Malware dường như ngày càng trở nên thông minh và gây ra những hậu quả khôn lường hơn trước. Cài đặt các công cụ phát hiện malware (MalwareBytes, HiJackThis, ComboFix...) trên máy tính là công việc không hề thừa. Nhưng trong một vài trường hợp, vì nhiều lý do (bị chặn bởi chính malware) những công cụ này có thể gặp trục trặc khi khởi chạy. Lúc này người sử dụng có thể tham khảo một số giải pháp dưới đây.
1. Malware đang chặn tên các ứng dụng đặc biệt
Do nhiều công cụ phần mềm phổ biến có tên file cố định không đổi nên chúng có thể bị chặn bởi malware. Khi đó, hãy thử thay đổi tên file thực thi ứng dụng từ (ví dụ với MalwareBytes) "mbam.exe" thành "virus.com"
Đôi khi phương pháp này sẽ hoạt động và người dùng có thể khởi chạy ứng dụng như một file dotcom độc. Hãy thiết lập lại tên file như cũ khi thực hiện xong.
2. Malware đang chặn tất cả các ứng dụng
Điều phổ biến là malware chặn hết các ứng dụng (và thông báo máy đã bị nhiễm trong khi bản thân nó là nguồn lây nhiễm). Hãy thử log off tài khoản người dùng hiện tại. Bây giờ, log in lại và nhấn Ctrl + Alt + Del. Cửa sổ Task Manager hiện ra. Nếu đã biết những tên file không phải file độc ta có thể dễ dàng xác định malware vì chúng thường có tên dài từ 8 đến 14 ký tự (ví dụ như fjh2efhn9.exe). Hãy kết thúc process và tìm tới file gốc và xóa nó. Khi nguồn lây nhiễm chính đã bị triệt tiêu, hãy tải và chạy một công cụ như MalwareBytes để dọn sạch các file và các registry còn sót lại.
Nhưng trong một số trường hợp, malware có thể chặn cửa sổ Task Manager. Lúc này hãy tháo ổ cứng ra và dọn sạch nguồn lây nhiễm bằng cách gắn ngoài vào một máy tính khác và sử dụng các công cụ diệt malware trên máy tính đó.
3. Malware làm hỏng file đuôi exe
Nếu khi khởi chạy một file thực thi và nhận được một hộp thoại ‘open file type with’ thì điều đó có nghĩa là malware đã gỡ bỏ hoặc thay đổi registry dạy Windows cách mở các file thực thi. Sau đây là cách sửa lỗi registry để khắc phục vấn đề này. Mở notepad và gõ hoặc copy đoạn registry sau:
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
Lưu file dưới tên “Exe-fix.reg” và chạy file. Nó sẽ khôi phục lại hoạt động cho các file thực thi.
4. Nhiều biến thể của malware có thể làm ẩn tất cả các file trên máy tính
Do nhiều công cụ phần mềm phổ biến có tên file cố định không đổi nên chúng có thể bị chặn bởi malware. Khi đó, hãy thử thay đổi tên file thực thi ứng dụng từ (ví dụ với MalwareBytes) "mbam.exe" thành "virus.com"
Đôi khi phương pháp này sẽ hoạt động và người dùng có thể khởi chạy ứng dụng như một file dotcom độc. Hãy thiết lập lại tên file như cũ khi thực hiện xong.
2. Malware đang chặn tất cả các ứng dụng
Điều phổ biến là malware chặn hết các ứng dụng (và thông báo máy đã bị nhiễm trong khi bản thân nó là nguồn lây nhiễm). Hãy thử log off tài khoản người dùng hiện tại. Bây giờ, log in lại và nhấn Ctrl + Alt + Del. Cửa sổ Task Manager hiện ra. Nếu đã biết những tên file không phải file độc ta có thể dễ dàng xác định malware vì chúng thường có tên dài từ 8 đến 14 ký tự (ví dụ như fjh2efhn9.exe). Hãy kết thúc process và tìm tới file gốc và xóa nó. Khi nguồn lây nhiễm chính đã bị triệt tiêu, hãy tải và chạy một công cụ như MalwareBytes để dọn sạch các file và các registry còn sót lại.
Nhưng trong một số trường hợp, malware có thể chặn cửa sổ Task Manager. Lúc này hãy tháo ổ cứng ra và dọn sạch nguồn lây nhiễm bằng cách gắn ngoài vào một máy tính khác và sử dụng các công cụ diệt malware trên máy tính đó.
3. Malware làm hỏng file đuôi exe
Nếu khi khởi chạy một file thực thi và nhận được một hộp thoại ‘open file type with’ thì điều đó có nghĩa là malware đã gỡ bỏ hoặc thay đổi registry dạy Windows cách mở các file thực thi. Sau đây là cách sửa lỗi registry để khắc phục vấn đề này. Mở notepad và gõ hoặc copy đoạn registry sau:
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
Lưu file dưới tên “Exe-fix.reg” và chạy file. Nó sẽ khôi phục lại hoạt động cho các file thực thi.
4. Nhiều biến thể của malware có thể làm ẩn tất cả các file trên máy tính
Có một câu lệnh đơn giản người sử dụng có thể dùng để làm hiện lên các file này. Mở command prompt: Start -> Run -> cmd và ấn enter. Nhập câu lệnh attrib -h C:*.*/s/d. Câu lệnh sẽ làm hiện tất cả các file và thư mục trong ổ C. Lặp lại câu lệnh và thay C bằng tên ổ đĩa khác. Gõ attrib /? để xem tất cả các lựa chọn.
Malware không những làm ẩn các file trên máy tính mà còn di chuyển các item trong Start Menu. Các itemtrong Start Menu thường bị di chuyển vào thư mục temp của người sử dụng. Hãy gõ %temp% trên thanh tiêu đề để vào thư mục này. Thường các item bị đẩy vào cùng một thư mục bắt đầu với chữ "S" hoặc "SE". Tìm tới các thư mục đó người sử dụng có thể tìm thấy các item và đặt chúng về vị trí cũ.
Malware luôn không ngừng biến đổi và làm mọi cách để ngăn chặn người dùng gỡ bỏ chúng. Do đó, người dùng nên thường xuyên cập nhật các công cụ diệt malware để chiếc máy tính của mình luôn an toàn và thông suốt. Bên cạnh đó, các phương pháp thủ công cũng là giải pháp không tồi trong nhiều trường hợp nếu người sử dụng có kiến thức về hệ thống.
theo quantrimang.com.vn
0 nhận xét:
Đăng nhận xét