Hiện nay, có rất nhiều virus có nguồn gốc China tấn công vào Việt nam, gây ra rất nhiều phiền toái và rắc rối. Nếu không biết cách, rất nhiều các bạn không thể khôi phục các tính năng điều khiển Hệ thống cần thiết cũng như không thể xóa chúng đi được. Dưới đây là những kinh nghiệm của Lãng khách trong việc tìm và diệt các virus kiểu này bằng tay, khi mà Anti-virus không phát hiện ra, không làm gì hơn được nữa. Tất cả các thao tác này các bạn hoàn toàn có thể thực hiện ngay trong phiên khởi động hiện hành, không cần phải Logoff/Logon hay Restart PC gì cả. Bài viết này Lãng khách hướng dẫn diệt virus trước. Diệt malware phải có tool, Lãng khách sẽ trả lời trong một bài gần đây, cũng trong chủ đề này.
Chỉ cần theo sát 5 bước dưới đây:

1. Trước hết, các bạn cần logon ở acc thuộc nhóm Administrators. Sau đó, nếu REGEDIT đã bị disable, khôi phục bằng cách tải một trong 3 file UnHookexec (phải chuột chọn Install), KillXXX, regtmcmdrestore về chạy để mở lại REGEDIT. Riêng file regtmcmdrestore còn khôi phục hầu hết các tiện ích quan trọng khác nữa như Taskmanager...
2. Tải file Bật - Tắt autoruns Disable_Enable_All_Autoruns về để Tắt tính năng autoruns cho tất cả các ổ đĩa (bạn phải nhận được thông báo đã tắt). Và phần mở rộng của file(s) cũng sẽ được hiện ra nhằm giúp các bạn không nhận nhầm virus giả mạo theo biểu tượng.(*)
3. Tải file ShowAllHidden_Enable_Disable về chạy để bật hiện tất cả các files, folders ẩn trong máy của bạn (bạn phải nhận được thông báo đã bật) (**)
4. Tải file RemoveAllAttrib về giải nén ra thư mục bạn thấy tiện thao tác, có thể cùng chỗ virus luôn. Khi bạn thấy bất kì file virus nào (sau khi đã hiện ẩn) mà không thể xóa được, hãy dùng chuột nhấp và kéo thả vào biểu tượng file RemoveAllAtrib, ngay lập tức nó sẽ giúp bạn loại bỏ hết các thuộc tính bảo vệ file đó để bạn có thể xóa được bình thường ngay sau đó.
5. Tải file OpenWithNotePad về chạy để thêm lựa chọn mở file với NotePad vào Menu chuột phải, nhằm dễ dàng xem các file như autorun.inf gọi chạy file nào. Run Command cũng được mặc định khôi phục nếu bị disabled. Sau đó mở một file autorun.inf ở ổ đĩa gốc (nên bắt đầu ở ổ đĩa chứa HDH của bạn - Thông thường tất cả các ổ đĩa đều được virus tạo ra file autorun.inf) bằng notepad bằng cách truy cập menu phải chuột, chọn Open with NotePad, xem tên những file được gọi trong nội dung của nó, mở menu Search, tìm kiếm all files and folders theo lựa chọn nâng cao với tên file có được, tùy chọn là tìm với tất cả các file ẩn và file hệ thống. Xem ngày giờ tạo lập của các files (or folders) tìm được, tiếp tục Advanced Search các files (or folders) theo ngày giờ tạo lập đó. Chờ cho đến khi quá trình tìm kiếm kết thúc. Tự bạn sẽ phải xem và xác nhận được chúng có phải virus không? Nếu đúng, xóa thẳng tay bằng Shift + Delete tất cả những files, folders được bạn xác định là virus. Files (folders) nào không xóa được, kéo thả vào biểu tượng file RemoveAllAttrib ở bước 4 là sẽ xóa được.

Sau khi thực hiện được hết các thao tác theo ý muốn, các bạn nên để tất cả các ổ đĩa ở dạng NTFS, tiến hành tắt autoruns cho tất cả các ổ đĩa bằng file Disable_Enable_All_Autoruns.vbs ở bước 2. Sau đó tạo hoặc chuyển đổi acc thường xuyên sử dụng về nhóm Users Gr. để sử dụng nhằm tránh trường hợp lây nhiễm virus sẽ có quyền thay đổi thiết lập SYSTEM của bạn. Chỉ khi bạn muốn tiến hành cài đặt hoặc gỡ bỏ chương trình thì mới nên logon vào acc thuộc nhóm Administrators Gr..


