Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 2) - Bản có dấu.
Thu thuat tim va diet virus may tinh bang tay (Phan 2) - Bản không dấu.

Để có thể diệt được virus  bằng tay (tức là không dùng đến trình anti virus  hay các công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ chính ở trên vẫn hoạt động  tốt (không bị cấm, bị lỗi,...). Thường thì các virus  "thú dữ" sẽ khoá các công cụ ở trên,hay gặp nhất là khoá task manager  và regedit

Mở/khoá task manager

Cách 1: Vào Start - Run - Cmd, copy  đoạn lệnh sau, paste vào rồi Enter :

Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter)

Code:
HKEY_CURRENT_USER \ Software  \ Microsoft  \ Windows  \ CurrentVersion \ Policies \ System

Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị  thành 0.

Cách 3: Copy  đoạn code  này rồi save thành file có định dạng  là .reg rồi chạy file này

Code:
Windows Registry Editor Version  5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

Cách 4: Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates  - System  - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager  rồi thiết lập là Not Configured, xong rồi OK.

Mở/khoá regedit

Có 2 cách :

1. Mở Group Policy
(Start -> Run, gõ gpedit.msc) ằ User Configuration -> Administrative Templates  -> System->Prevent access  to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.

2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào

Code:
Windows Registry Editor Version  5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy

Mở/khoá Run trong Start Menu

Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:

1.Vào windows/system32/cmd.exe để mở cmd.

2.Start - Programs ->Accessories->Command Prompt
Sau đó gõ regedit, tìm đến khóa này

Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced

Tạo 1 giá trị  mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị  thành 0 nếu muốn tắt.

Nếu không khóa run trong REGISTRY thì tham khảo cách sau:

Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được.

-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ...ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục  như sau : vào Start - run - regedit và tìm đến khoá

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL

Chỉnh lại giá trị  "Checked Value" thành 1 để có thể hiện được các file ẩn.

Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực.

ẩn/hiện Folder Option

Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates  - Windows  Components - Windows  Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu".

Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để thoát ra ngoài.

Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer  Policy - User Configuration - Administrative Templates  - System  - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver).



Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bứơc tiếp theo là quan trọng  nhất : tìm xem virus  nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng.

Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng  được tự khởi động xem cái nào ...lạ.Sẽ có bạn hỏi " nhứ thế nào gọi là lạ?".Cái này còn tuỳ vào kinh nghiệm  sử dụng máy tính  của bạn,quan sát thật kĩ đường dẫn,tên của ứng dụng,... thì bạn sẽ bit thôi,và cũng xin nhắc với bạn là : windows  không bắt buộc phải nạp một trình ứng dụng  .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng  lạ nào tự chạy từ system32 như là hkcmd.exe,avpo.exe,svchoost.exe,... thì 90% đó là virus.



Vậy cách ly hay xoá virus  đi như thế nào? Hãy sử dụng cmd

Sau khi quan sát trong msconfig,thấy dc đưòng dẫn của virus  rồi thì bứoc tiếp theo là hãy bật task manager  lên để end process các tiến trình virus  ấy đi rùi tìm cách để cách ly hoặc xoá chúng ra khỏi máy.

Ví dụ,bạn quan sát thấy 1 file virus  .exe tự chạy là

Code:
c:\windows\system32\hkcmd.exe

Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ,... của file này = cách chạy lệnh

Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe

r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus  này đi

Sau đó hãy dùng lệnh del để xoá chúng đi



Code:
del c:\windows\system32\hkcmd.exe

Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công.

Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash  USB

Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại,hoặc không thể kết thúc tiến trình virus  trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos  thật rồi xử lý.

 

Bạn có ý kiến gì về bài viết Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 2) này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 2) bạn tại đây.