Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 1)
Phần 1: Phòng và tìm virut
Khi virus hoạt động chia làm 2 trường phái,một là âm thầm chạy, không bộc lộ ra một triệu chứng hay dấu
vết nào (mang tính đánh cắp thông tin), loại khác là chạy cực kì sung sức, thực hiện nhiều hành động phá
hoại công khai, chiếm nhiều tài nguyên của bộ xử lý (mang tính phá hoại). Có khi bạn mở Task manager ra
thấy "CPU usage" luôn ở mức trên 90% trong khi máy đang không hoạt động gì cả, chạy cực kì chậm.
Lý do là vì virus đã giả dạng là một ứng dụng hệ thống của hệ điều hành windows (ví dụ như là svchost.exe
thì nó giả là svchoost,svhost,taskmgr.exe thì nó giả là taskmgrz.exe - một loại back door) và lén chạy nền.

Lúc này, bạn cần phải ra tay tiêu diệt lũ chuột bọ đang hoành hành phá hoại. Các công cụ cần thiết để tiến
hành công việc, đã có sẵn trong Windows, chỉ cần vào start - run - gõ tên ứng dụng đó
1. msconfig //Công cụ quản lý các dịch vụ,driver,ứng dụng tự khởi động
2. cmd //Môi trường điều khiển máy tính = chế độ dòng lệnh
3. regedit //Công cụ chỉnh sửa registry - một cơ sở dữ liệu các cấu hình,thông số của windows
4. notepad //Trình soạn thảo
5. gpedit.msc //Quản lý các thông số,cấu hình dc thiết lập trong Windows
6. taskmgr //Task manager,công cụ quản lý các tiến trinh đang hoạt động
Phòng "sâu bệnh"
Tất nhiên phương pháp đơn giản nhất mà ai cũng biết đó là cài đặt các chương trình antivirus như là
Norton,McAfee,BKAV,... và để ở chế độ tự bảo vệ (auto protect). Nhưng ở đây chúng ta phòng bằng tay nên
sẽ tập trung vào những kĩ năng, kinh nghiệm cần có để cảnh giác và đề phòng.
Nguyên tắc để lây nhiễm của virus là tự nhân bản và sao chép chính nó thông qua các phương tiện lưu trữ
như : đĩa cứng,flash USB,đĩa mềm...Và thông thường chúng sẽ được tự nạp vào hệ điều hành mỗi khi khởi
động xong.
Như vậy, để phòng ngừa thì các bạn cần ngăn cản không cho virus xâm nhập vào, bằng cách tăng cường
cảnh giác :
- Không nên double click chuột để mở một thiết bị lưu trữ nào đó trong windows explorer,nhất là đối với
flash USB (virus hay lây lan qua đường này nhất),mà các bạn nên click phải chuột,chọn "explore" từ menu
ngữ cảnh, hoặc truy nhập vào từ thanh Address trên toolbar (nhấn phím F4).
Bởi vì khi bạn double click để mở 1 thiết bị lưu trữ,windows sẽ gọi ứng dụng được khai báo trong file
autorun.inf (dòng OPEN=...) , và nếu ứng dụng này là virus thì như vậy virus đã được kích hoạt chạy,nó sẽ

-\Windows\system32\drivers\...
Và thường được ngụy trang rất kín đáo. Sau đây là một số cách ngụy trang phổ biến của virus:
-Giả làm ...folder (là file thực thi .exe nhưng bề ngoài mang thuộc tính icon là folder) thế là bạn tò mò mở
xem: "ủa thư mục nào lạ thế nhỉ?"
-Giả làm ... file tài liệu : virus có thể "dụ khị" bằng cách đặt tên file có 2 đuôi,ví dụ như là tailieu.txt.exe với
icon là của file text,nhìn vào bạn sẽ lầm tưởng là file text vô hại và tò mò mở ra xem thế là "dính chưởng".
-Giả làm ... các ứng dụng hệ thống trong windows như msconfig,task manager với các tên file thực thi gần
giống,ví dụ như taskmgr.exe (thật) -> taskmgrz.exe (giả),svchost.exe (thật) -> svchoost.exe,svhost.exe
(giả)
Các bạn nên thường xuyên vào những khu vực này để kiểm tra. Nếu phát hiện có những ứng dụng lạ nào
vừa được thêm vào mà mình không hề biết nó về thuộc chương trình nào thì hết 99% có thể là virus.
Thủ thuật tìm và diệt virus máy tính bằng tay (Phần 2)
Phần 2 Xử lý virus
Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài windows) thì bạn cần bảo đảm 6 công cụ
chính ở trên vẫn hoạt động tốt (không bị cấm, bị lỗi,...). Thường thì các virus "thú dữ" sẽ khoá các công cụ ở trên,hay gặp nhất là khoá task
manager và regedit
Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter)
Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Cách 4: Dùng Group Policy Editor

Sau đó gõ regedit, tìm đến khóa này
Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced
Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.
Nếu không khóa run trong REGISTRY thì tham khảo cách sau:
Click chuột phải vào thanh taskbar rồi chọn
Properties -> StartMenu -> Customize...->>Advanced-> kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ dấu tich đi rồi ấn OK là được.
Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu tick vào là được.
-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ...ẩn
lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL
Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.
Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực.

ẩn/hiện Folder Option
Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows
Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item
from the Tools menu".
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để
thoát ra ngoài.
Ngoài ra bạn cũng nên tắt chế độ Autoplay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off
Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver).