Kinh nghiệm tìm và diệt virus máy tính bằng ... tay không

VÕ NGUYỄN ĐÌNH NGUYÊN (Đà Nẵng)

Tùy theo “nguyên tắc lây lan”, người ta thường chia virus làm ba loại: B (boot virus) lây lan vào các đoạn mã khởi động của đĩa cứng, F (file virus) lây lan vào các tập tin thực thi (có phần mở rộng là COM hoặc EXE), và M (macro virus) lây lan vào tập tin ứng dụng văn phòng (như Microsoft Word, Microsoft Excel...). Ngày nay người ta ít thấy các loại B hoặc F, thay vào đó là các loại sâu trình (worm) có cơ chế lây lan khác với B-virus và F-virus truyền thống. Đầu tiên, chúng lẻn vào máy dưới dạng các tập tin thực thi. Khi được kích hoạt, chúng đăng ký vào Registry của Windows để có thể tiếp tục hoạt động trong những lần khởi động máy tính tiếp theo. Để tìm và diệt virus máy tính bằng... tay không, bạn có thể làm theo từng bước sau đây:

1. Diệt các loại B-virus:

Để diệt B-virus trên đĩa cứng, cần làm sạch các mẫu tin khởi động là MBR (Master Boot Record) và DBR (DOS Boot Record). Việc đầu tiên là khởi động máy tính bằng đĩa mềm cứu hộ (Rescue Boot Disk) sạch. Sau đó thực hiện các bước tiếp theo:

- Làm sạch MBR: Tại dấu nhắc của DOS, gõ lệnh FDISK /MBR (có một khoảng trắng trước dấu /). Lệnh này không làm thay đổi cấu trúc phân vùng của đĩa cứng, nó chỉ ghi lại đoạn mã chuẩn của MBR. Sau khi gõ xong lệnh này, bạn có thể an tâm không còn virus nào trên MBR đĩa cứng.

Lưu ý: Đối với các ổ đĩa có sử dụng trình điều khiển thiết bị như Ontrack hoặc LILO driver thì không nên sử dụng lệnh FDISK /MBR.

- Làm sạch DBR: Tại dấu nhắc của DOS, chuyển sang ổ đĩa mềm (A:) và gõ lệnh SYS C:

Lưu ý: Lệnh này chỉ áp dụng được cho các ổ đĩa FAT/FAT32.

2. Diệt các loại virus macro:

Việc phát hiện các loại virus macro rất đơn giản, vì các chương trình như Microsoft Word hoặc Excel đã hỗ trợ tính năng này. Bạn chỉ cần bật tính năng đó lên là được. Cách làm có thể khác nhau đối với từng phiên bản của bộ Microsoft Office. Đối với Microsoft Word 2000 hoặc Excel 2000, chọn menu Tools -> Macro -> Security, trong thẻ Security level chọn High hoặc Medium. Khi bạn đã bật tính năng này lên, nếu tập tin được mở có chứa macro, chương trình sẽ hiển thị hộp thoại cảnh báo và người dùng có thể chọn lựa cho phép macro hoạt động hay không. Nếu bạn không chắc tài liệu đó là an toàn thì không nên kích hoạt nó. Sau đó, có thể vào menu Tools -> Macro -> Macros, chọn macro nghi ngờ, bấm nút Delete để xóa. Thậm chí, bạn có thể vào Tools -> Macro -> Visual Basic Editor để xem hoặc xóa mã nguồn của nó.

Lưu ý: Một số macro có khả năng che giấu tên/mã lệnh của nó để tránh bị phát hiện. Tuy nhiên, virus macro không thể vô hiệu chức năng cảnh báo virus của Microsoft Office trước khi được kích hoạt.

