Cách kiểm tra virus nếu nghi ngờ ?

Nếu bạn thấy máy tính có biểu hiện gì đó kỳ lạ mà bạn nghi ngờ đó là do virus, trojan thì có thể làm các cách thủ công dưới đây để kiểm tra (khi mà antivirus của bạn không phát hiện gì): Bạn tải Process Explorer từ trang chủ của microsoft, chạy nó để xem các tiến trình nào đang chạy trên máy. Đối với những tiến trình bạn nghi ngờ (nhất là tiến trình có biểu tượng của thư mục mà mang tên file hệ thống), bạn nhấn chuột phải vào nó và chọn Suspend, làm như thế đối với tất cả tiến trình bạn nghi ngờ. Sau đó bạn lần lượt nhấn chuột phải vào từng tiến trình đó và chọn Kill Process Tree. Bạn thắc mắc vì sao phải chọn Suspend trước rồi mới Kill từng cái? Đó là vì có nhiều virus khi chạy sẽ tạo nhiều hơn 1 tiến trình, nếu bạn Kill một cái thì những cái còn lại sẽ khôi phục lại tiến trình bị Kill, và chúng lại tiếp tục chạy trên máy bạn, và Process Explorer không có chức năng Kill đồng thời nhiều tiến trình. Khi bạn làm xong thao tác đấy thì tạm thời các virus, trojan,... không còn chạy trong bộ nhớ. Tiếp đến bạn kiểm tra các "khu vực" sau trên máy bạn: Registry: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce] Nếu trong các key đó bạn thấy khoá nào nghi ngờ là virus thì hãy delete khoá đó đi (nên sao lưu trước khi xoá để có thể khôi phục nếu nhầm) Riêng phần sau cần chú ý kĩ: [HKEY_CLASSES_ROOT\exefile\shell\open\command] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ open\command] Nếu có khoá kiểu file.exe “%1 %*” thì bạn chú ý kiểm tra file đó, rất có thể nó là virus hay trojan [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName] StubPath=C:\directory\file.exe : chú ý file này C:\autoexec.bat: bạn dùng notepad hoặc 1 trình soạn thảo văn bản bất kỳ để mở file này (hoặc nhấn chuột phải vào file đấy và chọn edit). Chú ý các lệnh thực thi trong đấy xem có file nào nghi ngờ không. C:\Documents and Settings\Nguyen Trong Nguyen\Start Menu\Programs\Startup (Nguyen Trong Nguyen là tên tài khoản người dùng của máy mình, bạn tự sửa đổi lại cho phù hợp với máy của bạnClick here to enlarge): bạn xem có file lạ nào trong thư mục này không, bởi vì đây cũng có thể là nơi virus tự copy nó vào để khởi động cùng windows. C:\Windows\win.ini: bạn xem dưới phần windows, nếu thấy dòng "run=file.exe" hoặc "load=file.exe" thì các file đó có thể nguy hiểm đấy. Tương tự với file C:\windows\system.ini: dưới phần boot thông thường sẽ có dòng "shell=explorer.exe", nếu có thêm file khác sau dấu = thì hẳn file đó không an toàn. Ngoài ra bạn cũng nên dùng notepad để mở kiểm tra file C:\config.sys, mặc dù trường hợp virus ẩn nấp trong này mình chưa gặp quaClick here to enlarge Xin bổ sung thêm là các file autoexec.bat, win.ini, system.ini, config.sys có thể mở chỉ bằng 1 lần gõ lệnh sysedit ở mục run trên menu start. Nếu máy bác nào còn dùng windows đời cũ (95, 98, ME Click here to enlarge) thì kiểm tra thêm là có tồn tại file explorer.exe trong thư mục gốc ổ C không, vì nếu có thì nó sẽ được thực thi trước file explorer.exe trong C:\windows. Chú ý: phương pháp này tốt với phần lớn virus, trojan, không phải là tất cả.