Giáo trình tin học: Diệt Virus từ USB và Yahoo! Messenger
Tìm và diệt các tiến trình của virut đang chạy.
Vì Task Manager đã bị tắt ( Disable) hoặc ở Task Manager không hiện
hết các tiến trình (processes) đang chạy nên ta sẽ sử dụng đến một
chương trình khác của hãng thứ 3, các chương trình như: Process Viewer,
ProcessExplorer, ở bài viết này sẽ sử dụng Process Viewer.
Khởi chạy Process Viewer ta sẽ thấy có nhiều tiến trình đang chạy, bạn
phải xác định được tiến trình nào là của Windows, tiến trình nào là của
virut.
7 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2031 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Giáo trình tin học: Diệt Virus từ USB và Yahoo! Messenger, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Giáo trình tin học : Diệt Virus từ USB và Yahoo! Messenger
Tìm và diệt các tiến trình của virut đang chạy.
Vì Task Manager đã bị tắt ( Disable) hoặc ở Task Manager không hiện
hết các tiến trình (processes) đang chạy nên ta sẽ sử dụng đến một
chương trình khác của hãng thứ 3, các chương trình như: Process Viewer,
ProcessExplorer,… ở bài viết này sẽ sử dụng Process Viewer.
Khởi chạy Process Viewer ta sẽ thấy có nhiều tiến trình đang chạy, bạn
phải xác định được tiến trình nào là của Windows, tiến trình nào là của
virut.
Để xác định được tiến trình nào là của Windows, tiến trình nào là của
virut thì dựa trên báo cáo và kinh nghiệm của bạn để xác định, bạn dùng
Process Viewer và click vào bất cứ tiến trình nào đang chạy thì ở thanh
trượt ngang của Process Viewer sẽ hiện ra tên của nhà sản xuất ra phần
mềm như vậy đây là tiến trình an toàn, với các tiến trình không hiện ra
tên của nhà sản xuất như Unikey chẳng hạn thì bạn cũng đừng vội khẳng
định tất cả không hiện ra tên của nhà sản xuất đều là virut. Để xác định
tiến trình nào là an toàn, tiến trình nào là virut khi không biết nhà sản
xuất thì bằng cách nhận biết vào tên của tiến trình đang chạy, tiến trình lạ
( dựa trên nhiều lần dùng Task Manager, Process Viewer), địa chỉ của
tiến trình đang chạy.
Lấy ví dụ tiến trình của SSVICHOSST.exe đang chạy trong một máy bị
nhiễm, virut. File SSVICHOSST.exe ( hoặc tên khác) sẽ lấy biểu tượng
của thư mục nên bạn sẽ rất dễ nhầm tưởng file SSVICHOSST.exe này là
thư mục SSVICHOSST
nên khi click vào bạn lại chạy virut SSVICHOSST.exe. Nếu bạn dùng
một chương trình nào đó thay đổi giao diện Windows như Style XP thì
bạn sẽ dễ dàng nhận ra ngay sự khác nhau về màu sắc của thư mục và
icon của file exe.
Trong Process Viewer bạn dùng tổ hợp phím Ctrl + chuột trái để chọn
tiến trình SSVICHOSST.exe sau đó bấm chuột chọn Kill để loại bỏ tiến
trình đang chạy, mục đích nhằm không cho tiến trình này chạy.
Khi tiến trình của virut (SSVICHOSST.exe) bị kill thì bạn mới có thể
dùng các chương trình khác để Enable Folder Option , Registry Tool,
Task Manager, … vì nếu không kill tiến trình của virut đang chạy thì bạn
không thể Enable Registry, Task Manager vì nó luôn luôn giám sát, kiểm
tra Folder Option , Registry, Task Manager hễ bạn cứ Enable là nó lại
Disable.
Tắt tính năng tự chạy (Auto run ) của virut
Ở Process Viewer bạn click vào Tools > Auto Runs.
This image has been resized. Click this bar to view the full image. The original
image is sized 739x158.
Bạn bỏ chọn ở dấu kiểm tiến trình SSVICHOSST.exe để loại bỏ
SSVICHOSST.exe luôn được chạy mỗi khi bạn khởi động máy.
Sửa chữa hậu quả virut gây ra
Đối với Windows Sau khi kill và tắt auto run của virut đang chạy bạn hãy
chạy file RRT.exe, nếu Registry Tools, Task Manager, Folder Options,
… có màu đỏ tức là virut đã tác động và tắt các chức năng trên bạn click
vào dấu kiểm Auto Remove để RRT gỡ bỏ tự động.
Bây giờ Registry Editor đã được mở, bạn hãy vào Start > Run > Regedit
để khởi chạy Registry Editor. Registry Editor đã chạy bạn click vào Edit
> Find … ( Ctrl+F) và tìm với từ khóa SSVICHOSST.exe.
Sau khi Registry Editor tìm được những từ khóa liên quan đến
SSVICHOSST.exe bạn hãy xóa hết đi nhưng ở khóa này bạn cần sửa lại:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe SSVICHOSST.exe"
Bạn sửa thành
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "
Và ở khóa
Code:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio
n\Run]
"Yahoo Messengger"="C:\\WINDOWS\\system32\\SSVICHOSST.exe"
Thì bạn xóa hết cả khóa này nhé.
Virus ẩn hàng loạt file thư mục trong ổ đĩa
Khi rơi vào tình huống này, bạn thấy ổ đĩa hoàn toàn trống rỗng trong khi
dung lượng sử dụng vẫn còn. Thay vì phải làm thủ công bằng cách bỏ
thuộc tính ẩn của từng file, thư mục, bạn hãy dùng chương trình FixAttrb
của BKAV, chạy FixAttrb và chọn ổ đĩa bị virus làm ẩn các file và thư
mục. Nhắp vào ổ cần bỏ thuộc tính ẩn và chọn OK. Bạn hãy đợi một chút
để FixAttrb loại bỏ thuộc tính ẩn của file và thư mục. Thời gian nhanh
hay chậm phụ thuộc vào độ lớn của đĩa, thư mục bị ẩn.
Không mở được ổ cứng, USB bằng cách nhắp đúp chuột
Thông thường để mở ổ cứng hoặc ổ USB, bạn thường nhắp đúp chuột
vào ổ đĩa. Khi máy bị nhiễm virus Autorun, việc nhắp đúp chuột vào ổ
đĩa sẽ kích hoạt virus Autorun. Bạn sẽ nhận thông báo lỗi giống như
“Window cannot access the specified device, path, or file. You may not
have the appropriate permissions to access the icon”. Khi đó bạn chỉ có
thể mở được ổ đĩa bằng cách nhắp chuột phải, chọn Open, chạy file
AutorunFix.exe và chọn Fix Autorun.
Sau khi khởi động lại máy tính, bạn có thể nhắp đôi vào thư mục một
cách bình thường. Để phòng chống các virus phát tán qua thanh nhớ USB
(trong trường hợp máy tính chưa cập nhật bản diệt virus mới hay bị virus
vô hiệu), bạn có thể vô hiệu hóa tính năng AutoRun của Windows bằng
phần mềm Disable Autorun.
Virus đổi status trên Yahoo! Messenger
Khi bị nhiễm virus, status của Yahoo!Messenger sẽ thay đổi và liên tục
gửi link chứa virus đến bạn bè. Để xóa bỏ các đoạn status này, bạn cần
thoát khỏi Yahoo! Messenger nếu đang online và sử dụng phần mềm nhỏ
Clear Status để xóa hết status. Thủ thuật trong bài viết tuy không thể diệt
hết các virus nhưng có thể làm cho virus ngừng chạy. Các file khác của
virus có khi vẫn còn, vì vậy bạn nên sử dụng một chương trình quét virus
mạnh để quét lại và thường xuyên update chương trình. Bài viết này chỉ
đề cập đến virus có tên là SSVICHOSST.exe (IMWorm. Win32.
Sohanad.t) nhưng bạn có thể áp dụng cách này để diệt các virus lây qua
USB, Ym khác.
Link download: Process Viewer, AutorunFix, FixAttrb, RRT, Clear
Status, Disable AutoRun, Autoplay Repair với dung lượng 604 KB tại:
Code:
www.box.net/shared/lfa8t66k56
Kinh nghiệm sử dụng
Nên quét virus khi bạn cắm USB vào máy hay mỗi khi download phần
mềm mới (quét thư mục chứa phần mềm mới). Không nên nhấp đôi chuột
vào ổ USB.
Nên có sẵn một số phần mềm Portable diệt virus, quản lý file (Total
Commander, Win NC...), chương trình Process Viewer (ProcessExplorer
) để diệt các virut đang chạy và chương trình AutorunFix, FixAttrb để lấy
lại các file, thư mục bị ẩn, xóa các file autorun trên USB.
Các file đính kèm theo tài liệu này:
- Giáo trình tin học - Diệt Virus từ USB và Yahoo! Messenger.pdf