Trong trường hợp bị nhiễm virus, chúng ta sẽ không tự động gán vào khoá HKLM\Software\Microsoft\Windows\CurrentVersion\Run registry
có nhiều nơi mà virus thay thêm vào các đoạn script và các shortcut khi khởi chạy tiến trình trong start up:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnc e] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSer vices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSer vicesOnce] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] Lưu ý: Một số khoá sau trong registry, giá trị đúng của nó là “%1%*”. Bất cứ chương trình nào mà thêm giá trị này sẽ thực thi các file nhị phân như (.exe, .com) vidụ: “virus.exe %1%*”
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
Cũng kiểm tra tại các nơi sau
Startup folder: kích vào Start->Programs->Startup, and right click on Startup and select "Open" from the menu. Check every file in this folder and make sure you know what they are. These files will startup automatically every time you login to your systems.
Windows Scheduler - kiểm tra nếu bất kỳ chương trình xem nó được đặt chạy vào những lúc nào. Đôi khi các virus thường sử dụng scheduler như một cách để cho chương trình thực thi. nằm trong c:\windows\task
Kiểm tra các file:
Win.ini (load=Trojan.exe or run=Trojan.exe) System.ini (Shell=Explorer.exe trojan.exe)
autoexec.bat – Tìm xem những file nào đựơc thêm vào, có thể theo các đuôi mở rộng : .exe, .scr, .pif, .com, .bat
config.sys – Tìm xem nhưng file nào được thêm vào
Dưới đây là những file mà virus gần đây hay dùng
- explorer.exe là một chương trình hợp pháp nằm trong thư mục c:\windows chứ không nằm trong c:\windows\system32 hoặc bất cứ nơi đâu khác - taskmgr.exe là một chương trình hợp lệ của windows đựoc gọi là
“taskmgr.exe” chứ không phải “taskmngr.exe” lưu ý là virus rất hay giả danh, đổi tên những file hệ thống
- rundll32.exe – là một chương trình hợp lệ của windows và nằm trong c:\windows\system32 chứ không nằm trong bất cứ nơi nào khác
Hãy cẩn thận với những file, những khoá trong registry khác mà virus có thể chạy :>
Thêm 1 ít: