Diệt virus và gián điệp (spyware) bằng... tay không

Tham khảo bài viết diệt virus và gián điệp (spyware) bằng... tay không, công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Diệt virus và gián điệp (spyware) bằng... tay khôngDiệt virus và gián điệp(spyware) bằng... tay không!Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần giánđiệp xâm nhập, chúng ta sẽ sử dụng các phần mềm diệt virus và phần mềm “phảngián” để tìm và diệt “lũ sâu bọ đáng ghét” này. Tuy nhiên, đôi khi có những con virushay thành phần gián điệp rất ma mãnh có thể qua mặt được các phần mềm diệtvirus và gián điệp. Trong những trường hợp đó, chúng ta buộc phải tìm và diệt chúngbằng... tay không!Quá trình diệt virus bằng tay đòi hỏi phải can thiệp vào registry của hệ thống. Vì vậy,bạn phải thật thận trọng. Nhớ đọc kỹ hướng dẫn trước khi... thực hành!Bước 1: Phát hiện những kẻ lạ mặtDo những “kẻ tội đồ” thường tự kích hoạt khi vừa mới khởi động Windows tương tựnhư các ứng dụng bình thường khác (chẳng hạn như các ứng dụng chống virus, phầnmềm gõ tiếng Việt Unikey, Vietkey...), vì vậy bạn phải nhận diện cho được đâu là“người có ích”, đâu là “kẻ có hại”. Nếu bạn không phân biệt được (hoặc lưỡng lự),đây lại là trường hợp chúng ta thường xuyên gặp phải, thì cũng phải có cách để thử.Tôi sẽ trình bày cách làm của mình kèm theo hình minh họa từ một máy mà tôi đãgặp phải trong thực tế. Trước tiên, tôi chạy chương trình Regedit (chọn Start/Run,nhập Regedit và ấn Enter). Trong cửa sổ Regedit Editor, tôi duyệt theo đường dẫnsau:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Các mục liệu trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunQuan sát khung cửa sổ bên phải, tôi nhận thấy nhiều tập tin có tên rất lạ lùng vàhổng giống ai như: 9uhnvkvc8.exe, d48lit61.exe... Những tập tin này có nhiều khảnăng là “những kẻ xâm nhập có hại”. Hay thậm chí cả những cái tên tưởng có vẻ tửtế như Carpservice.exe, wsfcog.exe, fsbsbeb.exe... cũng rất đáng ngờ! Những “kẻđáng ngờ” được tôi “khoanh” lại trong các khung hình chữ nhật trên hình 1.Bước 2: Tạm vô hiệu hóa các mục đáng ngờ trong registryTôi dùng chữ “đáng ngờ” là vì không thể khẳng định ngay liệu chúng có thật sự cóhại hay không? Muốn biết phải thử. Ví dụ, muốn kiểm tra CARPService có phải là“kẻ tội đồ” hay không, tôi tạm vô hiệu hóa mục này bằng cách điều chỉnh tên tập tinkích hoạt mục này (carpservice.exe) thành carpservice.txt. Tất nhiên là trong hệthống của chúng ta không có tập tin này, mà nếu có thì với phần đuôi .TXT nó cũngkhông tự kích hoạt được. Điều chỉnh tên tập tin kích hoạt mục đang bị “nghi vấn”Bước 3: Tạm xóa các tập tin đáng ngờNgoài việc tạm vô hiệu hóa, bạn cũng nên xóa tạm thời (bằng cách nhấn DEL để bỏvào thùng rác) các tập tin có phần tên của tập tin kích hoạt đang bị nghi vấn (trongví dụ của tôi là các tập tin có phần tên bắt đầu là CARPSERVICE). Tuy nhiên, trướckhi xóa chúng, bạn cần phải