(*):
Như các bạn đã biết, virus lây lan qua USB chủ yếu qua hình thức lợi dụng tính năng autoruns được bật theo mặc định. Có nhiều cách, theo đường tắt hay đường vòng, giúp chúng ta bật-tắt tính năng này. VBScript giúp Bật - Tắt tính năng Autoruns Lãng khách đã viết sẵn để giúp các bạn can thiệp vào Registry nhằm bật/ tắt tính năng autoruns trên tất cả các ổ đĩa trên máy tính của bạn chỉ với một cú nhấp đúp chuột. Nếu autoruns đang được bật, nhấp đúp chạy script sẽ giúp bạn tắt, còn nếu đang tắt, nhấp đúp vẫn script này sẽ giúp bật lại tính năng này. Script tuy rất đơn giản, nhưng sẽ có ích cho chúng ta trong khá nhiều trường hợp, đặc biệt là giúp các bạn tiết kiệm được rất nhiều thời gian .


(**):
Lãng khách biết trong rất nhiều trường hợp, các bạn muốn Enable Show all Hidden files and folders nhưng không thành công với nhiều lí do khác nhau (có thể là virus còn tồn tại trong hệ thống, hoặc còn có các thành phần của virus còn tồn tại trong hệ thống mà bạn chưa tìm ra dù virus đã được diệt). Tất nhiên, vẫn phải có "biện pháp mạnh" giúp cho ta có thể làm được điều này. Chạy Script ShowAllHidden_Enable_Disable.vbs sẽ lần lượt tắt hiện all hidden files and folder nếu nó đang bật, và ngược lại, sẽ bật lại nếu đang tắt.


Để mở rộng topic này ra một chút, khi các bạn muốn áp dụng để phát hiện và diệt bằng tay các virus, trojan, malware, spyware khác nữa, hãy xem thêm rep số 7:
http://www.vnpower.org/forums/index.php?s=...st&p=208501








Note:
Các bạn cũng có thể Restart Explorer.exe nhanh để xác lập ngay thay đổi trong Regedit, Gpedit bằng cách mở Run (Windows + R), nhập lệnh dưới đây rồi enter:
tskill explorer



Trường hợp lệnh Run bị khóa, mở Command Prompt :
Start –> All Programs –> Accessories –> Command Prompt

Nhanh thật, nhưng LK có cách nào ngăn chặn tình trạng "ké vào " như hình dưới đây này hem.
 choc_LK_01_chut.jpg ( 51.16K ) Number of downloads: 4

Sửa cái dòng này là được thôi! ^^!
Dòng kế cuối - trước cái End If đoá!

He he, vấn đề là ý tưởng thôi . Tại vì gần đây, Lãng khách thấy cư dân mạng ta thán hết xiết các vụ dính trojan, virus xuất xứ từ China. Ở cơ quan Lãng khách, các Laptop bị lây nhiễm hàng loạt qua đường USB, thế mà thậm chí các Anti-virus như AVG, Bit, KAV, vào cuộc cũng không đạt hiệu quả. KAV phát hiện cũng rất khá, nhưng không được 100%, thậm chí Lãng khách diệt bằng tay cũng không hết... . Điều này cho thấy virus China thật đáng để ý! Sử dụng Script trên của Lãng khách ở một quyền thuộc nhóm Administrators để sửa REGEDIT, tắt autoruns cho all drives, sau đó sử dụng quyền thuộc Users Gr. để truy xuất dữ liệu như sử dụng Office, AutoCAD, ... (NTFS) chắc chắn giảm thiểu tối đa khả năng lây nhiễm virus tràn lan như hiện nay, vì Users Gr. không có quyền sửa Registry mà chỉ được phép đọc Registry và thực hiện . Trong tất cả các giải pháp tắt Autoruns, can thiệp vào Registry là nhanh nhất, hiệu quả tối đa. Lãng khách có thể thay đổi chỉ bằng 3 dòng nếu dùng file .REG, nhưng sẽ không Restart Explorer.exe nhanh như vậy được . À, boy sói, ku BadBoyBlue đã sửa code rồi mới gửi ảnh lên đó chớ . Him ý nói là có cách nào "ngăn chặn" người ta copy của mình thôi. Phải nói thật là Lãng khách đã gặp nhiều nơi copy bài viết của mình rồi, thậm chí còn không buồn sửa các cụm từ "Lãng khách" ở trong bài viết. Nhưng gần đây, Lãng khách viết bài cũng không thêm các cụm "Lãng khách" vào trong đó nữa, các bức hình gửi lên cũng không cần thiết phải có dấu tích gì . Chỉ cần Search trên Google, người ta sẽ phải biết bài viết tới từ đâu, với lại văn phong Lãng khách, khó lẫn lắm . Người ta copy của mình là mình vui rồi, vì nó có ích cho mọi người . Thật ra, ý tưởng viết Script đơn giản này Lãng khách mới có từ tối qua, và viết luôn, bởi vì máy của mấy anh thân thân trong cơ quan nhiễm virus mà mình đã cài hết các Anti-virus nổi tiếng, thêm các bảo vệ tối đa, (thật ra còn phải hạn chế vì Laptop không được phép lạm dụng), lại convert sang hết NTFS file system, chuyển using acc sang Users Gr. thế mà vẫn dính virus Made in China (Mad in China?) ngon ơ? Bó chíu . Hy vọng là cách này sẽ cải thiện nhanh chóng tình hình trên cho đến khi các đại gia Anti-virus bắt kịp nhịp độ trận đấu .

