CÀI WINDOWS XP. Nhất Restart (Ctrl+shift+Del) giữ nguyên Del khi may đang bắt đầu restart.Để vào BIOS : !"#$!%&'()*+, (//(0121!0304560217 (890:((;*211.3<(2!(/(=62!!!>(?/%.@ <A(BCD#E'-1 717(/F//(G-/0HHHE()A7A*3/>3(1-(-IF!* JKL(2!/0M569!>(?/%.H 1- set your CD drive as the first boot drive 2- Cho dĩa WinXP vào ổ CD cho máy chạy sẽ tự động boot. 3- Press any key to boot from CD (nhấn bất cứ phím nào để máy tự động boot) 4- Press ENTER để tiếp tục 5- Press F8 = Agree (Nhấn F8 để chấp nhận hoặc Enter) 6- To set up windows XP on the selected item, then press ENTER (Để cài đặt Win XP trên khu vực nào thì thì dùng phím di chuyển lên xuống để chọn, sau đó nhấn Enter để chấp nhận) 7- To create a partition in the unpartitioned space, press C. (Nhấn C để tạo vùng cài mới) 8- To delete the selected partition, press D. Format the partition using the NTFS file system ( nhấn Enter để chọn fomat NTFS cho Win XP, nên chọn NTFS file system chạy ổn định hơn .) Ghi Chú: 6; 7; 8; 6- khi máy install lần đầu hoặc Upgrade. 7- khi cần chia ổ cứng (partition hardive) C: hay D: 8- Máy đã partition nhưng muốn chia lại. Nếu chia Ổ Cứng làm C: Và D: Khi install hoàn tất, thì vào Control Panel > Administrative Tools > Computermanagement > Disk Management; Để format những ổ còn lại. Sau đó chờ cho máy copy file và set up tới 100% thì máy sẽ tự động boot lại. sau đó sẽ là cài đặt các tính năng của Win XP cho máy, như Mạng ( bỏ qua chọn not at this time,) thời gian…. Luôn Luôn coi theo chỉ dẫn khi máy đang vận hành. !"#$%&'()*+,- ./!012+34%5$-6174*+,-7389 2+*+,-:%;<,=!>?'-+@%.6+-,6+,A?B,'>+C D$E> -F3)?+6GH)-%I*+,-&<"J -F()K*+,-L"L3M4N*+,-E> -F 3)?+6F+G O+P1+CQRS+QRSI# Copy Phần Mềm NIITI - Ghos t Bỏ Vào Ổ C:\ Ổ Mà Chúng Ta Cài Win Click Vào ghost.exe Cho Tập Tin Thực Hiện Việc Cài Đặt. Khởi Động Lại Máy Trong Giao Diện Boot Nó Xuất Hiện Hai Sự lựa Chọn “Microsoft Windowns Professional”(Là Windows Hiện Chúng Ta Dang Sử Dụng) “ Ghost 11 (Phần Này Là Chương TrìnhTa Vừa Cài Đặt) rồi Enter. Sau Khi Đăng Nhập Thành Công Đây Là Giao Diện Chính Của Chương Trình Ta Bắc Đầu Thực Hiện Việc Ghost: Chọn Local ->Partition ->To Image (Lưu Ý Thao Tác Trong Chương Trình Chỉ Sử Dụng Các Phím Mũi Tên Trên Bàn Phím Và Enter). ->Nhấn Enter Để Tiếp Tục. Trong Trường Hợp Này Là Ta Chọn Phân Vùng Cài Đặt Hệ Điều Hành Để Ghost Như Trên Hình Ta Chọn Partition Theo Định Dạng Primary- >Nhấn Enter Trước Rồi Nhấn Tab Để Trỏ Đến Vùng Chọn ok. Chọn Đường Dẫn Để Lưu File Chúng Ta Ghost (Việc Lưu File Ghosh Chỉ Cho Phép Lưu Trên Ổ Khác Không Cho Phép Ta Lưu Trên Ổ Chuẩn Bị Ghost) ->Nhấn Shift+Tab Quay Lại Thư Mục Ta Chọn Trước Đó hoặc Nhấn Tab Chọn Thư mục Kế Tiếp Trong Trường Hợp Này Ta Lưu Trên Ổ E:\ Và Đặt Tên Cho Tập Tin Này Là WINDOWSXP3 Sau Đó Nhấn Save Lại. Chọn Mức Độ No(Bình Thường) Fast(Tốc Độ Nhanh) High(Nén Tối Ưu) Thường Chúng Ta nên Chọn Bình Thường -> Nhấn Yes Để Đồng Ý Quá Trình Ghost Đang Thực Hiện Như Vậy Là Ta Đã Có Một Bản Ghost Để Phong Trù Khi Hệ Thống Gặp Trục Trặc Chú Ý: + Để Có Một Bản Ghost Đầy Đủ thì Nên Cài Đặt Hết Những Phần Mềm Ứng Dụng Cần Thiết (office, vietkey, media…). + Trong Trương Hợp Đang Ghost Nên Tránh Trường Hợp Mất Điện Đột Ngột. + Nên Tạo Một Phân Vùng Ẩn Để Bỏ Tập Tin Này Để Tránh Lỡ Xoá Nhầm Trường Hợp