “nhổ cỏ tận gốc”:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Sau khi đã tạm thời “vô hiệu hóa” các “phần tử đáng ngờ”, bạn cho khởi động lại máy và lần lượt chạy hết
các ứng dụng mà bạn đã cài vào máy xem Windows hay các ứng dụng có bị trục trặc gì không? Nếu không
có trục trặc gì và các tình trạng khó chịu khác (chẳng hạn bỗng nhiên xuất hiện một lô một lốc các cửa sổ
pop-up) chấm dứt hẳn thì bạn yên tâm là mình đã “tiêu diệt đúng đối tượng”. Khi đó, bạn vào thùng rác
và dọn sạch hẳn khỏi đĩa cứng bằng cách nhấn nút “Empty Recycle Bin” để đề phòng các “hiểm họa” về
sau. Sau đó, bạn cũng có thể vào Regedit và “vô hiệu hóa vĩnh viễn” bằng cách xóa hẳn các mục mà bạn
đang “vô hiệu hóa” tạm thời. Với cách làm này, xác suất “bắt đúng người đúng tội” khoảng 90%,
còn 10% có thể là “tiêu diệt nhầm!”. Gặp trường hợp này, khi bạn chạy Windows và các ứng dụng thì chắc
chắn có một lúc nào đó hệ thống sẽ hiện lên thông báo lỗi do thiếu tập tin hoặc tập tin nào đó chưa được
kích hoạt khi khởi động Windows. Lúc này, bạn vào thùng rác tìm lại tập tin đã bị “giết nhầm” và khôi
phục lại. Kế đó, bạn vào lại Regedit để gỡ bỏ tình trạng vô hiệu hóa tạm thời đối với mục chứa tập tin
này. Đó chính là lý do vì sao ngay từ đầu tôi không xóa sạch các tập tin “bị nghi vấn” khỏi hệ thống và chỉ
“vô hiệu hóa tạm thời”.
Điều quan trọng là ngay sau khi đã dùng taydiệt được virus, bạn nên nhớ cài đặt và cập nhật thường
xuyên các phiên bản chống virusvà “phản gián” mới nhất, nếu không thì “chẳng chóng thì chầy” máy của
bạn sẽ bị “tái nhiễm cúm vi tính!”.
VÕ VĂN THÀNH
. được
các phần mềm diệt virus và gián điệp. Trong những trường hợp đó, chúng ta buộc phải tìm và diệt chúng
bằng tay không! Quá trình diệt virus bằng tay đòi hỏi. Diệt virus và gián điệp (spyware) bằng tay không!
Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần gián điệp xâm nhập,