Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động tốt (không[r]
Trang 1Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 2)
Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ
gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi, ) Thường thì các virus "thú dữ" sẽ khoá các công cụ ở trên,hay gặp
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter : Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter) Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0
Cách 3: Copy đoạn code này rồi save thành file có định dạng là reg rồi chạy file này Code:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative Templates ->
System->Prevent access to registry editing tools Mở khóa này, chọn Disable Đóng Group Policy
Để cho phép mở Registry Editor bạn làm như sau :
Code:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Trang 2Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy
Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:
Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt Nếu không khóa run trong REGISTRY thì tham khảo cách sau:
Properties -> StartMenu -> Customize ->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được -Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ẩn lại Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Fol der\Hidden\SHOWALL
Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn
Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart
máy) thì mới có hiệu lực
Trang 3ẩn/hiện Folder Option Start - run - gpedit.msc rồi OK để mở Group Policy Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer
Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled) Chọn tùy chọn theo ý muốn Nhấn OK để thoát ra ngoài Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ
Trang 4Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bứơc tiếp theo là quan trọng nhất :
tìm xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này còn tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng, thì bạn sẽ bit thôi,và cũng
xin nhắc với bạn là : windows không bắt buộc phải nạp một trình ứng dụng exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ
system32 như là hkcmd.exe,avpo.exe,svchoost.exe, thì 90% đó là virus
Trang 5Vậy cách ly hay xoá virus đi như thế nào? Hãy sử dụng cmd Sau khi quan sát trong msconfig,thấy dc đưòng dẫn của virus rồi thì bứoc tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rùi tìm cách để cách ly hoặc
Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là
Code:
c:\windows\system32\hkcmd.exe
Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ, của file này =
Code:
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus
Trang 6Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công
Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại,hoặc không thể kết thúc tiến trình virus trong task manager Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lý