Tùy theo “nguyên tắc lây lan”, người ta thường chia virus làm ba loại: B (boot virus) lây lan vào các đoạn mã khởi động của đĩa cứng, F (file virus) lây lan vào các tập tin thực thi (có phần mở rộng là COM hoặc EXE), và M (macro virus) lây lan vào tập tin ứng dụng văn phòng (như Microsoft Word, Microsoft Excel...). Ngày nay người ta ít thấy các loại B hoặc F, thay vào đó là các loại sâu trình (worm) có cơ chế lây lan khác với B-virus và F-virus truyền thống. Đầu tiên, chúng lẻn vào máy dưới dạng các tập tin thực thi. Khi được kích hoạt, chúng đăng ký vào Registry của Windows để có thể tiếp tục hoạt động trong những lần khởi động máy tính tiếp theo. Để tìm và diệt virus máy tính bằng... tay không, bạn có thể làm theo từng bước sau đây:
1. Diệt các loại B-virus:
Để diệt B-virus trên đĩa cứng, cần làm sạch các mẫu tin khởi động là MBR (Master Boot Record) và DBR (DOS Boot Record). Việc đầu tiên là khởi động máy tính bằng đĩa mềm cứu hộ (Rescue Boot Disk) sạch. Sau đó thực hiện các bước tiếp theo:
- Làm sạch MBR: Tại dấu nhắc của DOS, gõ lệnh FDISK /MBR (có một khoảng trắng trước dấu /). Lệnh này không làm thay đổi cấu trúc phân vùng của đĩa cứng, nó chỉ ghi lại đoạn mã chuẩn của MBR. Sau khi gõ xong lệnh này, bạn có thể an tâm không còn virus nào trên MBR đĩa cứng.
Lưu ý: Đối với các ổ đĩa có sử dụng trình điều khiển thiết bị như Ontrack hoặc LILO driver thì không nên sử dụng lệnh FDISK /MBR.
- Làm sạch DBR: Tại dấu nhắc của DOS, chuyển sang ổ đĩa mềm (A:) và gõ lệnh SYS C:
Lưu ý: Lệnh này chỉ áp dụng được cho các ổ đĩa FAT/FAT32.
2. Diệt các loại virus macro:
Việc phát hiện các loại virus macro rất đơn giản, vì các chương trình như Microsoft Word hoặc Excel đã hỗ trợ tính năng này. Bạn chỉ cần bật tính năng đó lên là được. Cách làm có thể khác nhau đối với từng phiên bản của bộ Microsoft Office. Đối với Microsoft Word 2000 hoặc Excel 2000, chọn menu Tools -> Macro -> Security, trong thẻ Security level chọn High hoặc Medium. Khi bạn đã bật tính năng này lên, nếu tập tin được mở có chứa macro, chương trình sẽ hiển thị hộp thoại cảnh báo và người dùng có thể chọn lựa cho phép macro hoạt động hay không. Nếu bạn không chắc tài liệu đó là an toàn thì không nên kích hoạt nó. Sau đó, có thể vào menu Tools -> Macro -> Macros, chọn macro nghi ngờ, bấm nút Delete để xóa. Thậm chí, bạn có thể vào Tools -> Macro -> Visual Basic Editor để xem hoặc xóa mã nguồn của nó.
Lưu ý: Một số macro có khả năng che giấu tên/mã lệnh của nó để tránh bị phát hiện. Tuy nhiên, virus macro không thể vô hiệu chức năng cảnh báo virus của Microsoft Office trước khi được kích hoạt.
