NHẬN BIẾT MÁY TÍNH BỊ NHIỄM VIRUS

Nhận biết máy tính bị nhiễm virus



Sau khi xâm nhập vào hệ thống, một số máy virus lập tức thực hiện việc phá hoại. Số khác lại ẩn nấp, âm thầm lây lan sang những máy tính khác, chờ đợi giờ G để đồng loạt "tổng tấn công" khiến người dùng trở tay không kịp; điển hình như virus CIH, Melissa. Một số hiện tượng thường gặp khi máy tính nhiễm virus: Có những triệu chứng bất thường như đĩa cứng bị truy cập liên tục; hệ thống hoạt động ì ạch; một số trang web lạ, popup quảng cáo tự động nhảy ra khi bạn làm việc. Nếu sử dụng Windows NT/2000/XP, bạn có thể tham khảo thông tin trong Windows Task Manager như CPU Usage luôn ở mức 100%, xuất hiện một số tập tin thực thi lạ trong tab Processes của Windows Task Manager .Quét virus



Khi đã nghi ngờ hệ thống nhiễm virus, bạn cần tìm phần mềm để kiểm tra và tiêu diệt chúng. Lưu ý: phòng chống virus trước khi chúng xâm nhập vào hệ thống bao giờ cũng đơn giản hơn việc tiêu diệt chúng. Bài viết "Vũ khí chống Virus mới" (ID: A0603_90) giới thiệu 10 sản phẩm chống virus tốt nhất có thể chống đỡ cả những hiểm họa đã biết lẫn chưa biết. Mỗi sản phẩm đều có những điểm mạnh yếu khác nhau từ miễn phí cho đến có phí để bạn tự mình chọn lựa phần mềm thích hợp.

Sau khi lựa chọn phần mềm phù hợp, bạn cần cài đặt chúng vào hệ thống. Một số virus "quỷ quái" đến mức sau khi lây nhiễm vào hệ thống, chúng ngăn chặn người dùng cài đặt hoặc khống chế luôn những phần mềm này để không phát hiện được chúng, ngăn chặn việc truy cập đến website của nhà sản xuất. Nếu không cài đặt được ở chế độ Normal trong Windows, hãy thử cài đặt ở chế độ Safe mode. Để khởi động máy tính trong chế độ Safe mode, thực hiện như sau:

1. Sử dụng System Configuration Utility hoặc nhấn phím F8 trong quá trình khởi động Windows để vào chế độ Safe mode.

- Đóng tất cả các ứng dụng đang sử dụng.

- Chọn Start. Run. Gõ dòng lệnh msconfig và nhấn Ok để mở cửa sổ System Configuration Utility

- Trong tab BOOT.INI, đánh dấu tùy chọn /SAFEBOOT trong mục Boot Options
- Nhấn Ok và chọn Restart để xác nhận việc khởi động lại máy tính để vào chế độ Safe mode.

Lưu ý:

Khởi động lại máy tính trong chế độ Normal: Thực hiện các bước trên và bỏ tùy chọn /SAFEBOOT trong mục Boot Options.

Cập nhật danh sách virus. Như đã đề cập bên trên, nếu không thể truy cập đến các website của nhà sản xuất, không thể cập nhật danh sách virus (virus definition) trực tuyến; bạn hãy tải chúng về từ máy tính khác để cập nhật.

Tắt System Restore. Nếu sử dụng Windows ME hoặc XP, bạn nên tắt tính năng System Restore khi máy tính bị nhiễm virus. Mặc định trong Windows ME và XP, tính năng này được kích hoạt để giúp bạn khôi phục hệ thống khi gặp sự cố. Các phần mềm chống virus không thể quét được thư mục System Volume Information, nơi System Restore lưu trữ những tập tin, thư mục giúp khôi phục hệ thống. Vì vậy sẽ xảy ra tình trạng "tái nhiễm" virus khi System Restore phục hồi hệ thống các bản lưu trữ bị nhiễm virus.

