• Thứ Hai, 16/06/2008 14:33 (GMT+7)

    Nhiều bạn cần: “Làm sạch” máy tính nhiễm virus bằng đĩa cứu hộ

    Các phần mềm phòng chống virus dành cho người dùng gia đình hiện nay có khả năng bảo vệ máy tính an toàn hơn trước các virus liên tục cập nhật không? Làm thế nào để quét virus hiệu quả khi chúng lây nhiễm vào máy tính là những câu hỏi chúng tôi thường xuyên nhận được từ bạn đọc. Thông tin trong bài viết được tập hợp từ những kinh nghiệm thực tế, hy vọng giúp ích bạn đọc trong cuộc chiến “dài hơi" chống virus.

    Trong các bài viết liên quan đến virus như A0802_133, 0705_129, 0604_154..., chúng ta đã cùng tìm hiểu nguyên nhân và cách khắc phục lỗi cụ thể do virus gây ra. Đây chỉ là giải pháp tạm thời để xử lý “phần ngọn” chứ chưa giải quyết triệt để vấn đề. Virus tiếp tục gây rắc rối nếu máy tính không được bảo vệ an toàn hơn. Khi các biến thể virus mới xuất hiện, bạn đọc bối rối không biết cách xử lý, thường chọn giải pháp "ưa thích" là format ổ cứng và cài lại Windows. Thực tế cho thấy khi hệ điều hành trên máy tính bị lây nhiễm virus, các phần mềm bảo vệ cũng bị vô hiệu hóa nên khả năng phát hiện và làm sạch virus rất thấp. Trong trường hợp này, bạn nên quét virus trong môi trường DOS hoặc PE (Preinstalled Environment) bằng các đĩa “cứu hộ” như Hiren’s Boot CD, WinBuilder, Bart’s PE Builder, miniPE mà chúng tôi đã đề cập trong bài viết trước (ID: A0805_158).

    Hình 1
    1. Rút cáp mạng khỏi máy tính hoặc tắt kết nối mạng không dây trước khi tiến hành quét để tránh trường hợp virus lây nhiễm trở lại; thậm chí bạn sẽ được “khuyến mãi” vài loại virus mới với khả năng phá hoại cao hơn. Ghi chú: không gắn cáp mạng trở lại máy tính cho đến máy tính đã được “làm sạch”.

    2. Khởi động máy tính và quét virus bằng những phần mềm có sẵn trong đĩa “cứu hộ” hoặc flashdrive (đôi khi bạn cần thiết lập để máy tính khởi động từ ổ CD-ROM hoặc nhấn phím tắt để hiển thị tùy chọn khởi động từ các thiết bị phần cứng khác nhau). Với Flashdrive, bạn cần kiểm tra trong BIOS Setup Utility xem bo mạch chủ có hỗ trợ tính năng khởi động từ bút nhớ USB không (các bo mạch chủ xuất hiện trong vài năm gần đây mới hỗ trợ tính năng này).

    3. Xử lý các thay đổi do virus, spyware gây ra. Đây là bước rất quan trọng để tránh virus tái nhiễm sau khi quét, tuy nhiên nhiều bạn đọc thường bỏ qua bước này. Trường hợp “lý tưởng”, các phần mềm chống virus phát hiện và gỡ bỏ hoàn toàn các tập tin, các khóa (key) Registry, các thuộc tính bảo mật có liên quan đến virus nhưng trên thực tế, bạn phải tự dọn dẹp các “tàn tích” của virus. Kết thúc quá trình quét, phần mềm sẽ đưa ra báo cáo tổng kết những virus được phát hiện và cách xử lý chúng (Hình 1). Nếu chương trình không thể diệt được một vài loại virus nào đó, bạn thử diệt chúng một cách thủ công. Sử dụng công cụ tìm kiếm với từ khóa là tên các virus đã phát hiện, bạn sẽ tìm thấy những thông tin liên quan đến virus, cách xử lý chúng tại website nhà sản xuất phần mềm phòng chống virus và cả những kinh nghiệm của bạn đọc được chia sẻ trên các diễn đàn (forum).