Virut Tấn Công Cũng Không bị Sao. Cài win từ le ghost Khi cài lại máy bằng việc bung File ghost. Vào phần ghost như nói ở trên (hoặc gõ lệnh ghost. exe trong Dog khi cho đĩa boot có chứa file ghost vào máy và restart). ->Chọn Local ->Partition ->From Image. Chọn Đường Dẫn Ổ Chứa File Ghost bằng cách Nhấn Shift+Tab Hay Nhấn Tab Chọn Thư mục Chứa File Ghost Duy Chuyển Mũi Tên Trên Bàn Phím Đến Tập Tin Ghost Rồi Nhấn Enter -> Nhấn Enter Để Tiếp Tục > Nhấn Enter Để Tiếp Tục Lưu Ý Phải Ghost Trên Ổ Chúng Ta Cài Win) > Nhấn Enter Để Tiếp Tục Chọn Yes Để Bắt Đâu Ghost Lại Hệ Thống Máy đang Ghost, chờ cho tới 100% là thành công. DIỆT VIRUS BẰNG TAY. Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài Windows) thì cần bảo đảm 6 công cụ chính Thường thì các virus "thú dữ" sẽ khoá các công cụ ở trên, hay gặp nhất là khoá task manager và regedit Mở/khoá task manager Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter : Code: REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter). Code: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0. Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này Code: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=dword:00000000 Cách 4: Dùng Group Policy Editor Start - Run - gpedit.msc rồi OK. Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager. Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK. Mở/khoá regedit Có 2 cách : 1. Mở Group Policy (Start > Run, gõ gpedit.msc) chọn User Configuration > Administrative Templates > System >Prevent access to registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy. 2. Chỉnh regedit Để cho phép mở Registry Editor bạn làm như sau : Mở Notepad và chép đọan mã sau vào Code: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System] "**.del.DisableRegistryTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System] "**del.DisableRegistryTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] "NoSaveSettings"=dword:00000000 Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy Mở/khoá Run trong Start Menu Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau: 1.Vào windows/system32/cmd.exe để mở cmd. 2.Start - Programs ->Accessories->Command Prompt Sau đó gõ regedit, tìm đến khóa này Code: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt. Nếu không khóa run trong REGISTRY thì tham khảo cách sau: Click chuột phải vào thanh taskbar rồi chọn Properties > StartMenu > Customize >> Advanced > kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ chọn đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu chọn vào là được. -Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ bật hiện file ẩn xong thì nó ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục như sau : vào Start - run - regedit và tìm đến khoá Code: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidde n\SHOWALL Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn. Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu lực. Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration - Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu". Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy chọn theo ý muốn. Nhấn OK để thoát ra ngoài. Ngoài ra bạn cũng nên tắt chế độ AutoPlay trên tất cả các ổ đĩa, phân vùng bằng cách Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration - Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All driver). Với W7 thì vào seting thay vì vào systerm. Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bước tiếp theo là quan trọng nhất : tìm xem virus nằm ở đâu để cách ly ra hoặc là xoá hẳn chúng. Diệt! Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào lạ, quan sát thật kĩ đường dẫn, tên của ứng dụng, thì bạn sẽ biết thôi, và cũng xin nhắc với bạn là : windows không bắt buộc phải nạp một trình ứng dụng .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ nào tự chạy từ system32 như là hkcmd.exe, avpo.exe, svchoost.exe, thì 90% đó là virus.Vậy cách ly hay xoá virus đi như thế nào? Hãy sử dụng cmd. Sau khi quan sát trong msconfig, thấy dc đưòng dẫn của virus rồi thì bước tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rồi tìm cách để cách ly hoặc xoá chúng ra khỏi máy. Ví dụ nhé, bạn quan sát thấy 1 file virus .exe tự chạy là Code: c:\windows\system32\hkcmd.exe Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ, của file này = cách chạy lệnh Code: attrib -r -a -s -h c:\windows\system32\hkcmd.exe r là read only a là atrtributes s là system h là hidden Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus này đi Sau đó hãy dùng lệnh del để xoá chúng đi Code: del c:\windows\system32\hkcmd.exe Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công. Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá xong thì có lại, hoặc không thể kết thúc tiến trình virus trong task manager. Khi ấy bạn có thể khởi động vào chế độ safe mode hoặc dos thật rồi xử lý. Nguyên tắc chung là tắt System Restore, tìm xóa các file Ntdelect.com, Ntdeiect.com, Autorun.inf và Kavo.exe ở trên hệ thống và trong Registry, sau đó sửa lại Registry để phục hồi các option hiển thị file và folder ẩn. Các bước thực hiện như sau: 1. Tắt System Restore - Nếu System Restore chưa bị virus vô hiệu hóa: bạn bấm phải vào biểu tượng My Computer > Properties > System Restore, đánh dấu chọn Turn off System restore on all drives > OK, không khởi động lại, và bạn cũng đừng bấm vào chỗ này chỗ nọ một cách không cần thiết để tránh làm cho virus phát tán trở lại. - Nếu System Restore đã bị virus vô hiệu hóa, làm cho các chữ và dấu chọn bị mờ đi không thể thay đổi gì được, bạn vào Start > Run, gõ gpedit.msc, bấm OK. Trong giao diện mới mở ra của Group Policy, bạn bấm theo đường dẫn: Computer Configuration \ Administrative Templates \ System \ System Restore. Bấm vào System Restore và nhìn sang bên phải, bạn bấm đôi vào Turn off System Restore, chọn Enable rồi OK. Thoát khỏi Group Policy mà không khởi động lại máy. 2. Xử lý trong Registry - Bạn vào Start > Run, trong hộp thoại Run gõ regedit, bấm OK để chạy trình soạn thảo Registry Editor. Sau khi giao diện của Registry Editor hiện ra, chọn thẻ Edit, vào Find, gõ vào hộp Find what nội dung tìm kiếm là NTdelect.com, đánh dấu chọn vào các mục Keys, Values và Data rồi bấm Find Next để bắt đầu tìm kiếm. Mỗi khi highlight (vệt thẫm) dừng tại giá trị nào thì bạn xóa ngay giá trị ấy bằng cách bấm phải vào chính chỗ có highlight và chọn Delete hoặc bấm phím Delete rồi Enter để xóa. Tiếp tục bấm F3 để tìm tiếp và xóa cho đến khi việc tìm kiếm kết thúc (khi có