Diệt virus và gián điệp (spyware) bằng... tay không!

Chia sẻ: Nguyen Luong | Ngày: | Loại File: DOC | Số trang:4

0
259
lượt xem
114
download

Diệt virus và gián điệp (spyware) bằng... tay không!

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần gián điệp xâm nhập, chúng ta sẽ sử dụng các phần mềm diệt virus và phần mềm “phản gián” để tìm và diệt “lũ sâu bọ đáng ghét” này. Tuy nhiên, đôi khi có những con virus hay thành phần gián điệp rất ma mãnh có thể qua mặt được các phần mềm diệt virus và gián điệp. Trong những trường hợp đó, chúng ta buộc phải tìm và diệt chúng bằng... tay không! Quá trình diệt virus bằng tay đòi hỏi phải can thiệp vào registry của...

Chủ đề:
Lưu

Nội dung Text: Diệt virus và gián điệp (spyware) bằng... tay không!

  1. Diệt virus và gián điệp (spyware) bằng... tay không! Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần gián điệp xâm nhập, chúng ta sẽ sử dụng các  phần mềm diệt virus và phần mềm “phản gián” để tìm và diệt “lũ sâu bọ đáng ghét” này. Tuy nhiên, đôi khi có những con  virus hay thành phần gián điệp rất ma mãnh có thể qua mặt được các phần mềm diệt virus và gián điệp. Trong những  trường hợp đó, chúng ta buộc phải tìm và diệt chúng bằng... tay không! Quá trình diệt virus bằng tay đòi hỏi phải can  thiệp vào registry của hệ thống. Vì vậy, bạn phải thật thận trọng. Nhớ đọc kỹ hướng dẫn trước khi... thực hành! Bước 1: Phát hiện những kẻ lạ mặt Do những “kẻ tội đồ” thường tự kích hoạt khi vừa mới khởi động Windows  tương tự như các ứng dụng bình thường khác (chẳng hạn như các ứng dụng chống virus, phần mềm gõ tiếng Việt Unikey,  Vietkey...), vì vậy bạn phải nhận diện cho được đâu là “người có ích”, đâu là “kẻ có hại”. Nếu bạn không phân biệt được  (hoặc lưỡng lự), đây lại là trường hợp chúng ta thường xuyên gặp phải, thì cũng phải có cách để thử. Tôi sẽ trình bày cách  làm của mình kèm theo hình minh họa từ một máy mà tôi đã gặp phải trong thực tế. Trước tiên, tôi chạy chương trình  Regedit (chọn Start/Run, nhập Regedit và ấn Enter). Trong cửa sổ Regedit Editor, tôi duyệt theo đường dẫn sau: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Các mục liệu trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Quan sát khung cửa sổ bên phải, tôi nhận thấy nhiều tập tin có tên rất lạ lùng và hổng giống ai như:  9uhnvkvc8.exe,   d48lit61.exe... Những tập tin này có nhiều khả năng là “những kẻ xâm nhập có hại”. Hay thậm chí cả những cái tên tưởng 
  2. có vẻ tử tế như Carpservice.exe, wsfcog.exe, fsbsbeb.exe... cũng rất đáng ngờ! Những “kẻ đáng ngờ” được tôi “khoanh”  lại trong các khung hình chữ nhật trên hình 1. Bước 2: Tạm vô hiệu hóa các mục đáng ngờ trong registry Tôi dùng chữ “đáng ngờ” là vì không thể khẳng định ngay liệu chúng có thật sự có hại hay không? Muốn biết phải thử. Ví  dụ, muốn kiểm tra CARPService có phải là “kẻ tội đồ” hay không, tôi tạm vô hiệu hóa mục này bằng cách điều chỉnh tên  tập tin kích hoạt mục này (carpservice.exe) thành carpservice.txt. Tất nhiên là trong hệ thống của chúng ta không có  tập tin này, mà nếu có thì với phần đuôi .TXT nó cũng không tự kích hoạt được. Điều chỉnh tên tập tin kích hoạt mục đang bị “nghi vấn” Bước 3: Tạm xóa các tập tin đáng ngờ Ngoài việc tạm vô hiệu hóa, bạn cũng nên xóa tạm thời (bằng cách nhấn DEL để bỏ vào thùng rác) các tập tin có phần  tên của tập tin kích hoạt đang bị nghi vấn (trong ví dụ của tôi là các tập tin có phần tên bắt đầu là CARPSERVICE). Tuy  nhiên, trước khi xóa chúng, bạn cần phải xác định xem hiện chúng có đang chạy trong bộ nhớ của hệ thống không? Nếu  đang  chạy  thì   bạn  không  thể   xóa  được  đâu.  