Đúng là khổ thật!
Việt Nam mình dân ít vầy còn có lắm kẻ Mad huống gì nước có dân đông nhất trên thế giới chứ nhỉ?

Mà sao anh ko viết bằng file .reg luôn cho gọn, trong regedit có phần AutoRefresh mà nên nhiều khi không cần phải restart Explorer.exe nó vẫn hiệu quả tức thời!

[HKEY_CURRENT_USER\Software\Microsoft\RegEdt32\Settings]
"AutoRefresh"="1"

Key Auto refresh chỉ cho em thấy kết quả của Registry hiển thị thôi, còn việc load từ Explorer.exe sẽ có rất nhiều trường hợp không được áp dụng (người ta logoff/log on trở lại hoặc Restart PC cũng chỉ vì muốn restart Explorer.exe mà thôi em à ). Tất nhiên, Script đó còn có mục đích khác, đó là Lãng khách có thể dùng để kiểm tra xem autorun đang được... bật hay tắt? Em bảo có... đúng không . Autorefreshshell phải chỉnh ở key khác em à. Em có thể tham khảo file IgnoreShiftOverride&autorefreshshell.REG Lãng khách đính kèm bên dưới bài viết nhé .
Tiện đây nhắc các bạn một chút, sẽ có bạn đọc topic này và nói rằng, chỉ cần nhấn và giữ phím Shift trong vài giây khi kết nối USB, hoặc chọn như sau là có thể loại bỏ autoruns:




Sự thật không phải vậy. Chỉ một thay đổi cực nhỏ là Lãng khách có thể loại bỏ tác dụng của việc giữ phím Shift . Các bạn cũng đừng vội cho rằng malware không biết làm điều đó! Cái cửa sổ Take no action là cái mà bạn... nhìn thấy thôi . Nó làm những gì thì bạn đừng kết luận vội . Cái cửa sổ mà bạn nhìn thấy chính là Autoruns mà .
Để tắt chế độ nhấn và giữ phím Shift để không cho chạy một số chương trình tự động khi logon:

System Key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Name: IgnoreShiftOverride
Type: REG_SZ (String Value)
Value: (1 = Ignore Shift)



.

Trước hết, các bạn cần biết tới autoruns.exe, công cụ tuyệt vời nhằm cho biết 100% các autoruns trong máy tính của bạn, lệnh gọi, Registry key, đường dẫn, địa chỉ chính xác được kích hoạt:
Down Autoruns.exe
( http://download.sysinternals.com/Files/Autoruns.zip )
và chọn Everything để views cho phép nhận biết toàn bộ các tiến trình lạ chạy khởi động cùng với máy.
Các bạn chú ý, với nội dung dưới đây trong chủ đề này, các bạn có thể mở rộng ra hơn khi muốn diệt bằng tay các virus không phải giống như autoruns mà nó hoạt động ngầm trong hệ thống mà ta có thể phát hiện bởi các tiến trình (processes) của chúng. Để phát hiện các virus kiểu này, các bạn hãy sử dụng tiện ích miễn phí nổi tiếng Process Explorer:

http://download.sysinternals.com/Files/ProcessExplorer.zip


Thật khó chịu khi bạn tìm tới ứng dụng Task Manager và phát hiện một đống các chương trình bạn chưa biết tới đang chạy và tiêu tốn tài nguyên hệ thống. Bài viết này sẽ hướng dẫn bạn có thể xác định những tệp tin ẩn đang gây hại cho máy tính.

Thật khó chịu khi bạn tìm tới ứng dụng Task Manager và phát hiện một đống các chương trình bạn chưa biết tới đang chạy và tiêu tốn tài nguyên hệ thống. Điều không may là chúng ta không phải là các chuyên gia để biết hết các ứng dụng thực sự có ích cũng như những ứng dụng chạy ở trạng thái nền. Bài viết này sẽ hướng dẫn bạn nhận dạng một số tệp tin hệ thống của Windows, từ đó bạn có thể xác định những tệp tin ẩn đang gây hại cho máy tính.

