Ở những bài trước bác Hoàng đã viết về cách nhận biết và diệt virus lây qua USB bằng tay không (không dùng tới anti). Kỳ này tôi sẽ bổ sung thêm một số điều thu lượm được sau khi đã “trải nghiệm thực tế”.
Ở bài Phòng chống Virus Autorun lây lan qua USB Flash Drive, phần phòng chống autorun. Thực ra có những virus khi lây vào usb – trường hợp ta click chuột phải vào ổ USB Drive thì menu hiện ra vẫn không có dòng Autoplay (đầu tiên) mà vẫn là Open (đầu tiên). Đây là trường hợp mà file autorun.inf có dạng như sau:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
Ấy đấy, tôi đã bị mắc lừa nó một lần. Right click rồi chọn Open và thế là a-lê-hấp – nó vẫn chạy như thường.
Vậy nên có thể nói cách tốt nhất là mở Run lên gõ (hoặc cũng có thể gõ trên thanh Address) đường dẫn tới một thư mục con trong thư mục gốc của ổ USB Flash Drive (ví dụ F:\Flashget\) rồi sau đó Up ra.
Hoặc là tạo một shortcut tới file file:///f:/ – trích lời bác Hoàng.
[Với F là ổ đĩa USB]
Tới phần diệt Virus. Bác Hoàng đã nói “Thực hiện tất cả các thao tác trong windows ở chế độ Safe-mode” khi diệt virus. Nhưng khổ nỗi máy của tôi không vào Safe-mode được. Cứ mỗi lần load driver được một chặp là nó đứng khựng lại. Vì thế tôi làm cách khác, vẫn thao tác trên nền Windows.
Đầu tiên vào vào Run, gõ msconfig rồi enter. Chọn tab Startup. Ở mục Startup Item ở những mục đã được tick chọn hãy dò xem có tên nào lạ không. Nếu có hãy bỏ chọn nó (những file nghi vấn là virus loại này thường có phần Command là C:\WINDOWS\ hoặc C:\WINDOWS\system32). Điều này đòi hỏi bạn phải biết tường tận về những file thường chạy trong máy mình.
Sau đó restart máy tính và vẫn login vào windows như thường. Lúc này virus sẽ không chạy nữa và bạn có thể thao tác như bác Hoàng đã viết ở bài trước một cách thoải mái. Nhớ xóa hết file autorun.inf và file thực thi (.exe) của virus trong tất cả các phân vùng ổ đĩa.
Sau hết, để diệt tận gốc thứ rác rưởi này ra khỏi máy tính thân yêu của mình chúng ta dùng chức năng search của win để tìm và tận diệt.
Cách thức rất đơn giản, tìm tất cả các file *.* trong ổ đĩa C:\ nhưng có thêm vài tùy chọn nhỏ:
Chọn tìm tất cả các file ẩn và folder ẩn:

Chọn ngày modified đặc biệt:

(chọn ngày hiện tại - ngày bị nhiễm virus, hoặc có thể chọn trong khoảng thời gian 1, 2 ngày trước đến nay)
Thường thì virus là những file .exe ẩn và kèm theo đó là một vài file .dll, … có ngày Date Modified là ngày hiện tại và có tên trong tab starup của msconfig.
Sau khi đã tận diệt, vẫn còn cái tên của nó ở trong list starup của msconfig. Không biết bạn thì sao chứ tôi thì thấy ngứa mắt lắm. Vì thế tôi đã tìm cách xóa nó đi – và đã tìm ra. Mở regedit lên và vào khóa:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Ở cửa sổ bên phải, tìm và del thứ mà bạn muốn đá nó ra khỏi list starup của msconfig. Như vậy là xong!