Kiểm tra mã độc trên máy tính
Kiểm tra máy tính
Nếu bạn đang dùng một máy tính Windows, làm sao để biết được máy tính của mình có đang bị nhiễm mã độc (virus) hay không, cho dù bạn có đang dùng các phần mềm Anti-Virus. Bạn có thể kiểm tra thủ công theo cách sau:
1. Kiểm tra theo triệu chứng
– Máy tính chạy chậm bất thường.
– Máy tính hoạt động nóng hơn bình thường (Laptop).
– Một số tính năng của Windows không hoạt động: Task Manager; Hidden items; Windows firewall; Windows Defender…
– Không cài hoặc gỡ được chương trình.
– Bàn phím, chuột, webcam hoạt động bất thường.
2. Kiểm tra khi máy tính vẫn có thể khởi động vào Windows.
– Kiểm tra phần mềm cài đặt trong Control Panel.
Vào RUN (Windows + R) gõ: appwiz.cpl
Kiểm tra các phần mềm đã được cài đặt, có phần mềm / chương trình nào lạ hay không, nếu phát hiện ra phần mềm / chương trình lạ, bạn có thể thử gỡ nó ra khỏi Windows, tuy nhiên cần lưu ý chính xác, nếu không có thể gỡ nhầm ứng dụng đang dùng.
Hình trên: Một số phần mềm có thể cài đặt dưới thông tin giả mạo với tên của những phần mềm thông thường khác, do đó cần xác minh kỹ lưỡng các phần mềm này.
– Kiểm tra tiến trình khởi động cùng Windows.
Bấm tổ hợp phím: Ctrl + Alt + Del > chọn Task Manager
Sau đó chuyển sang thẻ Startup để xem các tiến trình khởi động cùng Windows, và xem có tiến trình nào lạ hay không.
Nếu thấy tiến trình lạ, có thể “disable” nó trong cột Status. Hoặc xóa bỏ nó trong Registry.
Vào RUN gõ: Registry
Sau đó truy cập theo đường dẫn (hoặc copy vào khung đường dẫn):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Hình trên: Bạn có thể xóa một tiến trình trong khu vực này.
Kiểm tra tương tự như vậy với các khu vực sau:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
Windows có cho phép nhiều tài khoản hoạt động trên cùng một máy tính, để kiểm tra kỹ hơn và áp dụng cho toàn bộ máy tính, truy cập vào các đường dẫn sau trong Registry để kiểm tra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Hình trên: Bạn sẽ thấy một số tiến trình khác với của Users, và các tiến trình này áp dụng cho toàn bộ Users trên máy tính này.
Kiểm tra tương tự ở các vị trí sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
AND (Nếu thêm bằng Group Policy)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
AND (Nếu thêm bằng Group Policy)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Chỉ có trên phiên bản Windows 10 64bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
Lưu ý: Registry là một khu vực quan trọng trong chỉ dẫn hoạt động của phần mềm trên Windows, do đó cần lưu ý thao tác chính xác. Bạn cũng có thể Backup Registry trước khi thao tác nhằm tránh rủi ro khi thao tác nhầm.
Hình trên: Chọn Computer > Bấm vào File chọn Export để backup Registry.
– Kiểm tra tiến trình hoặc ứng dụng chạy theo lịch
Vào RUN gõ: taskschd.msc
Trong Task Scheduler Library sẽ hiển thị toàn bộ các tác vụ đã được lên lịch, hãy kiểm tra kỹ các tác vụ đang có trong khu vực này.
Những tác vụ nào chỉ dẫn đến các chương trình lạ, thì cần kiểm tra các chương trình đó có phải là mã độc hay không.
– Kiểm tra tiến trình và mã độc.
Sử dụng công cụ được cung cấp bởi Microsoft, tải về từ link sau:
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
Sau khi tải về, giải nén và khởi động procexp64.exe
Hình trên: Vào Options > VirusTotal.com > Check VirusTotal.com > Yes.
Hình trên: Một tiến trình tên UltraViewer_Service.exe được nhận diện là một phần mềm mã độc, có 5/71 bộ quét mã độc nhận diện.
Lưu ý: Process Explorer không hoạt động trên mọi Windows. Một số phần mềm chuyên dụng có thể bị VirusTotal nhận diện nhầm là mã độc ví dụ UltraViewer hay Unikey… Cần xác mình nhiều phương pháp để loại trừ.
Như vậy tôi đã giới thiệu các bước cơ bản để kiểm tra mã độc trên máy tính Windows. Một số hệ thống sẽ cần phải kiểm tra kỹ lưỡng hơn với các phương pháp kiểm tra khác.