    Ghi chú:

    Hình 2
    - Nên “chọn mặt gửi vàng”, website nhà sản xuất phần mềm phòng chống virus là nguồn thông tin tham khảo đáng tin cậy. Không nên tải xuống phần mềm từ những website chưa được kiểm chứng độ tin cậy (vì có khả năng đính kèm virus khác).

    - Nếu không thể xóa các tập tin có liên quan đến virus trong Windows, sử dụng các tiện ích có trong đĩa cứu hộ, chẳng hạn như Volkov Commander (hỗ trợ phân vùng NTFS trong MS-DOS) để xóa.

    4. Tắt System Restore. Mặc định trong Windows ME và XP, tính năng này được kích hoạt để giúp bạn khôi phục hệ thống khi gặp sự cố. Tuy nhiên, các phần mềm chống virus không thể quét được thư mục System Volume Information, nơi System Restore lưu trữ những tập tin, thư mục giúp khôi phục hệ thống. Để tắt System Restore trong Windows XP, khởi động Safe Mode (nhấn F8 để vào giao diện tùy chọn khởi động của Windows, chọn Safe Mode). Nhấn phải chuột trên My Computer, chọn Properties. Trong cửa sổ System Properties, tab System Restore, đánh dấu tùy chọn Turn off System Restore on all drives và nhấn OK.

       

    HijackThis (find.pcworld.com/57267), một tiện ích trợ giúp chống virus có khả năng xác định các tiến trình đang hoạt động, khóa registry khởi động, nội dung folder Startup, các BHO và các dịch vụ trong hệ thống (Hình 3). Tuy không có chức năng kiểm tra, phát hiện sự lây nhiễm của virus như các chương trình khác nhưng khi kết hợp HijackThis với các phần mềm chống virus khác bạn sẽ “làm sạch” máy tính dễ dàng hơn. Ngoài ra, HijackThis còn tạo một tập tin nhật kí hoạt động (log file) rất có ích khi tìm kiếm sự giúp đỡ trên các diễn đàn.

     
     

    Hình 3

     

    5. Cũng trong Safe mode, cài đặt và quét bằng các phần mềm chống spyware như CounterSpy, Spybot Search & Destroy, Ad-Aware 2007 Plus để không bỏ “lọt lưới” các virus mà phần mềm chống virus chưa được phát hiện. Khác với các phần mềm chống virus, bạn có thể cài đặt thoải mái các phần mềm chống spyware trên cùng 1 máy tính để khai thác tính năng tốt nhất trong từng phần mềm mà không bị xung đột. Tham khảo thêm các phần mềm chống spyware trong bài viết “Spyware, diệt!” (ID: A0710_112). Kinh nghiệm thực tế, CounterSpy phát hiện thêm Trojan-Downloader.Agent.ikg, Backdoor.Win32.Small.lu Backdoor... sau khi chúng tôi quét virus bằng BitDefender Security v.10 lẫn Kaspersky Internet Security 7.0.0.125 (đã cập nhật danh sách nhận dạng virus đến ngày 27/02/2008) ở chế độ full system scan, deep scan lẫn rootkit (Hình 2).

    6. Khởi động lại máy tính ở chế độ bình thường, tiếp tục xử lý các thông báo lỗi của Windows. Thậm chí bạn phải cài lại Windows với tùy chọn R (Repair) để Windows tự sửa lỗi. Việc này cũng mất khá nhiều thời gian để máy tính hoạt động “gần như” bình thường. Nếu có sao lưu hệ thống một cách đầy đủ, bạn có thể nhanh chóng khôi phục hệ thống để quay trở lại công việc. Chúng tôi sẽ đề cập đến các bước sao lưu khi có dịp.

    7. Format ổ cứng và cài mới Windows. Đây là lựa chọn cuối cùng trong trường hợp máy tính nhiễm virus, spyware quá nặng và việc làm sạch và khôi phục hệ thống nằm ngoài khả năng của bạn. Lựa chọn này sẽ tiết kiệm rất nhiều thời gian thay vì phải đi xử lý từng sự cố do virus gây ra. Tuy nhiên, bạn phải cài mới HĐH và tất cả những phần mềm cần thiết.

    Đông Quân

    ID: A0805_160