thông báo: Finished searching through the registry). - Bạn làm tương tự cho từ tìm kiếm là Kavo.exe và Ntdeiect.com (chữ hoa và chữ thường như nhau). Xóa tất cả các khóa tìm được. 3. Xử lý trong hệ thống Dùng đĩa Hiren’s boot CD khởi động máy tính (nhớ thiết lập trong BIOS Setup để máy có thể khởi động từ đĩa CD), chọn File Managers > Volkov Commander, chọn Yes với câu hỏi Do you want to use NTFS DOS để hỗ trợ các ổ cứng format theo định dạng NTFS (các ổ format theo định dạng FAT32 có thể chọn No), tiếp theo chọn Readwrite, chọn No cho câu hỏi Do you want to run CHKDSK (không quét đĩa). Chọn Yes cho câu hỏi Do you want to mount NTFS Pro with VC để hiển thị các ổ định dạng NTFS lên giao diện của Volkov Commander. - Sau khi giao diện của VC hiện ra, bấm Alt+F1 hoặc Alt+F2 để làm xuất hiện menu chọn ổ rồi vào thư mục gốc của các ổ logic để xóa tất cả các file Ntdelect.com, Ntdeiect.com và Autorun.inf. Ví dụ: đối với ổ C, ta tìm và xóa được C:\Ntdeiect.com, và C:\Autorun.inf (đặt highlight vào các file này rồi bấm F8). - Xóa các file Ntdelect.com-xxxxxxxx.pf trong C:\Windows\Prefetch (trong đó mỗi dấu x đại diện cho một chữ cái hoặc một số nào đó). Cũng trong thư mục này, bạn tìm xóa các file Ntdeiect.com- xxxxxxxx.pf và Kavo.exe-xxxxxxxx.pf (nếu có). - Xóa Kavo.exe trong C:\Windows\ System32 (nếu ổ đĩa cài hệ điều hành là ổ C). Máy của tôi cài cả XP và Vista thì vào C:\Windows\System32. - Xóa C:\Window\System32\Kavo0.dll. 4. Chỉnh sửa trong Registry - Khởi động lại máy. Lúc này, nếu máy có cài Bkav, tính năng tự bảo vệ của Bkav không còn báo virus nữa nhưng nếu vào Folder Options để cho hiển thị các file ẩn thì vẫn chưa được vì trước đó virus đã làm thay đổi registry, và sau khi virus bị diệt thì vẫn chưa được tái lập lại. Bạn chạy Registry Editor lên, bấm chuột theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\windows\CurrentVersion \Explorer\Advanced\Folder\Hidden \SHOWALL. Sau khi bấm vào SHOWALL, bạn hãy nhìn sang bên phải sẽ thấy tại cột Name, mục CheckedValue đang có giá trị bằng số trong ngoặc đơn là 0 (ở cột Data). Bạn hãy bấm đôi vào CheckedValue và gõ 1 vào ô Value data rồi bấm OK. Khởi động lại máy là hoàn tất. Lúc này, virus đã chết, việc hiển thị các file ẩn đã có thể tái lập theo ý bạn, và bạn có thể bật lại System Restore. Xử lý flash usb bị nhiễm virus kavo Theo kinh nghiệm của người viết bài, đối với virus Kavo, khi đã biết một đĩa flash USB bị nhiễm virus này, bạn đừng nghĩ có thể tránh cho máy khỏi nhiễm virus bằng cách giữ phím Shift trước rồi mới cắm vào để tránh làm kích hoạt tính năng Autorun. Thật ra, ngay sau khi bạn bấm chuột phải vào biểu tượng ổ USB và bấm Open để mở thì lập tức xuất hiện thông báo máy đã bị nhiễm virus rồi! Để tránh tình trạng này, bạn hãy làm như sau: - Truy cập vào USB trong môi trường DOS, vốn không phải là đất dụng võ của Kavo để xóa 3 file trong thư mục gốc của ổ USB là Autorun.inf, Ntdeiect.com, Ntdelect.com (thường chỉ tìm thấy một cặp gồm Autorun.inf cùng với một trong hai file bắt đầu bằng chữ Nt). Muốn chạy được driver của USB trong DOS, bạn làm như sau: cho đĩa Hiren’boot CD 9.3 (hoặc cũ hơn) vào ổ CD và khởi động lại máy. Ở giao diện Startup Menu, bạn đặt highlight vào lựa chọn 2 (Start Boot CD) rồi cắm USB flash vào cổng USB, bấm Enter rồi lần lượt theo các bước sau (nếu không phải đĩa Hiren’boot CD version 9.3 thì có thể khác đôi chút): - Chọn 9. Next - Chọn 7. DOS - Chọn 1. USB support - Chọn 2. Load usb drivers NO EMM386. - Enable IDE/SCSI CDROM support? (chọn YES). - Load SCSI drivers? (chọn NO). - Load standard CDROM driver? (chọn YES). - Trong bảng USB OPTIONS, chọn mục 1 (gõ 1). - Ở bảng cấu hình kế tiếp hiện ra, nếu PC của bạn là đời mới, bạn chọn vào dòng trên cùng (EHCI USB ) và bỏ chọn tất cả các dòng còn lại rồi bấm OK. Nếu PC của bạn là đời cũ thì chỉ chọn dòng thứ 3 (UHCI USB ), bỏ chọn tất cả các dòng còn lại rồi bấm OK. Tiếp đó, 4 hộp thoại lần lượt hiện ra, bạn đều chọn NO. Sau khi quá trình nạp driver kết thúc, xuất hiện giao diện dòng lệnh dạng R:\>, bạn gõ vào chữ m rồi gõ Enter. - Chọn File Manager > Volkov Commander. Kể từ đây thì lại theo các bước giống như ở bước 3 (xử lý trong hệ thống). Sau khi giao diện của VC hiện ra, bạn vào ổ S (chính là ổ USB) và xóa các file Autorun.inf, Ntdelect.com hoặc Ntdeiect.com giống như phần trước. Rút USB ra là xong. Theo cách nêu trên, bạn có thể dùng ngay cả một máy tính đã bị nhiễm Kavo để làm sạch cho một ổ flash USB bị nhiễm cùng loại virus này. Chú ý: - Nếu mở My Computer > Folder Options > View mà không thấy một trong hai mục chọn Do not show hidden files and folders và Show all hidden files and folders thì bạn tạo lại bằng cách: trong giao diện trên của Registry Editor, bạn bấm phải chuột vào vùng trống ở bên phải chọn New/DWORD Value và gõ vào vùng con trỏ đang nhấp nháy cụm từ CheckedValue hoặc DefaultValue tùy theo bạn mất mục chọn nào, rồi bấm đôi vào mục vừa tạo để đưa vào các giá trị trong ngoặc đơn là 1 đối với CheckedValue (mất Show all files and folders) và là 2 đối với DefaultValue (mất Do not show hidden files and folders). - Vì Registry là vùng nhạy cảm, Windows dễ bị hư luôn nếu thao tác sai nên bạn phải thận trọng sao lưu Registry trước khi xử lý nó (trên giao diện của Registry Editor vào Files > Export rồi gõ tên file bạn tự đặt vào ô File name vừa xuất hiện, chọn Save để lưu file vào thư mục My Documents phòng khi hữu sự thì sẽ import ngược trở lại. Nếu không kịp sao lưu, bạn có thể bấm liên tục F8 trong khi khởi động, và chọn Last known good configuration để phục hồi lại Registry trong trường hợp Windows bị trục trặc sau khi chỉnh sửa Registry. - Bạn không nhất thiết tìm thấy file bị nhiễm trong tất cả các phép tìm kiếm và tại tất cả các vị trí đã nêu trên, mà tùy theo mức độ lây nhiễm của từng máy, kết quả có thể khác biệt chút ít, nhưng nếu bạn nắm vững nguyên tắc đã trình bày trên đây, nhất định các bạn sẽ thành công . Kavo.exe-xxxxxxxx.pf (nếu có). - Xóa Kavo.exe trong C: Windows System32 (nếu ổ đĩa cài hệ điều hành là ổ C). Máy của tôi cài cả XP và Vista thì vào C: Windows System32. - Xóa C:WindowSystem32Kavo0.dll. 4 Press F8 = Agree (Nhấn F8 để chấp nhận hoặc Enter) 6- To set up windows XP on the selected item, then press ENTER (Để cài đặt Win XP trên khu vực nào thì thì dùng phím di chuyển lên xuống để chọn,. Ổ Mà Chúng Ta Cài Win Click Vào ghost.exe Cho Tập Tin Thực Hiện Việc Cài Đặt. Khởi Động Lại Máy Trong Giao Diện Boot Nó Xuất Hiện Hai Sự lựa Chọn “Microsoft Windowns Professional”(Là Windows Hiện