Tìm và diệt các tiến trình virus đang chạy
Vì Task Manager đã bị tắt (Disable) hoặc Task Manager không hiện hết các tiến trình (processes) đang chạy nên bạn sẽ dùng một chương trình khác của hãng thứ ba như Process Viewer hay ProcessExplorer. Bài viết này sử dụng Process Viewer.
Khởi chạy Process Viewer, bạn sẽ thấy có nhiều tiến trình đang chạy. Điều cần làm là xác định được tiến trình nào là của Windows, tiến trình nào là của virus. Để xác định, bạn dùng Process Viewer và nhắp vào bất cứ tiến trình nào đang chạy, ở thanh trượt ngang của Process Viewer sẽ hiện ra tên của nhà sản xuất ra phần mềm. Như vậy đây là tiến trình an toàn. Với các tiến trình không hiện ra tên của nhà sản xuất như Unikey chẳng hạn, bạn cũng đừng vội khẳng định chương trình này là virus. Để kiểm tra kỹ hơn, bạn dựa vào tên của tiến trình đang chạy, địa chỉ của tiến trình đang chạy.
Lấy ví dụ tiến trình của file SSVICHOSST.exe đang chạy trong một máy bị nhiễm virus. File SSVICHOSST.exe (hoặc tên khác) sẽ có biểu tượng giống thư mục nên bạn sẽ dễ nhầm tưởng file SSVICHOSST.exe là thư mục SSVICHOSST. Do đó, khi nhắp vào bạn lại chạy virus SSVICHOSST.exe. Nếu dùng một chương trình nào đó thay đổi giao diện Windows như Style XP, bạn sẽ dễ dàng nhận ra sự khác nhau về màu sắc của thư mục và icon của file exe (hình 1).
Trong Process Viewer, bạn dùng tổ hợp phím Ctrl + chuột trái để chọn tiến trình SSVICHOSST.exe, nhấn chuột chọn Kill để loại bỏ tiến trình đang chạy.
Tắt tính năng tự chạy của virus (SSVICHOSST.exe)
Ở Process Viewer bạn click vào Tools > Auto Runs (hình 2). Bạn bỏ chọn ở hộp dấu kiểm của tiến trình SSVICHOSST.exe để không cho SSVICHOSST.exe chạy mỗi khi bạn khởi động máy.
Sửa chữa hậu quả virus gây ra
Đối với Windows, sau khi diệt và tắt tiến trình tự chạy của virus, bạn hãy chạy file RRT.exe. Nếu Registry Tools, Task Manager, Folder Options có màu đỏ tức là virus đã tác động và tắt các chức năng trên. Bạn nhắp vào dấu kiểm Auto Remove để RRT gỡ bỏ tự động. Bạn vào Start > Run > Regedit để khởi chạy Registry Editor, nhắp vào Edit > Find (Ctrl+F) và tìm với từ khóa SSVICHOSST.exe (hình 3).
Bạn hãy xóa hết những từ khóa liên quan đến SSVICHOSST.exe do Registry Editor tìm được. Riêng khóa sau: [HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe SSVICHOSST.exe” Bạn sửa thành [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”Explorer.exe “ Đặc biệt, bạn xóa hết khóa [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “Yahoo Messengger” = ” C:\\WINDOWS\\system32\\SSVICHOSST.exe”
Virus ẩn hàng loạt file thư mục trong ổ đĩa
Khi rơi vào tình huống này, bạn thấy ổ đĩa hoàn toàn trống rỗng trong khi dung lượng sử dụng vẫn còn. Thay vì phải làm thủ công bằng cách bỏ thuộc tính ẩn của từng file, thư mục, bạn hãy dùng chương trình FixAttrb của BKAV, chạy FixAttrb và chọn ổ đĩa bị virus làm ẩn các file và thư mục. Nhắp vào ổ cần bỏ thuộc tính ẩn và chọn OK. Bạn hãy đợi một chút để FixAttrb loại bỏ thuộc tính ẩn của file và thư mục. Thời gian nhanh hay chậm phụ thuộc vào độ lớn của đĩa, thư mục bị ẩn.
Không mở được ổ cứng, USB bằng cách nhắp đúp chuột
Thông thường để mở ổ cứng hoặc ổ USB, bạn thường nhắp đúp chuột vào ổ đĩa. Khi máy bị nhiễm virus Autorun, việc nhắp đúp chuột vào ổ đĩa sẽ kích hoạt virus Autorun. Bạn sẽ nhận thông báo lỗi giống như “Window cannot access the specified device, path, or file. You may not have the appropriate permissions to access the icon”. Khi đó bạn chỉ có thể mở được ổ đĩa bằng cách nhắp chuột phải, chọn Open, chạy file AutorunFix.exe và chọn Fix Autorun.
Sau khi khởi động lại máy tính, bạn có thể nhắp đôi vào thư mục một cách bình thường. Để phòng chống các virus phát tán qua thanh nhớ USB (trong trường hợp máy tính chưa cập nhật bản diệt virus mới hay bị virus vô hiệu), bạn có thể vô hiệu hóa tính năng AutoRun của Windows bằng phần mềm Disable Autorun.
Virus đổi status trên Yahoo! Messenger
Khi bị nhiễm virus, status của Yahoo!Messenger sẽ thay đổi và liên tục gửi link chứa virus đến bạn bè. Để xóa bỏ các đoạn status này, bạn cần thoát khỏi Yahoo! Messenger nếu đang online và sử dụng phần mềm nhỏ Clear Status để xóa hết status. Thủ thuật trong bài viết tuy không thể diệt hết các virus nhưng có thể làm cho virus ngừng chạy. Các file khác của virus có khi vẫn còn, vì vậy bạn nên sử dụng một chương trình quét virus mạnh để quét lại và thường xuyên update chương trình. Bài viết này chỉ đề cập đến virus có tên là SSVICHOSST.exe (IMWorm. Win32. Sohanad.t) nhưng bạn có thể áp dụng cách này để diệt các virus lây qua USB, Ym khác.
Link download: Process Viewer, AutorunFix, FixAttrb, RRT, Clear Status, Disable AutoRun, Autoplay Repair với dung lượng 604 KB tại: www.box.net/shared/lfa8t66k56
Kinh nghiệm sử dụng
Nên quét virus khi bạn cắm USB vào máy hay mỗi khi download phần mềm mới (quét thư mục chứa phần mềm mới). Không nên nhấp đôi chuột vào ổ USB.
Nên có sẵn một số phần mềm Portable diệt virus, quản lý file (Total Commander, Win NC…), chương trình Process Viewer (ProcessExplorer ) để diệt các virut đang chạy và chương trình AutorunFix, FixAttrb để lấy lại các file, thư mục bị ẩn, xóa các file autorun trên USB.
Theo Thegioi @/Quantrimang
Filed under: Virus | Leave a comment »
thanhbinh81
thanhbinh's Weblog 