Phóng to

Cần cảnh giác khi truy cập các website đáng nghi để phòng tránh mã độc, malware. Ảnh minh họa: Internet

TTO - Tôi có xem thông tin về sâu Worm_Sohanad.fm tại bài viết ở mục bảo mật. Mong nhịp cầu Nhịp sống số hướng dẫn cách thức chống và gỡ bỏ nếu máy tính bị sâu này tấn công. Xin cảm ơn. (Hùng Dũng - hung_dung@)

- Tư vấn của nhịp cầu Nhịp sống số:

Sâu Worm_Sohanad.fm hay còn được gọi là IM-Worm.Win32.Sohanad.hw (theo Hãng Kaspersky) thâm nhập vào máy tính nạn nhân qua các trang web chứa mã độc. Chúng tự nhân bản vào tất cả các ổ đĩa vật lý có trên máy nạn nhân, tạo chế độ tự kích hoạt qua Autorun.inf và Windows Task Scheduler.

Khi đã xâm nhập vào máy tính của nạn nhân, sâu Worm_Sohanad.fm sẽ khóa hệ thống Registry nhằm tránh cho nạn nhân có thể sửa chữa những điều chỉnh mà nó đã thực hiện bên trong Registry. Ta cần mở lại hệ thống này bằng cách mở Notepad, dán phần nội dung bên dưới vào và sao lưu lại với tên C:\Restore.vbs.

On Error Resume NextSet shl = CreateObject("WScript.Shell")Set fso = CreateObject("scripting.FileSystemObject")shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"shl.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions"

Vào Start - Run, gõ "C:\RESTORE.VBS" rồi Enter (Không có dấu ngoặc kép). Nhấn Yes để xác nhận lại khi được yêu cầu.

Sau khi vào được Registry, ta cần vào xóa đi cái khóa giá trị của sâu tự tạo. Nhấn Start - Run, gõ "regedit" và Enter. Ở khung trái, bạn chuyển đến HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun. Tại khung bên phải, tìm và xóa giá trị sau: Yahoo Messengger = "%System%\scvshosts.exe" (%System% được đổi thành C:\Windows\System32 trong Windows XP, Server 2003 hoặc C:\WINNT\System32 trong Windows NT và 2000).

Tại khung trái, double-click lên HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon, chuyển sang khung phải, chọn Shell = "Explorer.exe scvshosts.exe" rồi nhấn chuột phải, chọn tiếp Modify để sửa thành Explorer.exe.

Chuyển đến HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerWorkgroupCrawlerShares, tại khung phải, xóa giá trị: shared = "\New Folder.exe". Đóng cửa sổ Registry lại.

Dùng chức năng SEARCH trong Windows để tìm các tập tin sau: %System%\autorun.ini, %System%\setting.ini, %Windows%\Tasks\At1.job (%Windows% là thư mục cài đặt Windows). Khi tìm thấy chúng, xóa cả 3 tập tin này vì đây là các tập tin của sâu.

Tiếp tục dùng chức năng tìm kiếm cho tập tin Autorun.inf của từng ổ đĩa, mở chúng ra với Notepad. Khi nội dung bên trong tập tin có phần bên dưới thì xóa cả tập tin này đi.

[Autorun]Open=scvshosts.exeShellexe cute=scvshosts.exeShell\Open\command=scvshosts.exeShell=Open

Bước cuối cùng là cập nhật cơ sở dữ liệu của chương trình chống virus đã cài đặt trên máy, quét toàn bộ hệ thống và khởi động lại máy.

------------------------------------------------------------------------------------

Hỏi: Máy của tôi không shutdown được, phải ấn Enter đến khi tắt thì thôi. Cho tôi hỏi cách khắc phục được không? (Hoàng Anh - ngoisao_bachkim33@)

Trường hợp phải nhấn Enter đến khi tắt là do khi shutdown máy, hệ thống sẽ đưa ra các thông báo lỗi và yêu cầu bạn quyết định là tắt các tiến trình (process) đang hoạt động hay giữ nguyên (End Now hay Cancel). Do bạn không nói rõ những thông báo lỗi (nếu có) là gì nên ta chỉ có thể thử các giải pháp sửa chữa.

Trường hợp này có thể thuộc các nguyên nhân sau và cách xử lý tương ứng:

* Quản lý nguồn không hoạt động tốt: Khi Shutdown không tự tắt nguồn mà hiện thông báo It’s safely to turn off your computer giống như trên các dòng máy cũ. Vấn đề này do chức năng quản lý nguồn (Advanced Power Management) chưa được thiết lập đúng.

- Trong Windows: Nhấp phải chuột lên Desktop - chọn Properties - chọn thẻ Screen Saver và bấm Power - chọn thẻ APM và đánh dấu chọn mục Enable Advanced Power Management support - OK.

- Trong CMOS: Khởi động lại máy và vào Setup BIOS, kiểm tra mục APM hoặc ACPI để bật (Enable) chức năng này.

* Lỗi từ card màn hình (VGA): Trong nhiều trường hợp, nếu đang dùng VGA rời và mainboard có VGA onboard thì bạn phải vào BIOS để tắt (disable) card màn hình onboard. Sau đó, cập nhật lại driver tương ứng từ nhà sản xuất cho VGA.

* Cảnh giác virus: cập nhật và quét virus trên toàn bộ các partition.

* Lỗi từ hệ điều hành: Nếu lỗi shutdown xuất phát sau khi bạn cài đặt một vài phần mềm thì hãy thử gỡ bỏ từng phần mềm một và kiểm tra lại. Nếu vẫn bị tình trạng trên thì bạn nên cài đặt lại hệ điều hành và cập nhật driver cho tất cả thiết bị phần cứng.