3. Diệt các loại sâu (worm):
Như đã nói ở trên, các loại virus bây giờ đa phần đều tự tạo cho mình một khóa trong registry để hoạt động cùng với sự khởi động của máy tính. Để biết có virus đang chạy trong Windows hay không, trong Windows 9x/ME ta nhấn tổ hợp phím Ctrl+Alt+Del để xuất hiện hộp thoại Task List, danh sách các chương trình đang chạy sẽ hiển thị trong đó. Trong Windows NT/2K/XP làm tương tự, chọn thẻ Process. Nếu bạn là người thường xuyên quan tâm và để ý đến các chương trình chạy trong máy tính của mình, bạn sẽ dễ dàng phát hiện khi có một chương trình lạ xuất hiện. Chọn End Task hoặc End Process để dừng chương trình đó, sau đó chạy MSCONFIG.EXE để xem các chương trình nào được chạy lúc máy khởi động. Trong MSCONFIG, bạn có thể cấm không cho chương trình đó chạy nữa. Bạn có thể xóa tập tin của nó đi, hoặc để an toàn hơn, bạn có thể di chuyển nó sang một thư mục khác. Nếu máy tính của bạn vẫn hoạt động bình thường sau đó, bạn có thể xóa nó đi vĩnh viễn.
Tuy nhiên, dùng Task List và MSCONFIG trong Windows 98 không phải lúc nào cũng thành công. Bản thân tôi đã từng gặp phải nhiều con virus “thông minh” (hay chính xác hơn là “xảo quyệt”) đến mức nó tự ẩn đi trong Task List và cả trong MSCONFIG. Khi đó, nếu bạn nhấn Ctrl+Alt+Del hoặc mở MSCONFIG để xem thì chẳng phát hiện điều gì bất thường cả. Để biết chính xác có những chương trình nào đang chạy trong Windows 9x/ME, bạn chạy chương trình System Information (có trong menu Start -> Programs -> Accessories -> System Tools), chọn Software Environment -> Running Task. Tất cả các chương trình đang chạy đều được liệt kê ở đây. Ngoài ra, đối với chương trình tự ẩn luôn khóa khởi động của mình trong MSCONFIG, bạn phải trực tiếp mở Registry (bằng lệnh REGEDIT), chuyển đến khóa:
“HKEY-LOCAL-MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run”
hoặc
“HKEY-CURRENT-USER\Software\ Microsoft\Windows\CurrentVersion \Run”
t các khóa của các chương trình nghi ngờ và xóa đi. Để cho an toàn, bạn có thể vào menu File -> Export trong REGEDIT để lưu trữ nội dung của các khóa Registry trên trước khi thay đổi nó.
Lưu ý: Các công việc trên đây đều ít nhiều liên quan đến Registry và các tập tin của hệ thống, nên bạn phải cẩn thận khi làm, tránh trường hợp hệ thống bị ảnh hưởng do sự nhầm lẫn vô tình. Luôn luôn sao lưu trước khi thay đổi bất cứ điều gì là một ý tưởng tốt. Hy vọng các bạn sẽ tự tin và thành công.
LỜI BÀN CỦA “HIỆP SĨ CHỐNG VIRUS” TRƯƠNG MINH NHẬT QUANG:
Virus máy tính có rất nhiều cách thức lây nhiễm, phá hoại với nhiều thủ đoạn tinh vi xảo quyệt. Hiện nay trên thế giới chưa tìm ra giải pháp ngăn chặn triệt để tình trạng lây lan của virus trong cộng đồng người sử dụng máy tính. Để phòng chống virus, bạn cần sử dụng các công cụ anti-virus cũng như trang bị một số kiến thức để tự bảo vệ máy tính khỏi sự tấn công của virus. Bài viết “Kinh nghiệm diệt virus bằng tay không” của bạn Võ Nguyễn Đình Nguyên minh họa cho công tác tự phòng vệ máy tính. Tuy nhiên, các bạn nên sử dụng cả hai phương pháp: chọn sử dụng ít nhất một công cụ anti-virus canh phòng (cho chạy thường trú 24/24), kết hợp với kinh nghiệm bản thân, máy tính của bạn sẽ an toàn hơn.
