16/3/10

Phần mềm diệt virus giả mạo

Hôm thứ bảy vừa rồi đứa bạn gọi điện nhờ sửa hộ cái máy tính với triệu chứng không thể chạy được bất cứ phần mềm nào hoặc mở được file tài liệu gì hết. Chủ nhật sắp xếp được thời gian đến nhà nó sửa giúp mới gặp một trường hợp máy bị cài phần mềm diệt virus giả mạo.

Hiện tượng là mặc dù máy tính khởi động vào được Windows một cách bình thường nhưng khi chạy bất kỳ phần mềm hoặc mở các tập tin tài liệu (như Word, Excel….) đều không thực thi được đồng thời hiện ra một thông báo: ‘File … bị nhiễm virus … nào đó, có muốn diệt hay không’. Nếu bấm Yes thì thấy hiện ra một phần mềm diệt virus rồi quét quét một hồi, phát hiện ra một số virus, nhưng thay vì diệt virus thì phần mềm này nói rằng đó chỉ là phiên bản dùng thử, nếu muốn loại bỏ virus thì phải mua bản chính thức của nó. Hình thức mua bằng cách trả tiền vào tài khoản … thông qua thẻ thanh toán quốc tế.

Sơ bộ ban đầu kết luận rằng máy bị nhiễm virus!. Thật tệ là máy đã được cài Bkav Pro nhưng vẫn không giúp ích gì được trong trường hợp này. Mở Bkav thấy bản quyền còn đến tháng 9/2010, hỏi thằng bạn: ‘Sao mày dùng phần mềm này?’ nó bảo ‘thấy quảng cáo, dùng từ năm ngoái’, mình khuyên nên dùng Kaspersky thì thấy nó nói ở cơ quan cũng dùng Kaspersky, quét phát hiện ra nhiều virus nhưng khi mang USB về nhà thì Bkav còn phát hiện ra vài con nữa. Mình hỏi thế nếu mang từ nhà đến cơ quan thì có phát hiện ra virus nữa không, nó bảo không thấy, vậy thì cố dùng hết cho đến tháng 9 đi, rồi dùng cái khác cho đảm bảo hơn.

Theo cách xử lý thông thường thì tôi sẽ cài đặt Kaspersky Antivirus (hoặc Kaspersky Internet Security) bản dùng thử 30 ngày vào máy tính đang bị nhiễm virus rồi quét loại bỏ các virus hiện đang bị nhiễm. Thực hiện điều này bởi Kaspersky có thể bảo vệ được quá trình cài đặt chính phần mềm của nó nên quá trình cài đặt thường thành công. So với một số phần mềm khác (như Symantec Antivirus bản 10) hay một số phần mềm của hãng khác thì virus thường không cho phép cài đặt những phần mềm này. Tuy nhiên trong trường hợp này thì tôi không thể cài đặt Kaspersky Antivirus bởi phần mềm virus giả mạo đã không cho phép tôi chạy bất kỳ file cài đặt nào.

Tôi nghĩ đến cách vô hiệu hoá phần mềm diệt virus giả mạo đã được cài vào máy. Đánh các lệnh regedit, msconfig… nhưng đều không được. Vào Add/Remove Program của Windows cũng không nhìn thấy bất kỳ phần mềm nào lạ lạ được cài đặt vào Windows trước đó. Có mấy tool nhỏ kiểu như TweakUI để cho phép hoặc xoá bỏ các ứng dụng sẽ khởi động nhưng đều không thể chạy được. Coi như bó tay trong Windows! Có lẽ phải cài đặt lại hệ điều hành mất thôi, mà như vậy thì mất thời gian lắm.

Thử với chế độ Safe Mode xem có cứu vãn được không. Khởi động lại máy, bấm F8 và chọn Safe Mode ở các dòng lựa chọn. Tại màn hình Welcome có hai tài khoản lựa chọn để đăng nhập: Admin và Administrator, chọn tài khoản Administrator để đăng nhập thì thật may mắn là mật khẩu tài khoản này bỏ trống, và có thể chạy được các chương trình. Từ đây tôi có thể kiểm soát được các ứng dụng khởi động cùng Windows, tuy nhiên không phát hiện ra phần mềm giả mạo này có khoá nào trong Registry cả. Tiến hành sao lưu toàn bộ các file trong My Document (ôi giời, đến 2 GB, dại thế khi mà để dữ liệu làm việc trong phân vùng C) sang một phân vùng khác và USB flash để đề phòng rồi xoá tài khoản đã bị cài phần mềm virus giả mạo đi (lựa chọn xoá toàn bộ các file bởi đã sao lưu được dữ liệu rồi). Tạo một tài khoản mới (không dùng tài khoản quản trị hệ thống là Administrator) để thằng bạn sử dụng rồi khởi động lại máy. Thế là đã giải quyết xong, phần mềm virus giả mạo đã biến mất.

Giờ thì mới đến lúc quét virus trong máy tính. Định cài Kaspersky Antivirus thì bản dùng thử mới chỉ cho 30 ngày, nếu sau 30 ngày mà không mua bản quyền thì phần mềm sẽ vô hiệu hoá, do đó bỏ ý định cài đặt phần dùng thử cho một người không rành về máy tính. Cài Norton Internet Security bản dùng thử 90 ngày cho được ‘dài hơi’ hơn – mà sản phẩm của Symantec và Kaspersky Lab theo cảm nhận cá nhân là có mức độ bảo vệ tương đương nhau. Cài đặt xong chạy Live Update cho lên phiên bản mới, dữ liệu nhận dạng virus mới rồi quét virus cho toàn bộ hệ thống. Thế là xong, đi về!

Chẳng biết quá trình quét virus trong máy tính của thằng bạn mất bao lâu bởi không có thời gian mà chờ đợi, tuy nhiên chắc chắn là máy nó nhiễm vài loại virus – biết điều này bởi dữ liệu vô tình còn chứa trên USB flash của mình khi sao lưu 2 GB dữ liệu của nó đã bị phát hiện có virus cũng bằng phần mềm Norton Internet Security ở máy tính ở nhà.

PS. Sau khi post bài, tìm trên Internet cách xử lý phần mềm diệt virus giả mạo thì gặp một bài có tiêu đề: ‘Gặp phần mềm diệt virus giả mạo – Giải quyết sao?’, nhưng cách giải quyết của mình có vẻ khác so bài trên.

Trương Mạnh An (16/03/2009)

1 nhận xét :

  1. huhu............. may minh cung bi truong hop nay . Minh mu ve tin va cac phan mem . :(( sang nay vao google search tu "easter" , vao wiki va may trang khac deu bi loi ko dc . cuoi cung hien ra tuong tu nhu ban An vua viet. hjchjc

    Trả lờiXóa

Hoan nghênh bạn chia sẻ/góp ý/phản hồi để bài viết được phổ biến hoặc hoàn thiện hơn!
- Nếu bạn thấy thích bài viết và muốn chia sẻ tới mọi người, xin vui lòng bấm nút "Like" và các nút chia sẻ tương ứng.
- Nếu bạn không có các tài khoản Blogger/WordPress... để phản hồi/bình luận bạn có thể chọn trong "Nhận xét với tư cách" phần "Ẩn danh" (Anonymous).
- Blog còn có các bài viết khác mà có thể bạn sẽ quan tâm, được liệt kê tại Mục lục.