3. Diệt các loại sâu (worm):

Như đã nói ở trên, các loại virus bây giờ đa phần đều tự tạo cho mình một khóa trong registry để hoạt động cùng với sự khởi động của máy tính. Để biết có virus đang chạy trong Windows hay không, trong Windows 9x/ME ta nhấn tổ hợp phím Ctrl+Alt+Del để xuất hiện hộp thoại Task List, danh sách các chương trình đang chạy sẽ hiển thị trong đó. Trong Windows NT/2K/XP làm tương tự, chọn thẻ Process. Nếu bạn là người thường xuyên quan tâm và để ý đến các chương trình chạy trong máy tính của mình, bạn sẽ dễ dàng phát hiện khi có một chương trình lạ xuất hiện. Chọn End Task hoặc End Process để dừng chương trình đó, sau đó chạy MSCONFIG.EXE để xem các chương trình nào được chạy lúc máy khởi động. Trong MSCONFIG, bạn có thể cấm không cho chương trình đó chạy nữa. Bạn có thể xóa tập tin của nó đi, hoặc để an toàn hơn, bạn có thể di chuyển nó sang một thư mục khác. Nếu máy tính của bạn vẫn hoạt động bình thường sau đó, bạn có thể xóa nó đi vĩnh viễn.

Tuy nhiên, dùng Task List và MSCONFIG trong Windows 98 không phải lúc nào cũng thành công. Bản thân tôi đã từng gặp phải nhiều con virus “thông minh” (hay chính xác hơn là “xảo quyệt”) đến mức nó tự ẩn đi trong Task List và cả trong MSCONFIG. Khi đó, nếu bạn nhấn Ctrl+Alt+Del hoặc mở MSCONFIG để xem thì chẳng phát hiện điều gì bất thường cả. Để biết chính xác có những chương trình nào đang chạy trong Windows 9x/ME, bạn chạy chương trình System Information (có trong menu Start -> Programs -> Accessories -> System Tools), chọn Software Environment -> Running Task. Tất cả các chương trình đang chạy đều được liệt kê ở đây. Ngoài ra, đối với chương trình tự ẩn luôn khóa khởi động của mình trong MSCONFIG, bạn phải trực tiếp mở Registry (bằng lệnh REGEDIT), chuyển đến khóa:

“HKEY-LOCAL-MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run”

hoặc

“HKEY-CURRENT-USER\Software\ Microsoft\Windows\CurrentVersion \Run”

tìm các khóa của các chương trình nghi ngờ và xóa đi. Để cho an toàn, bạn có thể vào menu File -> Export trong REGEDIT để lưu trữ nội dung của các khóa Registry trên trước khi thay đổi nó.

Lưu ý: Các công việc trên đây đều ít nhiều liên quan đến Registry và các tập tin của hệ thống, nên bạn phải cẩn thận khi làm, tránh trường hợp hệ thống bị ảnh hưởng do sự nhầm lẫn vô tình. Luôn luôn sao lưu trước khi thay đổi bất cứ điều gì là một ý tưởng tốt. Hy vọng các bạn sẽ tự tin và thành công.

LỜI BÀN CỦA “HIỆP SĨ CHỐNG VIRUS” TRƯƠNG MINH NHẬT QUANG:

Virus máy tính có rất nhiều cách thức lây nhiễm, phá hoại với nhiều thủ đoạn tinh vi xảo quyệt. Hiện nay trên thế giới chưa tìm ra giải pháp ngăn chặn triệt để tình trạng lây lan của virus trong cộng đồng người sử dụng máy tính. Để phòng chống virus, bạn cần sử dụng các công cụ anti-virus cũng như trang bị một số kiến thức để tự bảo vệ máy tính khỏi sự tấn công của virus. Bài viết “Kinh nghiệm diệt virus bằng tay không” của bạn Võ Nguyễn Đình Nguyên minh họa cho công tác tự phòng vệ máy tính. Tuy nhiên, các bạn nên sử dụng cả hai phương pháp: chọn sử dụng ít nhất một công cụ anti-virus canh phòng (cho chạy thường trú 24/24), kết hợp với kinh nghiệm bản thân, máy tính của bạn sẽ an toàn hơn.