Internet Explorer luôn truy cập trang web lạ Một số website thương mại, dịch vụ và quảng cáo đã "khuyến mãi" virus, spyware phần mềm gián điệp, adware phần mềm quảng cáo khi người dùng
Trang 1Internet Explorer luôn truy cập trang
web lạ
Một số website thương mại, dịch vụ và quảng cáo đã "khuyến mãi" virus, spyware (phần mềm gián điệp), adware (phần mềm quảng cáo) khi người dùng tải về miễn phí những tiện ích, tập tin nhạc, hình ảnh để thu thập thông tin cá nhân của người dùng hoặc đơn giản là để quảng cáo, gửi spam như spyware vnn.com có nguồn gốc từ Việt Nam và một số biến thể của spyware này Một số virus, spyware quá đáng hơn, sau khi xâm nhập vào hệ thống, chúng thay đổi các thiết lập trang chủ (homepage) của trình duyệt web, ngăn chặn việc truy cập Group Policy, Registry, Folder Options và chạy lệnh Run
Việc này sẽ tạo ra một vòng tròn khép kín, ngăn cản bạn hiển thị các tập tin có thuộc tính ẩn (Folder Options), đặt lại homepage (trong Group Policy) và không xóa được các khóa của virus, spyware (trong Registry) Để "nhổ cỏ tận gốc", mời
1 Xác định vị trí của virus, spyware, adware
Do có xuất xứ từ Việt Nam nên các phần mềm phòng chống virus, anti-spyware của nước ngoài không phát hiện được spyware này Tuy nhiên, các phần mềm này vẫn có khả năng cảnh báo người dùng khi tập tin của spyware cố gắng khởi chạy khi khởi động Windows (Hình 1) Dựa vào cảnh báo này bạn có thể tìm đến thư
mục lưu trữ và xóa chúng (Lưu ý: ghi nhớ tên tập tin này để sử dụng trong các
Nếu sử dụng BKAV (tải về tạihttp://www.bkav.com.vn/frmDownload.aspx), bạn
Trang 2dễ dàng xác định tập tin của spyware được cài vào máy và xóa chúng
2 Xử lý các thay đổi do spyware
Xóa các khóa trong Registry Chọn Start Run để mở cửa sổ DOS Prompt; gõ vào lệnh "regedit" để mở cửa sổ Registry Editor Tìm và xóa các khóa có liên quan đến
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- Nếu "regedit" không có tác dụng, tham khảo thông tin bên dưới để khắc phục
- Sử dụng tính năng tìm kiếm (Find) với từ khóa là tên tập tin để chắc chắn không
"lọt lưới" những khóa liên quan đến spyware
"Registry editing has been disable by your administrator" Sử dụng Group Policy Editor để sửa lỗi này và thực hiện như sau: trong cửa sổ DOS Prompt; gõ vào lệnh
Trang 3"gpedit.msc" và nhấn OK để mở cửa sổ Group Policy Editor, chọn nhánh User
Configuration Administrative Templates > System Trong cửa sổ bên phải, chọn mụcPrevent access to registry editing tools và thay đổi thuộc tính
là Disable hoặc Not Configured (hình 2)
Ngoài ra, bạn có thể khởi chạy lại Registry Editor (Regedit) bằng cách tạo một tập
tin vbs (Visual Basic Script) để sửa lại các khóa trong Registry hoặc nếu có sẵn
tiện ích HijackThis (http://www.download.com/HijackThis/3000-8022-10307556.html), bạn chỉ việc chạy tiện ích này, đánh dấu khóa cần xóa
Home page của trình duyệt web bị vô hiệu hóa Trong cửa sổ Group Policy
Editor, chọn nhánh User Configuration > Administrative Templates > Windows Components > Internet Explorer Trong cửa sổ bên phải, chọn mục Disable changing home page settings, thay đổi thuộc tính là Not configured Khởi chạy IE
và thiết lập lại home page trong Tools > Internet Options, tab General
Folder Options bị mất. Trong Registry Editor, tìm đến
nhánh HKEY_CURRENT_USER > Software > Microsoft > Windows
> CurrentVersion > Policies > Explorer Nhấn phải chuột trong cửa sổ bên phải
chọn New > DWORLD Value, đặt tên NoFolderOptions và gán giá trị 0; nếu
Thực hiện tương tự trong khóa HKEY_LOCAL_MACHINE > Software
> Microsoft > Windows > CurrentVersion > Policies > Explorer
Một số bạn đọc cho rằng việc cài đặt phần mềm phòng chống virus, spyware sẽ
Trang 4làm chậm hệ thống Thực tế cho thấy, bạn sẽ gặp rất nhiều phiền phức, tài nguyên
bị chiếm dụng, hệ thống hoạt động ì ạch nếu không có một công cụ hữu hiệu bảo
vệ hệ thống trước sự tấn công của virus, spyware