Trên thực tế, rất khó có thể dự đoán và phòng ngừa những đợt tấn công mới nhất của các phần mềm độc hại. Ngay cả khi bạn chạy tường lửa, sử dụng các chương trình rà quét virus và phần mềm gián điệp mới nhất cũng như tuân theo các quy tắc về bảo mật, máy tính của bạn vẫn có thể là nạn nhân của những hình thức tấn công mới nhất.

Các ứng dụng bảo mật cần các bản nâng cấp thường xuyên mới có thể hoạt động hiệu quả vì chúng không thể ngăn chặn một chương trình độc hại chưa được đưa vào “danh sách đen”. Thông thường, máy tính người dùng luôn phải chịu một khoảng thời gian “nằm trong tầm ngắm” cho tới khi mã nguồn của ứng dụng nguy hại được chuyển tới tay các chuyên gia bảo mật. Thời gian này có thể là vài phút, vài ngày hoặc lâu hơn nữa.

Rất may là một khi bị phát hiện, các ứng dụng nguy hại chạy ẩn trong máy tính thường dễ bị vô hiệu hoá. Hãy tuân theo những công đoạn sau đây để có một chiếc PC khoẻ mạnh.

An toàn trước đã!

Bước đầu và cũng là bước quan trọng nhất bạn phải nhớ mình đang tác động tới hệ điều hành. Chính vì vậy không nên tuỳ tiện xoá các tệp hệ thống ngay sau khi phát hiện máy tính có vấn đề. Nếu quên đi nguyên tắc này, rất có thể bạn sẽ làm cho Windows không thể khởi động được.

Thứ hai, bạn phải nghĩ tới phương án khôi phục hệ thống. Tiện ích System Restore (trong Windows XP và Me) có thể khôi phục hệ thống quay trở lại thời điểm trước khi phát sinh sự cố (do bạn gây ra). Để sử dụng tiện ích này, nhấn Start/Programs/Accessories/System Tools/System Restore. Tiếp đến nhấn nút chọn Create a restore point và làm theo hướng dẫn.

Bạn cũng nên loại bỏ tính năng ẩn (không hiển thị) của các tệp tin hệ thống. Mở Windows Explorer (phím nóng Windows + E) hoặc bất cứ thư mục nào, chọn Tools/Folder Options/View. Chọn Show hidden files and folders và đảm bảo rằng cả hai dòng 'Hide extensions for known file types' và 'Hide protected operating system files (Recommended)' đều bị loại bỏ. Chọn Yes nếu bạn thấy bất cứ cảnh báo nào của Windows.

Bước tiếp theo là chạy các ứng dụng diệt virus và phần mềm gián điệp mới nhất trước khi xoá đi những tệp tin mà bạn chắc chắn là bộ phận của những ứng dụng nguy hại.

Xác định những tệp tin đang chạy

Giờ bạn hãy sẵn sàng xác định những ứng dụng và dịch vụ đang ở trạng thái kích hoạt trong máy tính. Vì tiện ích Task Manager của Windows không thể xác minh hết những tệp tin đang chạy nên bạn hãy sử dụng tiện ích của một hãng thứ ba. Theo những người đã có kinh nghiệm sử dụng, bạn nên cài đặt thêm tiện ích Process Explorer của Sysinternals (có thể tìm thấy tại địa chỉ http://www.sysinternals.com/Utilities/ProcessExplorer.html)

Giải nén tệp tin procexpnt.zip, nhấn chuột kép vào tệp tin procexp.exe. Process Explorer thực sự là sự lựa chọn hoàn hảo bổ khuyết cho tiện ích Task Manager nằm sẵn trong máy tính. Giao diện ứng dụng không mấy bắt mắt nhưng rất hiệu quả và đáng tin cậy. Tuyệt vời nhất là ứng dụng này hoàn toàn miễn phí.

Khi sử dụng bạn lưu ý là một số thông tin hữu ích của Process Explorer được đặt ẩn ở chế độ mặc định. Để nhìn thấy những tính năng này, nhấn chuột vào tên một cột và chọn Select Columns. Hãy chọn cả Company Name và Command Line bên cạnh Process Name và Description. Nhấn chuột vào tab DLL, chọn Path và nhấn OK. Tiếp đến, chọn View và chọn Show Lower Pane. Thao tác sau cùng là chọn View/Lower Pane View/DLLs.

Sau khi kích hoạt hết các tính năng của Process Explorer, bạn có thể chọn bất cứ tiến trình (process) nào đang chạy và xem những tệp tin nào ứng dụng sử dụng ở cửa sổ phía dưới. Cột Command Line chỉ vị trí trên ổ cứng của các ứng dụng hoặc dịch vụ đang chạy (một số dịch vụ chạy dưới svchost.exe). Ngoài ra, Process Explorer cũng xác minh các trường hợp mà tệp tin svchost.exe kích hoạt dịch vụ đó.

