Giáo trình tin học: Diệt Virus từ USB và Yahoo! Messenger

Giáo trình tin học : Diệt Virus từ USB và Yahoo! Messenger Tìm và diệt các tiến trình của virut đang chạy. Vì Task Manager đã bị tắt ( Disable) hoặc ở Task Manager không hiện hết các tiến trình (processes) đang chạy nên ta sẽ sử dụng đến một chương trình khác của hãng thứ 3, các chương trình như: Process Viewer, ProcessExplorer,… ở bài viết này sẽ sử dụng Process Viewer. Khởi chạy Process Viewer ta sẽ thấy có nhiều tiến trình đang chạy, bạn phải xác định được tiến trình nào là của Windows, tiến trình nào là của virut. Để xác định được tiến trình nào là của Windows, tiến trình nào là của virut thì dựa trên báo cáo và kinh nghiệm của bạn để xác định, bạn dùng Process Viewer và click vào bất cứ tiến trình nào đang chạy thì ở thanh trượt ngang của Process Viewer sẽ hiện ra tên của nhà sản xuất ra phần mềm như vậy đây là tiến trình an toàn, với các tiến trình không hiện ra tên của nhà sản xuất như Unikey chẳng hạn thì bạn cũng đừng vội khẳng định tất cả không hiện ra tên của nhà sản xuất đều là virut. Để xác định tiến trình nào là an toàn, tiến trình nào là virut khi không biết nhà sản xuất thì bằng cách nhận biết vào tên của tiến trình đang chạy, tiến trình lạ ( dựa trên nhiều lần dùng Task Manager, Process Viewer), địa chỉ của tiến trình đang chạy. Lấy ví dụ tiến trình của SSVICHOSST.exe đang chạy trong một máy bị nhiễm, virut. File SSVICHOSST.exe ( hoặc tên khác) sẽ lấy biểu tượng của thư mục nên bạn sẽ rất dễ nhầm tưởng file SSVICHOSST.exe này là thư mục SSVICHOSST nên khi click vào bạn lại chạy virut SSVICHOSST.exe. Nếu bạn dùng một chương trình nào đó thay đổi giao diện Windows như Style XP thì bạn sẽ dễ dàng nhận ra ngay sự khác nhau về màu sắc của thư mục và icon của file exe. Trong Process Viewer bạn dùng tổ hợp phím Ctrl + chuột trái để chọn tiến trình SSVICHOSST.exe sau đó bấm chuột chọn Kill để loại bỏ tiến trình đang chạy, mục đích nhằm không cho tiến trình này chạy. Khi tiến trình của virut (SSVICHOSST.exe) bị kill thì bạn mới có thể dùng các chương trình khác để Enable Folder Option , Registry Tool, Task Manager, … vì nếu không kill tiến trình của virut đang chạy thì bạn không thể Enable Registry, Task Manager vì nó luôn luôn giám sát, kiểm tra Folder Option , Registry, Task Manager hễ bạn cứ Enable là nó lại Disable. Tắt tính năng tự chạy (Auto run ) của virut Ở Process Viewer bạn click vào Tools > Auto Runs. This image has been resized. Click this bar to view the full image. The original image is sized 739x158. Bạn bỏ chọn ở dấu kiểm tiến trình SSVICHOSST.exe để loại bỏ SSVICHOSST.exe luôn được chạy mỗi khi bạn khởi động máy. Sửa chữa hậu quả virut gây ra Đối với Windows Sau khi kill và tắt auto run của virut đang chạy bạn hãy chạy file RRT.exe, nếu Registry Tools, Task Manager, Folder Options, … có màu đỏ tức là virut đã tác động và tắt các chức năng trên bạn click vào dấu kiểm Auto Remove để RRT gỡ bỏ tự động. Bây giờ Registry Editor đã được mở, bạn hãy vào Start > Run > Regedit để khởi chạy Registry Editor. Registry Editor đã chạy bạn click vào Edit > Find … ( Ctrl+F) và tìm với từ khóa SSVICHOSST.exe. Sau khi Registry Editor tìm được những từ khóa liên quan đến SSVICHOSST.exe bạn hãy xóa hết đi nhưng ở khóa này bạn cần sửa lại: Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe SSVICHOSST.exe" Bạn sửa thành Code: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe " Và ở khóa Code: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run] "Yahoo Messengger"="C:\\WINDOWS\\system32\\SSVICHOSST.exe" Thì bạn xóa hết cả khóa này nhé. Virus ẩn hàng loạt file thư mục trong ổ đĩa Khi rơi vào tình huống này, bạn thấy ổ đĩa hoàn toàn trống rỗng trong khi dung lượng sử dụng vẫn còn. Thay vì phải làm thủ công bằng cách bỏ thuộc tính ẩn của từng file, thư mục, bạn hãy dùng chương trình FixAttrb của BKAV, chạy FixAttrb và chọn ổ đĩa bị virus làm ẩn các file và thư mục. Nhắp vào ổ cần bỏ thuộc tính ẩn và chọn OK. Bạn hãy đợi một chút để FixAttrb loại bỏ thuộc tính ẩn của file và thư mục. Thời gian nhanh hay chậm phụ thuộc vào độ lớn của đĩa, thư mục bị ẩn. Không mở được ổ cứng, USB bằng cách nhắp đúp chuột Thông thường để mở ổ cứng hoặc ổ USB, bạn thường nhắp đúp chuột vào ổ đĩa. Khi máy bị nhiễm virus Autorun, việc nhắp đúp chuột vào ổ đĩa sẽ kích hoạt virus Autorun. Bạn sẽ nhận thông báo lỗi giống như “Window cannot access the specified device, path, or file. You may not have the appropriate permissions to access the icon”. Khi đó bạn chỉ có thể mở được ổ đĩa bằng cách nhắp chuột phải, chọn Open, chạy file AutorunFix.exe và chọn Fix Autorun. Sau khi khởi động lại máy tính, bạn có thể nhắp đôi vào thư mục một cách bình thường. Để phòng chống các virus phát tán qua thanh nhớ USB (trong trường hợp máy tính chưa cập nhật bản diệt virus mới hay bị virus vô hiệu), bạn có thể vô hiệu hóa tính năng AutoRun của Windows bằng phần mềm Disable Autorun. Virus đổi status trên Yahoo! Messenger Khi bị nhiễm virus, status của Yahoo!Messenger sẽ thay đổi và liên tục gửi link chứa virus đến bạn bè. Để xóa bỏ các đoạn status này, bạn cần thoát khỏi Yahoo! Messenger nếu đang online và sử dụng phần mềm nhỏ Clear Status để xóa hết status. Thủ thuật trong bài viết tuy không thể diệt hết các virus nhưng có thể làm cho virus ngừng chạy. Các file khác của virus có khi vẫn còn, vì vậy bạn nên sử dụng một chương trình quét virus mạnh để quét lại và thường xuyên update chương trình. Bài viết này chỉ đề cập đến virus có tên là SSVICHOSST.exe (IMWorm. Win32. Sohanad.t) nhưng bạn có thể áp dụng cách này để diệt các virus lây qua USB, Ym khác. Link download: Process Viewer, AutorunFix, FixAttrb, RRT, Clear Status, Disable AutoRun, Autoplay Repair với dung lượng 604 KB tại: Code: www.box.net/shared/lfa8t66k56 Kinh nghiệm sử dụng Nên quét virus khi bạn cắm USB vào máy hay mỗi khi download phần mềm mới (quét thư mục chứa phần mềm mới). Không nên nhấp đôi chuột vào ổ USB. Nên có sẵn một số phần mềm Portable diệt virus, quản lý file (Total Commander, Win NC...), chương trình Process Viewer (ProcessExplorer ) để diệt các virut đang chạy và chương trình AutorunFix, FixAttrb để lấy lại các file, thư mục bị ẩn, xóa các file autorun trên USB.