Để diệt virus bằng tay ,chúng ta cần dùng 1 công cụ nhỏ gọn mà rất lợi hại là
Hijack This.
Phần 1: Sử dụng Hijack This
1. Download: http://www.merijn.org/files/hijackthis.zip
2. Chạy Hijack This: Sau khi download về, bạn chỉ việc giải nén vào 1 folder nào đó (C:Program FilesHijack This chẳng hạn). Sau đó, chỉ việc chạy file HijackThis.exe
3. Scan hệ thống và tạo file log:
Nếu khi khởi động Hijack This thì hãy nhấn: Do a system scan and save a log file. Khi đó, bạn sẽ thấy 2 cửa sổ sau:
+ Đầu tiên là cửa sổ chính của Hijack This trong đó chứa những thứ mà Hijack This phát hiện được, đây chính là nơi mình có thể dùng để chỉnh, xóa các key ngoại xâm:
+Cửa sổ thứ 2 chính là file log mà chương trình tạo ra. Đây là nội dung cần thiết nếu bạn muốn post lên forum để nhờ mọi gnuwwoif hoặc mình kiểm tra cho bạn
Phần 2: Các cách để nhận biết key nào dùng được, key nào có hại...
Sau khi đã có file log rồi, thì việc tiếp theo của bạn là cần xem key nào cần để laị, key nào cần bỏ đi, key nào là spy, key nào là troijan....
Để làm được việc naỳ, đòi hỏi bạn phải có nhiềukinh nghiệm. Đây là lý do vì sao hồi giờ tớ không post huớng dẫn chung. Hôm kia tớ phát hiện 1 công cụ cho phép phân tích file log, với công cụ này, công việc sẽ dễ dàng hơn nhiều.
Ví dụ đây là 1 logfile
Code |
Logfile of HijackThis v1.99.1 Scan saved at 10:21:35 chiều, on 30/5/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:Program FilesBkav2002Bkav2002.exe C:Program FilesISTsvcistsvc.exe C:WINDOWSdamahvby.exe C:Program FilesCommon FilesRealUpdate_OB ealsched.exe C:WINDOWSVM_STI.EXE E:VanphongUNIKEY v3.6UNIKEYUNIKEY.EXE C:WINDOWSsystem32driversCDAC11BA.EXE C:WINDOWSsystem32svchost.exe C:WINDOWSsystem32CAP3RSK.EXE C:WINDOWSSYSTEM32SPOOLDRIVERSW32X863CAP3SWK.EXE C:WINDOWSSystem32svchost.exe C:Program FilesBullsEye Network |
Bạn chỉ việc đưa copy toàn bộ và đưa lên diễn đàn
Cách remove các key và các spyware khỏi máy...
Sau khi đã xác định được những key hay file nào có haị, là spy, malware, troijan... thì bạn tiến hành theo các bước sau để diệt trọn ổ...
1. Vào add/remove program, tìm xem có chương trình nào lạ không.
-Khi máy tính bạn vừa được cài đặt và chạy ổn định, bạn cần xem thử máy bạn có gì trong naỳ (nếu đã lỡ wên không xem thì thôi, cũng chẳng sao). Nếu đã xem qua, thì giờ naỳ, chương trình nào lạ thì bạn biết ngay.
-Nếu bạn không chắc là chương trình nào là ngoaị xâm, bạn nên chép nguyên cái tên chươg trình đó vào google để search xem người ta nói gì về chương trìh bạn nghi ngờ. Nếu người ta bảo là spyware, malware... thì đánh dấu nó nhé...
-Bạn nên chú ý đến những chương trìh có tên có chữ: toolbar, search, optimize, 1800.... đó thườg là spyware...
2. Ngắt kết nối internet.
3. Vào add/remove program, unistall mấy chương trình lạ đã xác minh ở bước 1. Khi uninstall, nếu nó đòi connect internet thì đừng connect, cứ nhấ OK là được... Nếu nó đòi restart lại máy thì đừng có restart (nhấn NO)
4. Tiếp theo, bạn chạy lại Hijack This, scan xong, xem thử còn key nào có hại (đã xác minh ở phần 2) còn sót lại hay không. Nếu còn, thì bạn chọn nó và nhấn fix check. Có những trường hợp cần chú ý sau:
-Nếu bạn chọn 1 key O4 nào đó, thì bạn chú ý đến cái tên file của nó và xem nó nằm chỗ nào (nhìn vào phần running processes để xem địa chỉ của file đó). Sau đó, bạn vào Task Manager, vào thẻ Processes để tắt file đó đi. Tiếp theo, tìm đến đúng chỗ của file đó, và xóa file đó đi...
-Nếu bạn chọn 1 key O23, thì bạn nên chú ý đến tên file chương trình đi kèm với nó (nhìn vào phần running processes để xem địa chỉ của file đó). Sau đó, bạn vào Task Manager, vào thẻ Processes để tắt file đó đi. Tiếp theo, tìm đến đúng chỗ của file đó, và xóa file đó đi...
-Nếu bạn chọn 1 key nào mà có file đi kèm là .dll hay .html thì bạn cần chú ý địa chỉ của file đó. Tiếp theo bạn tìm đúng vị trí của nó và xóa nó luôn đi...
5. Khởi động lại maý, chạy Hijack This lần nữa, nếu vẫn thấy còn, bạn hãy làm các bước trên trong safe mode (nếu muốn khỏi mất công, bạn nên làm trong safe node ngay từ đầu)
Những điều bổ xung thêm...
1. Nếu registry bị khoá, hãy làm như sau để mở ra:
- Start-Run-cmd (hay Command, tuỳ win) để vào màn hình đen xì. Copy đoạn code này paste vào đó:
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f
(Chỉ việc chuột phải để paste, nếu hổng paste đc thì gõ vậy)
Sau khi enter, nếu nó báo successful thì OK, registry của bạn đã đc mở...
Nếu báo lỗi thì có nghĩa là máy của bạn không có tập tin Reg.exe, lúc này bạn chĩ cần download tập tin này tại: http://share2net.com/store/079reg.exe về đổi tên thành reg.exe rồi chép vào ổ C: hoặc đi chép từ 1 máy win xp nào đó (trong folder system32)
sau đó gõ lệnh hay chép lệnh này vào màn hình đen xì ở trên)
C:REG.EXE add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f rồi enter...
2. Nếu Task Manager bị khóa thì làm như sau để mở:
registry viết:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Name: DisableTaskMgr
Type: REG_DWORD
Value: 0
(st)
Cách diệt virus bằng tay hiệu quả 90% hơn cả bkav |
Trước hết hết dùng chương trình process explorer http://www.google.com/search?hl=en&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=process+explorer&spell=1 |
del hết chương trình virus chạy trong bộ nhớ |