Bất cứ tiến trình nào chạy trong thư mục Temp sẽ được “dán” một lá cờ đỏ. Các phần mềm gián điệp thường có “thói quen” chạy từ những ngóc ngách ít ngờ đến như thư mục Temp. Tương tự, nếu một tiến trình mà những tệp tin DLL hỗ trợ xuất xứ từ thư mục Temp, bạn cũng phải đề phòng. Trường hợp duy nhất khi một tiến trình nào đó chạy từ thư mục này là khi bạn đang cài đặt một chương trình nào đó có sử dụng các tiện ích cài đặt (ví dụ InstallShield).

Ngoài Explorer.exe, người sử dụng Windows XP còn thấy các tiện ích khác ở trạng thái được kích hoạt bao gồm smss.exe, winlogon.exe, services.exe, alg.exe và lsass.exe. Đây đều là những tệp tin hệ thống quan trọng và tốt nhất là bạn đừng nên... đụng tới chúng.

Một tệp tin Windows hợp lệ nhưng cũng hay bị nghi ngờ nhất trong các tiến trình là rundll32.exe. Một số loại sâu hoặc phần mềm nguy hại tự giấu mình thông qua việc sử dụng chương trình này như là “bệ phóng”. Task Manager chỉ phát hiện rundll32 đang chạy, trong khi đó trường Command Line của Process Explorer có thể chỉ rõ tệp tin DLL nào có quan hệ với rundll32. Tuy nhiên, hãy lưu ý rằng một số card thiết bị sử dụng rundll32 cho mục đích hợp lệ. Chính vì vậy trước khi “hạ” tiến trình này, hãy đảm bảo chắc chắn rằng đó là tiến trình đang gây hại. Tên thư mục ở cuối đường dẫn tệp tin có thể cung cấp thông tin cho bạn trong việc xác minh.

Xác minh các tiến trình nghi vấn

Có thể sẽ có vài tệp tin ứng dụng chạy song hành với các tệp tin của hệ điều hành, bao gồm cả các tệp tin hỗ trợ các ứng dụng và dịch vụ chạy nền như card phần cứng. Những tệp tin này thông thường khởi động cùng Windows. Kiểm tra mô tả (Description), tên công ty (Company Name) và thông tin ở Command Line đối với mỗi tiến trình. Bạn có thể xác minh được hầu hết các chương trình gắn với các tiến trình khi bạn cài đặt thêm phần mềm mới hay những phần mềm được cài đặt lại.

Khi nhà sản xuất phần mềm không cung cấp được mô tả hoặc tên công ty kèm theo phần mềm của họ, bạn sẽ phải thận trọng và kiểm tra kỹ hơn nữa. Nhấn chuột phải vào đầu mục của ứng dụng hiển thị trong danh sách của Process Explorer, chọn Properties. Nếu thông tin dưới thẻ Image khó hiểu đối với bạn, nhấn chuột vào thẻ Services. Một số dịch vụ hợp lệ được liệt kê ở cột ngay dưới services.exe trong cửa sổ chính của Process Explorer (trường Description rỗng) sẽ xuất hiện dưới tab này.

Ví dụ, trong trường hợp Process Explorer hiển thị hai tiến trình chạy trong PC mà không có mô tả hoặc tên công ty. Một trong những trường hợp này là slee81.exe. Khi nhìn vào tiến trình từ tab Services, tác giả bài viết phát hiện công cụ xác định tệp tin như là tiện ích mã hoá của Steganos Live (Steganos Live Encryption Engine). Trước đó máy tính đã được cài phần mềm của Steganos, do vậy sẽ không mấy ngạc nhiên khi một số bộ phận của ứng dụng chạy ở dạng nền. Đây không phải là một mối đe doạ bảo mật nhưng nếu bạn không sử dụng Steganos để mã hoá và giải mã các tệp tin, tốt hơn là tắt dịch vụ để tiết kiệm tài nguyên hệ thống.

Tệp tin thứ hai, WLTRYSVC.EXE, thậm chí còn dễ gây nhầm lẫn hơn khi nằm trong danh sách các dịch vụ đang chạy. Trong khi tên của tiến trình (WLTRYSVC service) hoàn toàn không rõ ràng hơn tên của tệp tin chút nào, một tệp tin nằm ngay dưới có trong cửa sổ chính Process Explorer- điều đó có nghĩa là WLTRYSVC đã kích hoạt một ứng dụng khác mang tên BCMWLTRY.EXE. Tệp tin này được xác minh là Broadcom Wireless Network Tray Applet, được cài đặt để hiển thị tín hiệu Wi-Fi. Nếu muốn hiển thị tín hiệu này một cách thường xuyên, bạn nên giữ lại tiến trình này.

