1. Diệt các loại B-virus:
Để diệt B-virus trên đĩa cứng, cần làm sạch các mẫu tin khởi động là MBR (Master Boot Record) và DBR (DOS Boot Record). Việc đầu tiên là khởi động máy tính bằng đĩa mềm cứu hộ (Rescue Boot Disk) sạch. Sau đó thực hiện các bước tiếp theo:
- Làm sạch MBR: Tại dấu nhắc của DOS, gõ lệnh FDISK /MBR (có một khoảng trắng trước dấu /). Lệnh này không làm thay đổi cấu trúc phân vùng của đĩa cứng, nó chỉ ghi lại đoạn mã chuẩn của MBR. Sau khi gõ xong lệnh này, bạn có thể an tâm không còn virus nào trên MBR đĩa cứng.
Lưu ý: Đối với các ổ đĩa có sử dụng trình điều khiển thiết bị như Ontrack hoặc LILO driver thì không nên sử dụng lệnh FDISK /MBR.
- Làm sạch DBR: Tại dấu nhắc của DOS, chuyển sang ổ đĩa mềm (A : \ và gõ lệnh SYS C:
Lưu ý: Lệnh này chỉ áp dụng được cho các ổ đĩa FAT/FAT32.
2. Diệt các loại virus macro:
Việc phát hiện các loại virus macro rất đơn giản, vì các chương trình như Microsoft Word hoặc Excel đã hỗ trợ tính năng này. Bạn chỉ cần bật tính năng đó lên là được. Cách làm có thể khác nhau đối với từng phiên bản của bộ Microsoft Office. Đối với Microsoft Word 2000 hoặc Excel 2000, chọn menu Tools -> Macro -> Security, trong thẻ Security level chọn High hoặc Medium. Khi bạn đã bật tính năng này lên, nếu tập tin được mở có chứa macro, chương trình sẽ hiển thị hộp thoại cảnh báo và người dùng có thể chọn lựa cho phép macro hoạt động hay không. Nếu bạn không chắc tài liệu đó là an toàn thì không nên kích hoạt nó. Sau đó, có thể vào menu Tools -> Macro -> Macros, chọn macro nghi ngờ, bấm nút Delete để xóa. Thậm chí, bạn có thể vào Tools -> Macro -> Visual Basic Editor để xem hoặc xóa mã nguồn của nó.
Lưu ý: Một số macro có khả năng che giấu tên/mã lệnh của nó để tránh bị phát hiện. Tuy nhiên, virus macro không thể vô hiệu chức năng cảnh báo virus của Microsoft Office trước khi được kích hoạt.
3. Diệt các loại sâu (worm):
Như đã nói ở trên, các loại virus bây giờ đa phần đều tự tạo cho mình một khóa trong registry để hoạt động cùng với sự khởi động của máy tính. Để biết có virus đang chạy trong Windows hay không, trong Windows 9x/ME ta nhấn tổ hợp phím Ctrl+Alt+Del để xuất hiện hộp thoại Task List, danh sách các chương trình đang chạy sẽ hiển thị trong đó. Trong Windows NT/2K/XP làm tương tự, chọn thẻ Process. Nếu bạn là người thường xuyên quan tâm và để ý đến các chương trình chạy trong máy tính của mình, bạn sẽ dễ dàng phát hiện khi có một chương trình lạ xuất hiện. Chọn End Task hoặc End Process để dừng chương trình đó, sau đó chạy MSCONFIG.EXE để xem các chương trình nào được chạy lúc máy khởi động. Trong MSCONFIG, bạn có thể cấm không cho chương trình đó chạy nữa. Bạn có thể xóa tập tin của nó đi, hoặc để an toàn hơn, bạn có thể di chuyển nó sang một thư mục khác. Nếu máy tính của bạn vẫn hoạt động bình thường sau đó, bạn có thể xóa nó đi vĩnh viễn.
Tuy nhiên, dùng Task List và MSCONFIG trong Windows 98 không phải lúc nào cũng thành công. Bản thân tôi đã từng gặp phải nhiều con virus “thông minh” (hay chính xác hơn là “xảo quyệt”) đến mức nó tự ẩn đi trong Task List và cả trong MSCONFIG. Khi đó, nếu bạn nhấn Ctrl+Alt+Del hoặc mở MSCONFIG để xem thì chẳng phát hiện điều gì bất thường cả. Để biết chính xác có những chương trình nào đang chạy trong Windows 9x/ME, bạn chạy chương trình System Information (có trong menu Start -> Programs -> Accessories -> System Tools), chọn Software Environment -> Running Task. Tất cả các chương trình đang chạy đều được liệt kê ở đây. Ngoài ra, đối với chương trình tự ẩn luôn khóa khởi động của mình trong MSCONFIG, bạn phải trực tiếp mở Registry (bằng lệnh REGEDIT), chuyển đến khóa:
“HKEY-LOCAL-MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run”
hoặc
“HKEY-CURRENT-USER\Software\ Microsoft\Windows\CurrentVersion \Run”
tìm các khóa của các chương trình nghi ngờ và xóa đi. Để cho an toàn, bạn có thể vào menu File -> Export trong REGEDIT để lưu trữ nội dung của các khóa Registry trên trước khi thay đổi nó.
Lưu ý: Các công việc trên đây đều ít nhiều liên quan đến Registry và các tập tin của hệ thống, nên bạn phải cẩn thận khi làm, tránh trường hợp hệ thống bị ảnh hưởng do sự nhầm lẫn vô tình. Luôn luôn sao lưu trước khi thay đổi bất cứ điều gì là một ý tưởng tốt. Hy vọng các bạn sẽ tự tin và thành công.
HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion \Run (RunOne,-Run)
Thường thì Virus sau khi xâm nhập vào máy tính sẽ tìm tới ẩn cư tại Startup, Mydocument, WINDOWS, SYSTEM32 (Ví dụ: userinit.exe, system32.exe,… ). Vì những nơi đó thường là những nơi người sử dụng ít lui tới và khó nhận biết bởi những Files hệ thống. Song không phải Virus nào bạn cũng diệt dễ dàng trên Windows và mỗi khi diệt chúng lại gây 1 tác động nào đó cho Win.
Do đó, song song với cách diệt bằng tay ( có thể trên Win hoặc trên DOS ), là bạn phải tiến hành sửa lại Windows để đảm bảo không có hiện tượng win xấu xảy ra sau này.
( Chú ý: Sửa Windows có 2 kiểu. Một là kiểu sửa copy files thiếu và cách sửa hoàn toàn. Ở đây mình lưu ý anh em sửa hoàn toàn Win đảm bảo dữ liệu không mất, phần mềm của khách vẫn hoạt động và WINDOWS vẫn dùng bình thường.
http://forum.911.com.vn/showthread.php?t=1295
