master3x
08-18-2008, 12:31 AM
Phần 2 Xử lư virus
Để có thể diệt được virus bằng tay (tức là không dùng đến tŕnh anti virus hay các công cụ ǵ khác ngoài windows) th́ bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,...). Thường th́ các virus "thú dữ" sẽ khoá các công cụ ở trên,hay gặp nhất là khoá task manager và regedit
Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gơ vào regedit rồi bấm Enter)
Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
T́m khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
T́m theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.
Mở/khoá regedit
Có 2 cách :
1. Mở Group Policy
(Start -> Run, gơ gpedit.msc) ằ User Configuration -> Administrative Templates -> System->Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.
2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mă sau vào
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit th́ chạy
Mở/khoá Run trong Start Menu
Nếu khóa run trong REGISTRY th́ chúng ta có thể vô cmd bằng các cách sau:
1.Vào windows/system32/cmd.exe để mở cmd.
2.Start - Programs ->Accessories->Command Prompt
Sau đó gơ regedit, t́m đến khóa này
Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced
Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.
Nếu không khóa run trong REGISTRY th́ tham khảo cách sau:
Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và t́m khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra th́ chỉ cần làm lại như trên và đánh dấu tick vào là được.
-Một t́nh trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong th́ nó ...ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hăy khắc phục như sau : vào Start - run - regedit và t́m đến khoá
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersionExplorer\Advanced\Folder\Hidden\SHOWALL
Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.
Chú ư : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) th́ mới có hiệu lực.
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_2.jpg
ẩn/hiện Folder Option
Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu".
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ư muốn. Nhấn OK để thoát ra ngoài.
Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver).
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_3.jpg
Sau khi đă chắc chắn là các công cụ ở trên đều đă tốt th́ bứơc tiếp theo là quan trọng nhất : t́m xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.
Hăy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào ...lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này c̣n tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,... th́ bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một tŕnh ứng dụng .exe nào để có thể khởi động được b́nh thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,... th́ 90% đó là virus.
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_4.jpg
Vậy cách ly hay xoá virus đi như thế nào? Hăy sử dụng cmd
Sau khi quan sát trong msconfig,thấy dc đựng dẫn của virus rồi th́ bứoc tiếp theo là hăy bật task manager lên để end process các tiến tŕnh virus ấy đi rùi t́m cách để cách ly hoặc xoá chúng ra khỏi máy.
Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là
Code:
c:\windows\system32\hkcmd.exe
Hăy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,... của file này = cách chạy lệnh
Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe
r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là v́ như vậy mới dễ xoá hay di chuyển những file virus này đi
Sau đó hăy dùng lệnh del để xoá chúng đi
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_5.jpg
Code:
del c:\windows\system32\hkcmd.exe
Nếu không thấy báo lỗi ǵ tức là bạn đă xoá thành công.
Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB
Tất nhiên là mọi chuyện không đơn giản như những ǵ ḿnh đă tŕnh bày, sẽ có nhiều sự cố về sau nữa như là xoá xong th́ có lại,hoặc không thể kết thúc tiến tŕnh virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lư.
Theo XHTT
Để có thể diệt được virus bằng tay (tức là không dùng đến tŕnh anti virus hay các công cụ ǵ khác ngoài windows) th́ bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,...). Thường th́ các virus "thú dữ" sẽ khoá các công cụ ở trên,hay gặp nhất là khoá task manager và regedit
Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gơ vào regedit rồi bấm Enter)
Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
T́m khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
T́m theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.
Mở/khoá regedit
Có 2 cách :
1. Mở Group Policy
(Start -> Run, gơ gpedit.msc) ằ User Configuration -> Administrative Templates -> System->Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.
2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mă sau vào
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit th́ chạy
Mở/khoá Run trong Start Menu
Nếu khóa run trong REGISTRY th́ chúng ta có thể vô cmd bằng các cách sau:
1.Vào windows/system32/cmd.exe để mở cmd.
2.Start - Programs ->Accessories->Command Prompt
Sau đó gơ regedit, t́m đến khóa này
Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced
Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.
Nếu không khóa run trong REGISTRY th́ tham khảo cách sau:
Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và t́m khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra th́ chỉ cần làm lại như trên và đánh dấu tick vào là được.
-Một t́nh trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong th́ nó ...ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hăy khắc phục như sau : vào Start - run - regedit và t́m đến khoá
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersionExplorer\Advanced\Folder\Hidden\SHOWALL
Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.
Chú ư : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) th́ mới có hiệu lực.
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_2.jpg
ẩn/hiện Folder Option
Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu".
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ư muốn. Nhấn OK để thoát ra ngoài.
Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver).
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_3.jpg
Sau khi đă chắc chắn là các công cụ ở trên đều đă tốt th́ bứơc tiếp theo là quan trọng nhất : t́m xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.
Hăy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào ...lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này c̣n tuỳ vào kinh nghiệm sử dụng máy tính của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,... th́ bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một tŕnh ứng dụng .exe nào để có thể khởi động được b́nh thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,... th́ 90% đó là virus.
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_4.jpg
Vậy cách ly hay xoá virus đi như thế nào? Hăy sử dụng cmd
Sau khi quan sát trong msconfig,thấy dc đựng dẫn của virus rồi th́ bứoc tiếp theo là hăy bật task manager lên để end process các tiến tŕnh virus ấy đi rùi t́m cách để cách ly hoặc xoá chúng ra khỏi máy.
Ví dụ,bạn quan sát thấy 1 file virus .exe tự chạy là
Code:
c:\windows\system32\hkcmd.exe
Hăy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,... của file này = cách chạy lệnh
Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe
r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là v́ như vậy mới dễ xoá hay di chuyển những file virus này đi
Sau đó hăy dùng lệnh del để xoá chúng đi
http://3c.com.vn/Uploaded/hoant/anhphanmem/14975_5.jpg
Code:
del c:\windows\system32\hkcmd.exe
Nếu không thấy báo lỗi ǵ tức là bạn đă xoá thành công.
Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB
Tất nhiên là mọi chuyện không đơn giản như những ǵ ḿnh đă tŕnh bày, sẽ có nhiều sự cố về sau nữa như là xoá xong th́ có lại,hoặc không thể kết thúc tiến tŕnh virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lư.
Theo XHTT