BKAV forum:
tình hình là thế này:dạo này tui thấy bác BKav diệt kém hiệu quả quá,tui thấy có nhiều con virus rõ ràng nằm chình ình trong máy mà bác ấy cứ khăng khăng là virus not found mà có diệt cũng không triệt đẻ.=>tui bây giờ toàn chơi băng f tay cho tiện.BÁc nào thích thì tham gia ý kiến cho nó hoàn thiện tay nghề anh em nhé
trước hết anh em cần phải biết cách xóa các file không cho xóa trong win đa nhỉ:vốn có một số file đc win bảo vệ thường khi ta xóa thì nó sẽ thét vào mặt ta rằng file này nó ko cho xóa và virus thường lợi dụng điểm đó để ngăn ko cho ta xóa nó,ngoài ra các con virus còn khéo léo đặt thêm chức năng file ẩn nũa nên thường ta ko xóa đc nếu có vô tình phát hiện ra nó.Từ suy nghĩ trên tui đã tìm hiểu và phát hiện trong đos có một lệnh rất hay cho phếp ta xóa hầu như mọi file ngay trong win thông qua cửa sổ command.
lệnh 1 : xem file,kể cả các file ẩn:dir <đường dãn đến thư mục cần xem> /a:h
lưu ý giữa đường dẫn và /a:h có dấu cách
lệnh 2 : xóa file bắt buộc
thực ra tùy chọn /a:h là lựa chọn file ẩn
/f:là tùy chọn lệnh ép buộc
nếu bạn biết kết hợp hai tùy chọn này thì bạn sẽ có một lệnh xóa rất mạnh
ví dụ bạn muốn xóa file rose.exe
del rose.exe /a:h /f
vậy đã nhé
kỳ sau tui sẽ hướng dẫn bạn cách lần ra dấu vết một con virus tồn tại trong máy
Cách thức truy tìm sự tồn tại của một virus
Điều đầu tiên trước khi đi vào bài viết tôi muốn các bạn cần phải nắm vững cách sử dụng 3 công cụ phổ biến của window:msconfig,task manager và regedit
1/Msconfig
Để mở chương trình bạn làm như sau:vào start->run->gõ msconfig
Trong chương trình,bạn chỉ cần chú ý đến tab startup,tại đây sẽ liệt kê toàn bộ những chương trình nào sẽ khởi động cùng window khi bạn tiến hành bật máy.Bạn để ý sẽ thấy,những dòng nào có đánh dấu là chương trình đó được thiết đặt mặc định khởi động cùng window một cách tự động,và ngược lại thì tức là chức năng đó đã bị tắt.
Sau đây là ý nghĩa một số cột trong tab startup:
Startup item:tên chương trình khởi động
Command:dòng lệnh khởi động chương trình,qua cột này bạn có thể tìm ra đường dẫn chứa chương trình
Location:khoá của chương trình được lưu trong registry,bạn có thể tìm thấy khoá tương ứng trong registry của chương trình
2/Task manager(TS):
Để mở chương trình bạn làm như sau:nhấn tổ hợp ctrl+alt+del
Chức năng chính của chương trình là giám sát các chương trình đang chiếm dụng tài nguyên bộ nhớ và CPU.Ở đây bạn chỉ cần chú ý đến tab processes,tab này sẽ liệt kê toàn bộ các chương trình đang chạy(image name),người dùng kích hoạt chương trình(user name),tài nguyên cpu đang bị sử dụng(CPU) và lượng bộ nhớ mà chương trình chiếm giữ(mem usage).Thông qua TS bạn có thể tắt chương trình nào đó đi nếu như nó gây treo máy bằng cách thông qua tab Application,nếu bạn thấy chương trình nào có status là not responding thì tức là chương trình đó đang gây treo máy,để tắt chương trình đi bạn háy bấm phải vào chương trình đó,chọn go to process. Chương trình sẽ đưa bạn đến đúng process tương ứng và bạn tiếp tục bấm phải vào process vừa hiện ra đó chọn end process là xong
3/regedit
Để mở chương trình bạn làm như sau:vào start->run>gõ regedit
Đây là một phần khá quan trọng nên tôi xin phép nói rõ ở một phần khác.
này nhé bạn thử vào run gõ cmd rồi từ đó gõ:
dir c: /a:h xem
bảo đảm có gì là nó vạch cho mình xem hết đố thằng virus nào trốn đc đấy
mình đã thử nhìu và đã thành công đó thôi,bảo đảm 100% đó