Hãy làm theo những thao tác này để xác định tất cả các dịch vụ và ứng dụng đang chạy ở dạng ẩn. Khó khăn chỉ đến khi bạn không thể xác minh được lai lịch của một tiến trình hoặc không hiểu được tác dụng của chúng. Trong trường hợp này, biện pháp tốt nhất là hãy tìm tới các hướng dẫn phù hợp thông qua mạng Internet.

Lần theo tung tích qua mạng Internet

Nếu nghi ngờ một tệp tin DLL là giả mạo, địa chỉ đầu tiên bạn nên tham chiếu là cơ sỡ dữ liệu DLL Help của Microsoft. Trang web cho phép người truy nhập tìm kiếm thông tin về các tệp tin DLL.

Nếu nghi ngờ một tệp tin có liên quan tới phần mềm gián điệp, hãy kiểm tra trên trang web của Trung tâm thông tin Spyware của Hiệp hội máy tính Mỹ (CA) (http://www3.ca.com). Một nguồn dữ liệu khác là cuốn “bách khoa” về các loại sâu máy tính tại PestPatrol Center (http://www.pestpatrol.com). Thống kê sơ bộ, trang web này lưu trữ thông tin của hơn 27.000 dạng phần mềm nguy hại.

Nếu gặp khó khăn trong việc xem xét tính hợp lệ của một tệp tin, bạn có thể kiểm tra trên các trang web Task List Programs tại địa chỉ http://AnswersThatWork.com. Ngoài ra, các công cụ như WinPatrol và WinTasks 5 Professional của Uniblue cũng cung cấp những thông tin khá chi tiết để giúp bạn phân biệt một chương trình hay một tệp tin DLL là hợp lệ hay giả mạo. Cả hai công cụ này đều có kết nối trực tiếp tới những cơ sở dữ liệu trực tuyến lưu trữ thông tin về hàng nghìn tệp tin DLL và các ứng dụng bạn có thể gặp phải. Đặc biệt, WinTasks còn có thể lập “danh sách đen” những tiến trình cụ thể và ngăn chặn việc kích hoạt những tiến trình này.

Nếu bạn muốn “săn lùng” các ứng dụng nguy hại một cách chủ động, tiện ích Security Task Manager của Neuber Software cho phép bạn thẩm định các tệp tin chạy, driver hoặc DLL ngay cả khi tệp tin đó có được kích hoạt hay không.

Bạn cũng cần luôn ghi nhớ là, bạn không thể luôn tin tưởng những kết quả đầu tiên khi tìm kiếm thông tin về một tệp tin bạn chưa biết qua mạng Internet. Ngay cả khi có tới hàng trăm website nhỏ cung cấp thông tin về một phần mềm độc hại, chỉ một trang web của Microsoft khẳng định tính hợp lệ của tệp tin này có thể gây ra một cuộc “đụng độ”. Thực tế là bạn càng nắm rõ về tệp tin trước khi tìm kiếm thêm thông tin qua mạng bao nhiêu, cơ hội bạn “hạ thủ” những tiến trình, ứng dụng hợp lệ... càng ít bấy nhiêu.


Khi chạy chương trình, các bạn có thể phân biệt dễ dàng các tiến trình được viết bởi các ngôn ngữ "khác", các tiến trình có ảnh hưởng "sâu" tới SYSTEM, các tiến trình "lạ", bằng màu sắc hiển thị (hightlight) và tên Company Name (tên công ty sản xuất):



Sau đó, phải chuột tiến trình chọn Properties để biết được địa chỉ chứa của chúng. Ngắt tiến trình (kill process) rồi delete theo các hướng dẫn bài mở đầu nếu quá trình xóa gặp vấn đề . Chú ý là các bạn trước khi xóa các virus này, hãy Advanced Search theo ngày giờ tạo lập của nó trước nhằm tìm ra tất cả các bạn "đồng chí" và xóa luôn một thể. Để sử dụng Chức năng Advaced SEARCH từ Start Menu (Tổ hợp phím Windows - F), bằng cách tìm kiếm nâng cao, tìm tất cả các file kể cả file ẩn, file hệ thống được tạo ra trong máy trùng ngày giờ tạo lập. Chú ý là tìm kiếm nâng cao chúng ta còn phải chú các điều kiện tìm kiếm, chẳng hạn theo ngày tạo lập, hoặc theo size (vì thường virus tự nhân bản ra rất nhiều nơi trong PC với cùng một size cho một bản thể nào đó). Nói chung tới phần này thì các bạn phải sử dụng kết hợp với cái đầu của mình rồi . Chúc các bạn thành công:

Các bạn chú ý rằng cách mà Lãng khách nói trong chủ đề này là cách duy nhất đúng khi tất cả những giải pháp không thành công, kể cả trong các bước nhỏ như khôi phục Regedit, Task Manager, Tắt autoruns, Show all Hidden files and folders, gỡ bỏ thuộc tính bảo vệ của files, tự tay tìm virus bằng chức năng tìm kiếm nâng cao,... Virus hiện nay phải nói là làm cho Anti-virus trở nên làm cảnh thật sự rồi .