Để tắt System Restore trong Windows XP, thực hiện như sau:

- Nhấn phải chuột trên My Computer, chọn Properties

- Trong cửa sổ System Properties, tab System Restore, đánh dấu tùy chọn Turn off System Restore on all drivers và nhấn OK

- Chọn Yes khi xuất hiện yêu cầu xác nhận việc này.

Nếu sử dụng Windows ME, thực hiện như sau:

- Trên màn hình Desktop, nhấn phải chuột vào biểu tượng My Computer và chọn Properties.

- Trong cửa sổ System Properties, chọn Performance. File System. Troubleshooting

- Đánh dấu tùy chọn lên Disable System Restore và nhấn OK

- Chọn Close và Yes để khởi động lại Windows

Lưu ý: tắt tính năng System Restore đồng nghĩa với việc xóa tất cả các điểm khôi phục (restore points). Bạn hãy tạo thủ công một điểm khôi phục khi System Restore được bật trở lại.

Quét ở chế độ đầy đủ (full system scan). Thiết lập mặc định của một số chương trình phòng chống virus chỉ quét một số loại tập tin được chỉ định trước. Để chắc ăn, bạn nên thiết lập "full system scan" để máy tính được kiểm tra đầy đủ nhất. Một số lưu ý trong quá trình quét:

- Nếu gặp thông báo lỗi phần mềm không thể xóa được virus hoặc một tập tin nào đó của virus. Bạn hãy khởi động lại máy tính ở chế độ Safe mode và tiếp tục việc kiểm tra

- Kết thúc quá trình quét, chương trình sẽ đưa ra báo cáo tổng kết những virus được phát hiện và cách xử lý chúng. Nếu chương trình không thể diệt được một vài loại virus nào đó, bạn thử diệt chúng một cách thủ công. Sử dụng công cụ tìm kiếm với từ khóa là tên virus đó, bạn sẽ tìm thấy những thông tin hướng dẫn cách tiêu diệt tại một số website nhà sản xuất phần mềm phòng chống virus.

- Sau khi khởi động lại Windows trong chế độ Normal, nếu gặp thông báo lỗi tương tự như "Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search". Ví dụ: với virus W32.Lecna.A, bạn sẽ gặp thông báo lỗi không tìm thấy tập tin iexplore.exe. Đây là những "tàn tích" còn sót lại của virus W32.Lecna.A dù chúng đã bị diệt. Để xóa chúng, bạn cần tìm và xóa những khóa do virus này thêm vào trong Registry. Chúng tôi vẫn lưu ý bạn đọc nên sao lưu Registry trước khi bạn "đụng" đến chúng.
Chọn Start. Run để mở cửa sổ DOS Prompt; gõ vào lệnh "regedit" để mở cửa sổ Registry Editor. Nếu gặp thông báo lỗi "Registry editing has been disable by your administrator",Tìm và xóa các khóa có liên quan đến spyware trong các nhánh sau:

- KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Xóa khoá "iexplore.exe" = "iexplore.exe" ở khung bên phải.

- HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentNetInf. Xóa khóa "hostid" = "[RANDOM NUMBER]" và "pid" = "[ENCRYPTED DATA]"

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Xóa khóa "forceguest" = "0"

Thoát khỏi Registry Editor và khởi động lại máy tính.

Cập nhật các bản sửa lỗi cho HĐH, phần mềm. Một số virus như W32.Blaster.Worm thường khai thác lỗ hổng trong dịch vụ Remote Procedure Call của HĐH Windows NT/2000/XP để phá hoại. Nếu sử dụng các phần mềm của Microsoft, bạn có thể cập nhật bản sửa lỗi từ http://www.microsoft.com/downloads/Search.aspx?displaylang=en, tránh tình trạng tái nhiễm sau khi quét.

