Diệt virus và gián điệp (spyware) bằng... tay không!

Thông thường khi nghi ngờ máy vi tính bị nhiễm virus hay bị các thành phần gián điệp xâm nhập, chúng ta sẽ sử dụng cácphần mềm diệt virus và phần mềm “phản gián” để tìm và diệt “lũ sâu bọ đáng ghét” này. Tuy nhiên, đôi khi có những convirus hay thành phần gián điệp rất ma mãnh có thể qua mặt được các phần mềm diệt virus và gián điệp. Trong nhữngtrường hợp đó, chúng ta buộc phải tìm và diệt chúng bằng... tay không! Quá trình diệt virus bằng tay đòi hỏi phải canthiệp vào registry của...
Nội dung trích xuất từ tài liệu:
Diệt virus và gián điệp (spyware) bằng... tay không!Diệtvirusvàgiánđiệp(spyware)bằng...taykhông!Thôngthườngkhinghingờmáyvitínhbịnhiễmvirushaybịcácthànhphầngiánđiệpxâmnhập,chúngtasẽsửdụngcácphầnmềmdiệtvirusvàphầnmềm“phảngián”đểtìmvàdiệt“lũsâubọđángghét”này.Tuynhiên,đôikhicónhữngconvirushaythànhphầngiánđiệprấtmamãnhcóthểquamặtđượccácphầnmềmdiệtvirusvàgiánđiệp.Trongnhữngtrườnghợpđó,chúngtabuộcphảitìmvàdiệtchúngbằng...taykhông! Quátrìnhdiệtvirusbằngtayđòihỏiphảicanthiệpvàoregistrycủahệthống.Vìvậy,bạnphảithậtthậntrọng.Nhớđọckỹhướngdẫntrướckhi...thựchành!Bước1:Pháthiệnnhữngkẻlạmặt Donhững“kẻtộiđồ”thườngtựkíchhoạtkhivừamớikhởiđộngWindowstươngtựnhưcácứngdụngbìnhthườngkhác(chẳnghạnnhưcácứngdụngchốngvirus,phầnmềmgõtiếngViệtUnikey,Vietkey...),vìvậybạnphảinhậndiệnchođượcđâulà“ngườicóích”,đâulà“kẻcóhại”.Nếubạnkhôngphânbiệtđược(hoặclưỡnglự),đâylạilàtrườnghợpchúngtathườngxuyêngặpphải,thìcũngphảicócáchđểthử.Tôisẽtrìnhbàycáchlàmcủamìnhkèmtheohìnhminhhọatừmộtmáymàtôiđãgặpphảitrongthựctế.Trướctiên,tôichạychươngtrìnhRegedit(chọnStart/Run,nhậpRegeditvàấnEnter).TrongcửasổRegeditEditor,tôiduyệttheođườngdẫnsau:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun CácmụcliệutrongHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunQuansátkhungcửasổbênphải,tôinhậnthấynhiềutậptincótênrấtlạlùngvàhổnggiốngainhư: 9uhnvkvc8.exe, d48lit61.exe...Nhữngtậptinnàycónhiềukhảnănglà“nhữngkẻxâmnhậpcóhại”.HaythậmchícảnhữngcáitêntưởngcóvẻtửtếnhưCarpservice.exe,wsfcog.exe,fsbsbeb.exe...cũngrấtđángngờ!Những“kẻđángngờ”đượctôi“khoanh”lạitrongcáckhunghìnhchữnhậttrênhình1.Bước2:TạmvôhiệuhóacácmụcđángngờtrongregistryTôidùngchữ“đángngờ”làvìkhôngthểkhẳngđịnhngayliệuchúngcóthậtsựcóhạihaykhông?Muốnbiếtphảithử.Vídụ,muốnkiểmtraCARPServicecóphảilà“kẻtộiđồ”haykhông,tôitạmvôhiệuhóamụcnàybằngcáchđiềuchỉnhtêntậptinkíchhoạtmụcnày(carpservice.exe)thànhcarpservice.txt.Tấtnhiênlàtronghệthốngcủachúngtakhôngcótậptinnày,mànếucóthìvớiphầnđuôi.TXTnócũngkhôngtựkíchhoạtđược. Điềuchỉnhtêntậptinkíchhoạtmụcđangbị“nghivấn”Bước3:TạmxóacáctậptinđángngờNgoàiviệctạmvôhiệuhóa,bạncũngnênxóatạmthời(bằngcáchnhấnDELđểbỏvàothùngrác)cáctậptincóphầntêncủatậptinkíchhoạtđangbịnghivấn(trongvídụcủatôilàcáctậptincóphầntênbắtđầulàCARPSERVICE).Tuynhiên,trướckhixóachúng,bạncầnphảixácđịnhxemhiệnchúngcóđangchạytrongbộnhớcủahệthốngkhông?Nếuđang chạy thì bạn không thể xóa được đâu. Trong trường hợp này, bạn phải nhấn CTRLALTDEL (và chọn TaskManagernếuđangchạyWindows2000),chọnthẻProcessvàtìmtrongcộtImageNamexemcómụcnàocótêntrùngvớitậptinđangbịnghivấnkhông?Nếucóthìbạnbấmchọnnóvàbấmnút EndProcess.Trongvídụnày,tậptincarpservice.exeđangchạytrongbộnhớvàtôi“buộc”phảikếtthúcnó.Tìmvà“buộc”kếtthúccáctậptin“bịnghivấn”đangchạytrongbộnhớ Saukhiđãđảmbảotậptin“bịnghivấn”khôngcònchạytrongbộnhớ,bạndùngcôngcụtìmkiếm(Start/Search)đểtìmcáctậptinđang bị“nghivấn”.Vídụ,nếubạnmuốntìmcáctậptincóphầntênlà9UHNKVC8thìbạnlàmnhưtronghình4. DùngcôngcụSearchcủaWindowsđểtìmcáctậptinbị“nghivấn”Trongvídụcủatôi,tôitìmcáctậptinCARPSERVICE.Saukhitìmthấy,tôiđánhdấuchọnhếttấtcảcáctậptinnàyvànhấnnútDELđểtạm“vứt”chúngvàothùngrác.Tiếptụclàmtươngtựđốivớicácmụcbịnghivấnkhác.Bạnlưuýlàcónhiềuconvirusrấttinhma,nókhôngchỉẩnmìnhtrongđườngdẫn HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun củaregistryđểtựkíchhoạtmànócònẩnmìnhtrongcácđườngdẫnkhácđểphòngngừatìnhtrạngbị“tiêudiệt”ởchỗnàyvànósẽtự“nhânbảnvàtáisinh”ởchỗkhác.Vìvậy,khôngchỉtìmtrongđườngdẫntrênmàbạncònphảitìmtrongcácđườngdẫnsauđể“nhổcỏtậngốc”:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSaukhiđãtạmthời“vôhiệuhóa”các“phầntửđángngờ”,bạnchokhởiđộnglạimáyvàlầnlượtchạyhếtcácứngdụngmàbạnđãcàivàomáyxemWindowshaycácứngdụngcóbịtrụctrặcgìkhông?Nếukhôngcótrụctrặcgìvàcáctìnhtrạngkhóchịukhác(chẳnghạnbỗngnhiên ...