xác định xem hiện chúng có đang chạy trong bộ nhớ củahệ thống không? Nếu đang chạy thì bạn không thể xóa được đâu. Trong trường hợpnày, bạn phải nhấn CTRL-ALT-DEL (và chọn Task Manager nếu đang chạyWindows 2000), chọn thẻ Process và tìm trong cột Image Name xem có mục nàocó tên trùng với tập tin đang bị nghi vấn không? Nếu có thì bạn bấm chọn nó và bấmnút End Process. Trong ví dụ này, tập tin carpservice.exe đang chạy trong bộ nhớvà tôi “buộc” phải kết thúc nó. Tìm và “buộc” kết thúc các tập tin “bị nghi vấn” đang chạy trong bộ nhớSau khi đã đảm bảo tập tin “bị nghi vấn” không còn chạy trong bộ nhớ, bạn dùngcông cụ tìm kiếm (Start/Search) để tìm các tập tin đang bị “nghi vấn”. Ví dụ, nếubạn muốn tìm các tập tin có phần tên là 9UHNKVC8 thì bạn làm như trong hình 4. Dùng công cụ Search của Windows để tìm các tập tin bị “nghi vấn”Trong ví dụ của tôi, tôi tìm các tập tin CARPSERVICE. Sau khi tìm thấy, tôi đánh dấuchọn hết tất cả các tập tin này và nhấn nút DEL để tạm “vứt” chúng vào thùng rác.Tiếp tục làm tương tự đối với các mục bị nghi vấn khác. Bạn lưu ý là có nhiều convirus rất tinh ma, nó không chỉ ẩn mình trong đường dẫnHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run của registry để tự kích hoạt mà nó còn ẩn mình trong các đường dẫn khác đểphòng ngừa tình trạng bị “tiêu diệt” ở chỗ này và nó sẽ tự “nhân bản và tái sinh” ởchỗ khác. Vì vậy, không chỉ tìm trong đường dẫn trên mà bạn còn phải tìm trong cácđường dẫn sau để “nhổ cỏ tận gốc”:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceSau khi đã tạm thời “vô hiệu hóa” các “phần tử đáng ngờ”, bạn cho khởi động lạimáy và lần lượt chạy hết các ứng dụng mà bạn đã cài vào máy xem Windows haycác ứng dụng có bị trục trặc gì không? Nếu không có trục trặc gì và các tình trạngkhó chịu khác (chẳng hạn bỗng nhiên xuất hiện một lô một lốc các cửa sổ pop-up)chấm dứt hẳn thì bạn yên tâm là mình đã “tiêu diệt đúng đối tượng”. Khi đó, bạn vàothùng rác và dọn sạch hẳn khỏi đĩa cứng bằng cách nhấn nút “Empty Recycle Bin”để đề phòng các “hiểm họa” về sau. Sau đó, bạn cũng có thể vào Regedit và “vôhiệu hóa vĩnh viễn” bằng cách xóa hẳn các mục mà bạn đang “vô hiệu hóa” tạm thời.Với cách làm này, xác suất “bắt đúng người đúng tội” khoảng 90%, còn 10% có thểlà “tiêu diệt nhầm!”. Gặp trường hợp này, khi bạn chạy Windows và các ứng dụng thìchắc chắn có một lúc nào đó hệ thống sẽ hiện lên thông báo lỗi do thiếu tập tin hoặctập tin nào đó chưa được kích hoạt khi khởi động Windows. Lúc này, bạn vào thùngrác tìm lại tập tin đã bị “giết nhầm” và khôi phục lại. Kế đó, bạn vào lại Regedit đểgỡ bỏ tình trạng vô hiệu hóa tạm thời đối với mục chứa tập tin này. Đó chính là lý dovì sao ngay từ đầu tôi không xóa sạch các tập tin “bị nghi vấn” khỏi hệ thống và chỉ“vô hiệu hóa tạm thời”.Điều quan trọng là ngay sau khi đã dùng... tay diệt được virus, bạn nên nhớ cài đặtvà cập nhật thường xuyên các ...