Khi 1 chương trình virus hoặc malware được kích hoạt trên hệ
thống máy tính của người sử dụng, nghĩa là chúng hoạt động ở chế độ nền
– background, người dùng thông thường gần như không thể phát
hiện ra được sự tồn tại của chúng, trong khi đó vẫn âm thầm gây ra rất
nhiều thiệt hại cho máy tính.
Chúng có thể tắt bỏ các chức năng của những chương trình bảo mật, tự
tạo ra các quy luật khác nhau và áp dụng lên tất cả các tài khoản, tắt
bỏ chức năng Task Manager, gửi dữ liệu keylog thu thập được về cho
hacker… Nhưng để đến quá trình khởi động và kích hoạt chế độ hoạt động
ngầm, chắc chắn virus phải sử dụng phương thức thông thường tại thời
điểm Windows khởi động. Việc xác định các thành phần tự động kích hoạt cùng Windows không quá khó khăn với các tiện ích hỗ trợ phổ biến như Autorun, cho phép hoặc không cho phép khởi động, thêm, sửa hoặc xóa trực tiếp những thành phần này.
Điều
này cũng có nghĩa rằng bạn phải xác định được vị trí chính xác của
virus trước tiên, sau đó mới tính đến chuyện hủy các tiến trình tương
ứng và đi kèm với nó, và sau cùng là xóa bỏ các thành phần tự tạo ra để
khởi động cùng hệ thống. Và việc virus ngăn chặn các tính năng quản lý
mặc định của Windows như Task Manager không còn tác dụng khi chúng ta
sử dụng những công cụ hỗ trợ từ bên ngoài, ví dụ như Process Explorer,
Anvir Task Manager… Bên cạnh đó, những tên hacker “cẩn thận” và “chu
đáo” còn nghĩ ra thêm 1 cách để tự bảo vệ virus bằng quá trình
injection (hay còn gọi là firewall bypass), hoặc 1 đoạn mã dẫn tới hiện
tượng “màn hình xanh” nếu người dùng cố gắng can thiệp và ngăn chặn
những loại virus này.
Dưới đây là ảnh chụp màn hình của ứng dụng bot creator với lựa chọn Protect Process sẵn có:
Với
những trường hợp này, khi người dùng cố gắng tắt 1 ứng dụng bất kỳ nào
đó trong Windows Task Manager thì sẽ nhận được thông báo lỗi như sau: “Ending
this process will shut down the operating system immediately. You will
lose all unsaved data. Are you sure you want to continue?”. Kiểm
tra lại tất cả các dữ liệu, tắt cửa sổ và thử sử dụng tính năng Shut
down của Windows, ngay lập tức hệ thống sẽ bị “màn hình xanh” và tự
khởi động lại. Trên thực tế, 1 số chương trình bảo mật không thể xóa bỏ
hoàn toàn được loại virus này vì nó sẽ chống lại những chức năng này và
nếu không được, sẽ làm cho máy tính bị “màn hình xanh”. Và rất nhiều
người đã phải chọn trường hợp format lại toàn bộ ổ cứng, cài lại hệ
điều hành … quá trình này mất rất nhiều giờ, đồng thời toàn bộ dữ liệu
lưu trữ của họ cũng đi theo khoảng thời gian phí hoài đó.
Trong
phần tiếp theo, chúng ta sẽ cùng đề cập đến các bước trên theo thứ tự.
Trước tiên là xác định vị trí chính xác của các file độc hại. Với
Windows Task Manager, kích chuột phải vào thanh taskbar ở dưới và chọn
Start Task Manager hoặc bấm tổ hợp phím Ctrl + Alt + Delete, chọn đúng
thành phần mà không thể xóa bỏ được và Properties, ghi nhớ lại vị trí
này (trong trường hợp Task Manager không hoạt động, hãy sử dụng Precess Explorer):
Tiếp theo, sử dụng công cụ hỗ trợ BlitzBlank,
tại thẻ Designer, nhấn 1 lần vào dòng Type và chọn tiếp File. Sau đó
chọn tiếp đường dẫn (nút … ) và trỏ tới đường dẫn file cần xóa bỏ được
xác định ở bước trên, tại mục Action chọn Delete (hoặc Move nếu muốn), trong trường hợp bạn muốn sao lưu 1 bản của file này, nhấn 1 lần nữa vào mục Backup. Sau cùng, bấm nút Execute Now,
chương trình sẽ cảnh báo người sử dụng nên lưu lại tất cả các công việc
đang thực hiện, và đóng tất cả các cửa sổ chương trình đang mở để tránh
mất dữ liệu khi hệ thống tự khởi động lại. Sau lần khởi động lại đó,
trước khi Windows được tải đầy đủ, BlitzBlank sẽ xóa bỏ tất cả những
file, ứng dụng trong danh sách liệt kê cho dù chúng có hoạt động ở mức
nào đi chăng nữa:
Bên
cạnh BlitzBlank, chúng ta có thể kể đến các công cụ hỗ trợ khác như
Unlocker hoặc EMCO MoveOnBoot. Nhưng BlitzBlank tỏ ra tiện lợi hơn cả
vì dung lượng vô cùng nhẹ, không cần cài đặt, tương thích với nhiều
phiên bản Windows, còn với EMCO MoveOnBoot yêu cầu dung lượng tối thiểu
cần thiết để cài đặt là 24.1MB, Unlocker thì không có phiên bản
portable chính thức.
Mặt khác, các bạn có thể sử dụng phương
pháp “thủ công” quen thuộc qua Command Prompt từ Windows System
Recovery. Khi khởi động lại hệ thống, bấm F8, lúc menu Advanced Boot Options hiện ra chọn Repair Your Computer và Enter. Tiếp theo, chọn chuẩn bàn phím (mặc định là US) và Next. Cho tới System Recovery Options chọn tiếp Command Prompt. Thư mục mặc định của hệ thống trong chế độ này sẽ có dạngX:windowssystem32. Di chuyển tới ổ hệ thống, ví dụ như C:Windows, sử dụng lệnh cd để chuyển tới thư mục của file cần xóa bỏ, và dùng lệnh del để xóa hoặc move để di chuyển.
Trên
đây là 1 số mẹo khá đơn giản và quen thuộc để khắc phục tình trạng
không xóa được file hoặc không tắt được những chương trình, ứng dụng (ở
đây là virus) nhất định. Chúc các bạn thành công!
Theo Quantrimang
0 nhận xét:
Đăng nhận xét