Lãng khách mới edit lại nội dung file ShowAllHidden_Enable_Disable.VBS để khi VBScript này cho hiện tất cả các loại files & folders ẩn thì đồng thời phần mở rộng của các tệp tin cũng hiện ra để giúp các bạn không bị "nhìn nhầm" virus do nó mạo danh biểu tượng và giấu đuôi, và khi các bạn chạy VBScript lại lần nữa, sẽ làm ẩn lại files, folders ẩn thì phần mở rộng đồng thời cũng ẩn trở lại . Chú ý là VBScript này giúp các bạn Show tất cả các loại files, folders ẩn ngay cả khi virus đang kiểm soát hệ thống, các cách khác sẽ không bật được . Các bạn tải file đính kèm bên dưới nhé .

máy mình dính con W32.DashferHtml.PE, mình làm theo như hướng dẫn trên của LK nhưng ko diệt được,trước đó mỗi lần mình quét virus cũng được tầm 5000 con này, con này cũng có nguôn gốc bên TQ(xem thêm thông tin : http://www.bkav.com.vn/tin_tuc_noi_bat/28/12/2007/2/1334/), chắc chỉ có cài lại Win mới diệt hết được nó...

Rất tiếc, trường hợp của bạn bị malware, và cách trên của Lãng khách chỉ sử dụng cho virus là chính . Bạn cần tới soft rồi đấy. Nếu bạn không bắt đầu ngay từ bây giờ tìm hiểu về chúng, cài lại chỉ được một thời gian thôi...
Comodo hoặc ZoneAlarm là lựa chọn số 1 cho bạn khi quyết định disable Windows Firewall để sử dụng tường lửa (Firewall). Nếu không có firewall, chúng ta sẽ không thể được coi là BIẾT phòng tránh malware... ZoneAlarm là bức tường lửa không mất tiền phổ biến nhất thế giới. oneAlarm có thể phổ biến nhất nhưng không có nghĩa nó là tường lửa tốt nhất. Một phần mềm uy tín khác là Comodo Firewall Pro đã được trang đánh giá Matousec xếp hạng nhất khi cung cấp chế độ bảo vệ máy tính 2 chiều, dễ cấu hình lại. Và AVG Anti-Rootkit mới là công cụ diệt rootkit hiệu quả số một, còn File Shredder 2 lại giúp người dùng xóa file vĩnh viễn.

1. Zone Alarm
ZoneAlarm là một sản phẩm của hãng phần mềm nổi tiếng CheckPoint. ZoneAlarm hiện nay là phần mềm an ninh phổ biến nhất trên internet, đặc biệt với chức năng Tường lửa (Firewall). Phiên bản mới nhất của ZoneAlarm cũng hỗ trợ Windows Vista.
Phần mềm ZoneAlarm rất dễ sử dụng, cách thiết lập cấu hình trực quan. Nó kiểm soát tất cả các kết nối ra ngoài internet và từ internet vào máy tính.
Qua việc phân tích nội dung dữ liệu truyền, nó có thể hiện ra các cảnh báo về sự nguy hiểm có thể có, sau đó người dùng có thể xem xét cụ thể, cho phép hoặc không cho phép kết nối đó được thực hiện để đảm bảo an ninh cho máy tính. Việc cho phép hoặc không cho phép này có thể tạm thời hoặc vĩnh viễn với các kết nối đó.
Hiện tại CheckPoint cũng có phiên bản thương mại cho phần mềm ZoneAlarm với một số tính năng nâng cao. Tuy nhiên nếu bạn chỉ cần dùng chức năng tường lửa thì phiên bản miễn phí của ZoneAlarm là thích hợp.

2.Comodo Firewall Pro
Đối thủ đáng gờm nhất của Zone Alarm hiện nay chính là phần mềm Comodo Firewall Pro. Được kiểm nghiệm độc lập của hãng Matousec, Comodo Firewall Pro hiện đang đứng đầu bảng về chức năng tường lửa (Firewall).
Comodo Firewall Pro cung cấp chức năng antileak ở mức cao nhất và việc bảo vệ tường lửa hai chiều thực sự, dễ dàng cấu hình. Comodo Firewall Pro còn cung cấp những biểu đồ, thông tin về hệ thống, về các kết nối internet trực quan và dễ hiểu, giải thích cách ngăn chặn cũng như kiểm soát kết nối của Comodo Firewall Pro.
Hiện nay trong Database của Comodo Firewall Pro về virus gián điệp, sâu... đã có hơn 10.000 ứng dụng và với kho dữ liệu lớn này đã giúp Comodo Firewall Pro có sự phân tích và phòng ngừa rất tốt cho máy tính của bạn.