Trong   trường  hợp   này,  bạn  phải  nhấn  CTRL­ALT­DEL  (và  chọn  Task  Manager nếu đang chạy Windows 2000), chọn thẻ Process và tìm trong cột Image Name xem có mục nào có tên trùng  với tập tin đang bị nghi vấn không? Nếu có thì bạn bấm chọn nó và bấm nút  End Process. Trong ví dụ này, tập tin  carpservice.exe đang chạy trong bộ nhớ và tôi “buộc” phải kết thúc nó.
  3. Tìm và “buộc” kết thúc các tập tin “bị nghi vấn” đang chạy trong bộ nhớ Sau khi đã đảm  bảo tập tin “bị nghi vấn” không còn chạy trong bộ nhớ, bạn dùng công cụ tìm kiếm (Start/Search) để tìm các tập tin đang  bị “nghi vấn”. Ví dụ, nếu bạn muốn tìm các tập tin có phần tên là 9UHNKVC8 thì bạn làm như trong hình 4. Dùng công cụ Search của Windows để tìm các tập tin bị “nghi vấn” Trong ví dụ của tôi, tôi tìm các tập tin CARPSERVICE. Sau khi tìm thấy, tôi đánh dấu chọn hết tất cả các tập tin này và  nhấn nút DEL để tạm “vứt” chúng vào thùng rác.
  4. Tiếp tục làm tương tự đối với các mục bị nghi vấn khác. Bạn lưu ý là có nhiều con virus rất tinh ma, nó không chỉ ẩn mình  trong đường dẫn  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  của registry để tự  kích hoạt mà nó còn ẩn mình trong các đường dẫn khác để phòng ngừa tình trạng bị “tiêu diệt” ở chỗ này và nó sẽ tự  “nhân bản và tái sinh” ở chỗ khác. Vì vậy, không chỉ tìm trong đường dẫn trên mà bạn còn phải tìm trong các đường dẫn  sau để “nhổ cỏ tận gốc”: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce Sau khi đã tạm thời “vô hiệu hóa” các “phần tử đáng ngờ”, bạn cho khởi động lại máy và lần lượt chạy hết các ứng dụng  mà bạn đã cài vào máy xem Windows hay các ứng dụng có bị trục trặc gì không? Nếu không có trục trặc gì và các tình  trạng khó chịu khác (chẳng hạn bỗng nhiên xuất hiện một lô một lốc các cửa sổ pop­up) chấm dứt hẳn thì bạn yên tâm là  mình đã “tiêu diệt đúng đối tượng”. Khi đó, bạn vào thùng rác và dọn sạch hẳn khỏi đĩa cứng bằng cách nhấn nút “Empty  Recycle Bin” để đề phòng các “hiểm họa” về sau. Sau đó, bạn cũng có thể vào Regedit và “vô hiệu hóa vĩnh viễn” bằng  cách xóa hẳn các mục mà bạn đang “vô hiệu hóa” tạm thời. Với cách làm này, xác suất “bắt đúng người đúng tội”  khoảng 90%, còn 10% có thể là “tiêu diệt nhầm!”. Gặp trường hợp này, khi bạn chạy Windows và các ứng dụng thì chắc   chắn có một lúc nào đó hệ thống sẽ hiện lên thông báo lỗi do thiếu tập tin hoặc tập tin nào đó chưa được kích hoạt khi   khởi động Windows. Lúc này, bạn vào thùng rác tìm lại tập tin đã bị “giết nhầm” và khôi phục lại. Kế đó, bạn vào lại  Regedit để gỡ bỏ tình trạng vô hiệu hóa tạm thời đối với mục chứa tập tin này. Đó chính là lý do vì sao ngay từ đầu tôi   không xóa sạch các tập tin “bị nghi vấn” khỏi hệ thống và chỉ “vô hiệu hóa tạm thời”.  Điều quan trọng là ngay sau khi đã dùng... tay diệt được virus, bạn nên nhớ cài đặt và cập nhật thường xuyên các phiên  bản chống virus và “phản gián” mới nhất, nếu không thì “chẳng chóng thì chầy” máy của bạn sẽ bị “tái nhiễm cúm vi   tính!”. VÕ VĂN THÀNH
Đồng bộ tài khoản