Ba con oi, chang bit dao nay cum ga, cum heo gi no lay sang ca USB cua tui luon. Cai USB cua tui cung bi cum luon roi. Cu moi lan cam USB vao may tinh thi no tu dong shutdown may.
Tui dung cai MS DOS de scan no thi no khong nhan USB.
Chac la bi nhiem cum heo o ben Mexico roi. Ai co cach gi giup tui voi.
Thanh kiu`

USB của Oanh bị nhiểm "cúm heo" thiet rui , Oanh thử sử dụng chương trình USB Security và tắt chức năng Autorun của ổ đĩa trước khi gắn USB vô thử xem.

HIện tại máy mình đang bị nhiễm virus nặng lắm, giúp mình với.Máy mình mỗi khi khởi động vừa nhảy vào win tự động thoát ra khởi động lại, nhưng mình vào safemode thì không bị khởi động lại.
Không biết máy minh bị nhiễm virus gì nữa , các bạn giúp mình nha.Thanks

thuyhangnguyen đã viết:HIện tại máy mình đang bị nhiễm virus nặng lắm, giúp mình với.Máy mình mỗi khi khởi động vừa nhảy vào win tự động thoát ra khởi động lại, nhưng mình vào safemode thì không bị khởi động lại.
Không biết máy minh bị nhiễm virus gì nữa , các bạn giúp mình nha.Thanks

Nguyên Nhân
Vì một lý do nào đó mà giá trị
HKLC\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=C:\Windows\system32\userinit.exe
trong registry đã bị thay đổi hoặc khóa này đã bị xóa.

Khắc phục
Sử dụng đĩa Hiren Boot để sửa registry từ DOS(có khả năng sửa được với định dạng NTFS--mình đã test rồi)
- Sau khi boot bằng đĩa Hiren ta chọn chương trình "Offline NT password and Editor Registry" trong mục Password Tools.
- Chọn thư mục là C:\Windows\system32\config
- Hive đến file software
-Chuyển đến khóa Microsoft\Windows NT\CurrentVersion\Winlogon
-Kiểm tra giá trị Userinit bằng lệnh: ed Userinit (chú ý viết đúng Userinit)
-Nếu Userinit bị xóa hay bị thay đổi thì ta sửa lại về giá trị mặc định C:\Windows\system32\userinit.exe
- Thoát khỏi chương trình.
- Nhớ lưu lại các thay đổi.
Khởi động lại máy để thay đổi có hiệu lực.

Bình thường thì thực hiện như trên là thành công. Nhưng trong một số lần test của mình thì sau khi lưu lại các thay đổi nhưng chương trình báo là không lưu lại được do NTFS được mount ở chế độ Read-Only nên không sửa được registry. Nhưng khi chạy chương trình Vold..... (mình quên mất tên rồi) thì nó vẫn mount NTFS ở chế độ Read-Write được. Vì vậy đối với trường hợp này có thể giải quyết như sau:
-Sau khi boot bằng đĩa Hiren ta chạy vào DOS chứ không chạy ngay chương trình "Offline NT password...." như trên nữa.
- Ấn M để hiển thị danh sách các chương trình Hiren cung cấp.
- Chạy chương trình NTFS4Dos (Nhớ là phải ở chế độ Read-Write). Khi đó ổ NTFS sẽ được mount vào một ổ nào đó. Giả sử rằng đó là ổ E.
- Chạy chương trình CHNTPW từ danh sách các chương trình của Hiren Boot (nạp chương trình từ đĩa CD vào máy).
- Chuyển đến thư mục E:\Windows\system32\config
- Chạy lệnh sau: CHNTPW -e software
Sau đó tiến hành sửa registry như phần trên.
Sau đó boot lại máy.
Mình đã test và thấy các cách này hoàn toàn có thể sửa được lỗi Login bị Logout ra ngay. Nó còn dùng để sửa Registry tư DOS rất hiệu quả.