À, ta đi giải quyết trường hợp của bạn đã nhé:
Trước hết, bạn cần Portable 4Disk Cleaner pro:
http://www.box.net/shared/n9c21hqjan
để Delete all temporary files and folders *.TMP and *.~*:
Với 4Diskclean Pro, hệ thống của bạn sẽ được quét dọn sạch sẽ và hệ thống sẽ hoạt động như mới. 4Diskclean Pro sẽ giúp bạn quản lý hệ thống một cách dễ dàng, xóa bỏ những file không cần thiết, những file được sao lưu tạm thời hoặc những file lưu trữ lâu ngày không dùng đến. 4Diskclean Pro còn giúp bạn loại bỏ những file trùng nhau, thậm chí cả những file thư viện (file DLL) bị trùng lặp, toàn bộ các file được lưu trong bộ nhớ cache của trình duyệt bạn sử dụng (IE, FF, Opera…), xóa bỏ những trang web đã ghé thăm được lưu trong History của trình duyệt, và thậm chí còn giúp bạn gỡ bỏ những Registry bị lỗi, hoặc những Registry của các phần mềm đã bị gỡ bỏ trước đó.

4Diskclean Pro còn giúp bạn giải phóng dung lượng của đĩa cứng, sửa và ngăn ngừa những lỗi có thể phát sinh trong hệ thống, và tăng tốc độ của hệ thống. Bạn có thể dễ dàng theo dõi hoạt động và những thiết lập cài đặt của ổ cứng một cách trực quan qua các biểu đồ được chương trình đưa ra để giúp bạn quyết định về những file cần thiết hoặc thiết lập để chương trình biết những file không cần thiết.

Các đặc tính chính của chương trình:

- Dọn dẹp Registry: Dọn dẹp và sửa các Registry lỗi, các Registry còn mắc lại sau khi đã gỡ bỏ chương trình. Dọn dẹp hệ thống với chỉ với 1 nút bấm (bao gồm cả dọn dẹp Registry)

- Chế độ bảo mật, bảo vệ trước Spyware: 4Diskclean Pro còn có khả năng điểu khiển Acitive X của Windows để phát hiện và khóa các spyware và theo dõi những cookies bằng cách tạo các thiết lập (với 3990 mục thiết lập khác nhau) Ngoài ra chương trình còn giúp bạn bảo vệ những gì riêng tư, những thư mục và các file mà bạn không muốn người khác truy xuất vào.

- Dọn dẹp ổ cứng: Xóa những sao lưu tạm thời, những file rác, xóa những thư mục rỗng không cần thiết do các chương trình tạo ra. Xóa cache của trình duyệt khi thoát khỏi trình duyệt, hoặc xóa History của các trình duyệt (chức năng Internet Clean Up)

- Sàng lọc và quản l‎ý các file bị trùng: Tìm kiếm và xóa bỏ những file trùng nhau. Xóa những shortcut mà đường dẫn của nó trỏ đến những file không còn tồn tại.

- Theo dõi trạng thái ổ cứng: Hiển thị danh sách của 10 chương trình gần đây nhất được mở. Giúp bạn dễ dàng theo dõi các trạng thái của đĩa cứng, như dung lượng, tốc độ quay của đĩa… Quản l‎ý và xóa thùng rác theo tùy chọn của bạn. Theo dõi và in ra các tùy chọn trạng thái của đĩa cứng.
Link : http://mihd.net/sapfbz
Mirror : http://www.box.net/shared/yi04j1740w


Sau đó, hãy chọn một trong 6 sản phẩm đầu tiên dưới đây để scan malware. Hãy nhớ kĩ, anti-virus của bạn không có cơ sở gì thay thế được những sản phẩm này. Theo Lãng khách, bạn nên sử dụng CounterSpy hơn, tuy nhiên, SpySweeper cũng là một lựa chọn đáng chú ý. Sẽ có nhiều bạn sử dụng SpywareDoctor, nếu bạn thích, dùng không sao, nếu scan không triệt để thì mới phải nghĩ tới các sản phẩm Lãng khách giới thiệu. Chú ý, đây là những sản phẩm tính phí:
http://anti-spyware-review.toptenreviews.com/
Nếu bạn quan tâm tới sản phẩm FREE, dưới đây là sự lựa chọn tốt nhất, được tin tưởng trên toàn thế giới: