Nhiễm trùng phần mềm độc hại có thể biểu hiện một loạt các triệu chứng - hoặc không có gì cả. Thật vậy, các mối đe dọa xảo quyệt nhất (kẻ ăn cắp mật khẩu và trojans trộm cắp dữ liệu) hiếm khi hiển thị bất kỳ dấu hiệu cho thấy dấu hiệu của nhiễm trùng. Trong các trường hợp khác, chẳng hạn như scareware, bạn có thể gặp sự cố hệ thống hoặc không có khả năng truy cập các tiện ích nhất định như Task Manager.
Tùy thuộc vào cấp độ kinh nghiệm của bạn, có nhiều tùy chọn khác nhau mà bạn có thể thử. Sau đây là danh sách các tùy chọn đó bắt đầu với các tùy chọn dễ dàng nhất và làm việc thông qua nâng cao hơn.
Hãy thử phần mềm chống vi-rút của bạn trước tiên
Nếu máy tính Windows của bạn bị nhiễm vi-rút, bước đầu tiên của bạn phải là cập nhật phần mềm chống vi-rút và quét toàn bộ hệ thống. Đảm bảo bạn đóng tất cả các chương trình trước khi chạy quét. Quá trình quét này có thể mất vài giờ, do đó, hãy thực hiện tác vụ này khi bạn không cần sử dụng máy tính trong một thời gian. (Nếu máy tính của bạn đã bị nhiễm, bạn thực sự không nên sử dụng nó.)
Nếu tìm thấy phần mềm độc hại, trình quét chống vi-rút nói chung sẽ thực hiện một trong ba hành động sau: xóa, kiểm dịch hoặc xóa . Nếu sau khi chạy quá trình quét, phần mềm độc hại bị xóa nhưng bạn nhận được lỗi hệ thống hoặc màn hình xanh chết, bạn có thể cần phải khôi phục các tệp hệ thống bị thiếu .
Khởi động vào Chế độ An toàn
Chế độ an toàn ngăn các ứng dụng tải và cho phép bạn tương tác với hệ điều hành trong môi trường được kiểm soát nhiều hơn. Mặc dù không phải tất cả phần mềm chống vi-rút sẽ hỗ trợ nó, hãy thử khởi động vào Chế độ An toàn và chạy quét vi-rút từ đó. Nếu Chế độ An toàn sẽ không khởi động hoặc chương trình diệt vi-rút của bạn sẽ không chạy trong Chế độ An toàn, hãy thử khởi động bình thường nhưng bấm và giữ phím shift khi Windows bắt đầu tải. Làm như vậy sẽ ngăn không cho bất kỳ ứng dụng nào (kể cả một số phần mềm độc hại) tải khi Windows khởi động.
Nếu ứng dụng (hoặc phần mềm độc hại) vẫn tải, thì cài đặt ShiftOveride có thể đã bị phần mềm độc hại thay đổi. Để giải quyết vấn đề đó, hãy xem Cách tắt ShiftOveride.
Cố gắng định vị và loại bỏ phần mềm độc hại theo cách thủ công
Phần lớn các phần mềm độc hại ngày nay có thể vô hiệu hóa phần mềm chống vi-rút và do đó ngăn chặn nó khỏi việc loại bỏ sự lây nhiễm. Trong trường hợp đó, bạn có thể tìm cách loại bỏ vi rút khỏi hệ thống của mình theo cách thủ công. Tuy nhiên, cố gắng loại bỏ một cách thủ công một loại virus đòi hỏi một mức độ nhất định của kỹ năng và hiểu biết về Windows. Tối thiểu, bạn cần phải biết cách:
- Sử dụng đăng ký hệ thống
- Điều hướng sử dụng biến môi trường
- Duyệt các thư mục và định vị tệp
- Xác định vị trí các điểm nhập AutoStart
- Lấy một hàm băm (MD5 / SHA1 / CRC) của một tệp
- Truy cập Trình quản lý Tác vụ Windows
- Khởi động vào Chế độ An toàn
Bạn cũng sẽ cần phải đảm bảo rằng xem mở rộng tập tin được kích hoạt (theo mặc định nó không phải là, vì vậy đây là một bước cực kỳ quan trọng). Bạn cũng sẽ cần phải đảm bảo rằng tự động chạy bị tắt .
Bạn cũng có thể cố gắng đóng các quy trình phần mềm độc hại bằng cách sử dụng Trình quản lý tác vụ . Chỉ cần nhấp chuột phải vào quá trình bạn muốn dừng và chọn "quá trình kết thúc". Nếu bạn không thể định vị các tiến trình đang chạy thông qua Trình quản lý tác vụ, bạn có thể kiểm tra các điểm nhập AutoStart chung để tìm vị trí mà phần mềm độc hại đang tải. Tuy nhiên, lưu ý rằng phần lớn các phần mềm độc hại ngày nay có thể được kích hoạt rootkit và do đó sẽ bị ẩn khỏi chế độ xem.
Nếu bạn không thể xác định được tiến trình đang chạy bằng cách sử dụng Trình quản lý tác vụ hoặc bằng cách kiểm tra các điểm nhập AutoStart, hãy chạy trình quét rootkit để thử và xác định các tệp / quy trình có liên quan. Phần mềm độc hại cũng có thể ngăn truy cập vào các tùy chọn thư mục để bạn không thể thay đổi các tùy chọn đó để xem các tệp hoặc phần mở rộng tệp ẩn. Trong trường hợp đó, bạn cũng sẽ cần bật lại tùy chọn xem thư mục.
Nếu bạn có thể định vị thành công (các) tệp đáng ngờ, hãy lấy hàm băm MD5 hoặc SHA1 cho (các) tệp và sử dụng công cụ tìm kiếm để tìm chi tiết về nó bằng cách sử dụng hàm băm. Điều này đặc biệt hữu ích trong việc xác định liệu một tệp nghi ngờ có thực sự độc hại hay hợp pháp hay không. Bạn cũng có thể gửi tệp đến máy quét trực tuyến để chẩn đoán.
Khi bạn đã xác định các tệp độc hại, bước tiếp theo của bạn sẽ là xóa chúng. Điều này có thể phức tạp, vì phần mềm độc hại thường sử dụng nhiều tệp theo dõi và ngăn các tệp độc hại bị xóa. Nếu bạn không thể xóa tệp độc hại, hãy thử hủy đăng ký dll được liên kết với tệp hoặc ngừng quá trình winlogon và thử xóa lại (các) tệp.
Tạo đĩa CD cứu hộ có thể khởi động
Nếu không có bước nào trong số các bước trên hoạt động, bạn có thể cần phải tạo đĩa CD cứu hộ cung cấp khả năng truy cập không hoạt động vào ổ đĩa bị nhiễm. Các tùy chọn bao gồm BartPE (Windows XP), VistaPE (Windows Vista) và WindowsPE (Windows 7).
Sau khi khởi động vào đĩa CD cứu hộ, một lần nữa kiểm tra các điểm nhập AutoStart chung để tìm vị trí mà phần mềm độc hại đang tải. Duyệt đến các vị trí được cung cấp trong các điểm nhập AutoStart này và xóa các tệp độc hại. (Nếu không chắc chắn, hãy lấy hàm băm MD5 hoặc SHA1 và sử dụng công cụ tìm kiếm yêu thích của bạn để điều tra các tệp bằng cách sử dụng băm đó.
Cuối cùng Resort: Reformat và cài đặt lại
Cuối cùng, nhưng thường là lựa chọn tốt nhất là định dạng lại ổ đĩa cứng của máy tính bị nhiễm và cài đặt lại hệ điều hành và tất cả các chương trình. Trong khi tẻ nhạt, phương pháp này đảm bảo sự phục hồi an toàn nhất có thể từ nhiễm trùng. Hãy chắc chắn thay đổi mật khẩu đăng nhập của bạn cho máy tính và bất kỳ trang web trực tuyến nhạy cảm nào (bao gồm ngân hàng, mạng xã hội, email, v.v.), sau khi bạn hoàn thành việc khôi phục hệ thống của mình.
Hãy ghi nhớ rằng trong khi nói chung là an toàn để khôi phục các tệp dữ liệu (tức là các tệp bạn đã tự tạo), trước tiên bạn cần phải đảm bảo chúng không chứa một nhiễm trùng. Nếu các tệp sao lưu của bạn được lưu trữ trên ổ USB, không cắm lại vào máy tính mới được khôi phục cho đến khi bạn tắt tính năng tự động chạy . Nếu không, khả năng tái nhiễm thông qua một con sâu autorun là rất cao.
Sau khi tắt tự động chạy, hãy cắm ổ đĩa dự phòng của bạn và quét bằng một vài máy quét trực tuyến khác nhau. Nếu bạn nhận được một hóa đơn sạch từ hai hoặc nhiều máy quét trực tuyến, bạn có thể cảm thấy an toàn khi khôi phục các tệp đó vào máy tính đã khôi phục của mình.