Tham khao

Phòng Chống Và Diệt Virus Bằng Tay [Phần 2]


hongquy
16-12-2008, 11:10 AM
* Tìm Và Diệt Bằng Tay: - Làm sao để biết "nó" có phải là virus không? Chắc hẳn sẽ có người hỏi câu này khi đã bật chế độ hiện file ẩn (kể cả file ẩn hệ thống) và nhìn thấy những ứng dụng nằm dưới dạng file ẩn hoặc nhìn vào bảng Process trong Task Manager (Vào Start, chọn Run, gõ lệnh taskmgr). Điều này đòi hỏi bạn phải có một chút hiểu biết về file hệ thống hoặc rất đơn giản bạn gõ tên của ứng dụng đang ẩn hoặc process đang chạy trong Task Manager lên Google tìm kiếm xem nó là file hệ thống hay đó là một "em virus". Khi đã xác định đó chính là virus thì mình khuyên bạn đầu tiên hãy khoan động chạm đến nó mà hãy nhớ lại xem lúc mới cài máy và các ứng dụng bạn đã tạo một bản Ghost hay một bản sao hệ thống nào chưa!? Vì có thể sau khi hoặc trong khi "xử" virus nó sẽ gây cho bạn một số phiền hà như tắt máy và khởi động lại máy liên tục nhưng không vào Windows được... http://i304.photobucket.com/albums/nn165/PC2CM/task.jpg - Khi đã có file sao lưu hệ thống dự phòng rồi thì bây giờ bạn mặc sức bắt tay vào "xử" mấy em virus. Các Virus chạy trong Task Manager thường hay giả mạo các process của hệ thống như: svhost, taskmgrz thay vì svchost và taskmgr vì thế bạn nên xem xét cận trọng kẻo lại End Process nhầm process của hệ thống. Trong ổ đĩa cũng có mấy con virus giả mạo là file hệ thống như: ntdelect.com, ntde1ect.com thay vì file hệ thống là ntdetect.com... Ngoài ra còn có một số hình thức giả mạo phổ biến của virus như sau: + Giả là 1 Folder: thực chất là 1 file thực thi đuôi .exe mang icon là folder (để nhìn thấy đuôi của file rất đơn giản bạn mở một cửa sổ bất kỳ như My Computer, trên thanh menu bạn chọn Tools, chọn thẻ View, click bỏ chọn vào ô vuông chỗ Hide extensions for know file types, chọn OK; bây giờ bạn có thể thấy được đuôi định dạng của các file). Nếu lầm tưởng mà click thử vào "thư mục" giả dạng này thì virus sẽ được "bung" ra máy bạn. + Giả là 1 File tài liệu: Virus sẽ có icon như các file tài liệu, văn bản và có 2 đuôi để đánh lừa bạn như: tai_lieu.doc.exe, tai_lieu.txt.exe... - Việc đầu tiên khi bạn bắt gặp những file hoặc process giả mạo này là bạn hãy ngắt kết nối Internet trước để ngăn không cho virus tự động tải chính nó từ trên mạng về. Sau đó hãy xóa các file giả và nhấn nút End Process để tắt các process giả. - Có thể bạn sẽ gặp trường hợp khi xóa các file virus hoặc End Process xong thì chúng lại tự phục hồi dù cho bạn có xóa hay tắt chúng hàng trăm lần!! Việc này có nghĩa là con "virus chúa" đang nằm ở một nơi bạn ít đến nhất như Windows, system32, inf... và chúng còn sửa lại một số Key trong Registry nên bạn cần phải tìm ra hết chúng và "xóa sổ tận gốc". Bạn hãy click Start, chọn Search, ở mục Search Options bên khung trái bạn click Advanced Options, chọn Search hidden files and folder. Tiếp theo bạn gõ tên con virus cần xóa vào ô Search for files and folders named, click Search Now và chờ cho máy bạn tìm xong thì hãy xóa hết tất cả chúng. Chưa hết! Bạn vào Registry Editor để tìm tiếp những key đã bị chúng sửa bằng cách click Start, chọn Run và gõ lệnh regedit. Trong Registry bạn nhấn tổ hợp phím Ctrl + F và gõ tên con virus vào ô để tìm kiếm những key có chứa tên virus, sau khi tìm được bạn cũng xóa các key đó và nên tìm thêm một lần nữa vì không phải chỉ có 1 key bị sửa; tìm đến khi nào Registry báo là không tìm thấy nữa là OK!! - Kiểm tra các file tự khởi động với Windows bằng cách click Start, chọn Run và gõ lệnh msconfig, chọn thẻ Startup, hãy dò xem trong list có chương trình nào là virus không ví dụ KAVO.EXE, bạn hãy click bỏ chọn nó và click OK. - Sau khi chỉnh sửa lại Registry và Msconfig, bạn nên Restart lại máy vì như thế thì các chỉnh sửa của bạn mới có hiệu lực. - Mẹo Nhỏ: Có thể sẽ có lúc bạn gặp tình trạng máy không chạy bất cứ một chương trình nào cả nhưng máy lại chạy rất chậm!!! Việc đầu tiên bạn nghĩ đến là "Virus"! Kiểm tra trong Task Manager thì thấy có 1 Process đang chạy 90% trở lên mang tên SPOOLSV.EXE hoặc spoolsv.exe