SysInternals ( mới bị Microsoft mua lại ) có Autoruns không  thể thiếu khi gỡ các phần mềm độc hại bằng tay .

Autoruns cho phép bạn theo dõi và điều khiển tất cả các chương trình mà khởi động tự động với Windows hoặc Internet Explorer . Thông thường tất cả những chương trình độc hại được thiết kế để khởi động tự động do đó có cơ hội để có thể nhận dạng và gỡ bỏ với sự trợ giúp của Autoruns .

Autoruns là một tiện ích độc lập không  cần phải cài đặt . Bạn chỉ cần tải về , giải nén và chạy .

Khi chạy Autoruns lần đầu tiên trên máy tính sẽ thấy cửa sổ liên quan tới thỏa thuận bản quyền , bạn chỉ cần bấm nút chọn Agree , cửa sổ chính của Autoruns hiện ra cho bạn thấy danh sách đầy đủ của tất cả phần mềm mà sẽ chạy khi máy tính khởi động , khi bạn đăng nhập hoặc khi bạn mở Internet Explorer :

Để tạm thời vô hiệu hóa chương trình khi khởi động , bỏ dấu tích ô bên cạnh danh mục .

Chú ý : Điều này không  làm cho chương trình đang chạy kết thúc mà nó chỉ ngăn chặn trong lần khởi động tiếp theo mà thôi .

Để ngăn chặn vĩnh viễn chương trình khi chạy , xóa danh mục ( dùng phím Delete hoặc bấm chuột phải vào đó là chọn Delete ) .

Chú ý : Việc này không  gỡ chương trình khỏi máy tính , để gỡ bỏ hoàn toàn bạn cần Uninstall chương trình , hoặc xóa nó trên ổ cứng .

Phần mềm nghi ngờ

Việc này cần phải có chút ít kinh nghiệm để có thể nhận biết đâu là độ hại và đâu không  phải là độc hại . Hầu hết những danh mục có trong Autoruns là những chương trình hợp lệ thậm chí ngay cả với những tên xa lạ với bạn .

Dưới đây là một số thủ thuật để hỗ trợ cho bạn phân biệt những gì là độc hại giữa những phần mềm hợp lệ :

• Nếu danh mục có kèm theo dấu hiệu số liên quan tới nhà phát triển phần mềm , trong cột Publisher hoặc trong phần Description , thì đó là dấu hiệu của hợp lệ .
• Nếu bạn nhận ra tên của phần mềm thì đó là tốt . Chú ý đôi khi Malware sẽ “mạo danh” phần mềm hợp pháp , tưong tự như với phần mềm quen thuộc , ví dụ “AcrobatLauncher” hoặc “PhotoshopBrowser” . Ngoài ra Malware thường dùng những cái tên vô thưởng vô phạt như “Diskfix” hoặc “SearchHelper” .
• Malware thường xuất hiện trong tab Logon của Autoruns nhưng không  phải là thường xuyên .
• Nếu bạn mở Folder mà có những File EXE hoặc DLL , kiểm tra ngày “Last Modified” , là những ngày thường cách đó vài ngày ( giả sử bạn mới bị lây nhiễm vài ngày gần đây ) .
• Malware thường nằm trong vị trí thư mục C:\\Windows hoặc C:\\Windows\\System32
• Malware thường dùng những Icon chung chung không rõ ràng ( bên trái tên của danh mục )

Nếu nghi ngờ , bấm chuột phải vào danh mục này và chọn Search Online …

Danh sách bên dưới cho thấy có hai danh mục khả nghi đó là :Diskfix và SearchHelper

Những vấn đề dưới đây hầu hết là những Malware như :

• Không  có thông tin trong Publishers và Descriptions
• Chúng có tên chung chung .
• Những File nằm trong thư mục C:\\Windows\\System32
• Chúng có những Icon chung chung
• Tên File là chuỗi kí tự ngẫu nhiên .
• Tới thư mục C:\\Windows\\System32 và tìm những File này , bạn sẽ thấy chúng có ngàu cuối cùng mới thay đổi , hình dưới .

Bấm đúp vào những mục này sẽ dẫn bạn tới từ khóa Registry tương ứng

Gỡ bỏ Malware

Ngay sau khi nhận ra những mục đang nghi ngờ , bạn cần quyết định nên làm gì với chúng . Bạn sẽ cần lựa chọn :

• Tạm thời vô hiệu hóa danh mục trong Autorun
• Xóa vĩnh viễn danh mục trong Autorun
• Xác định vị trí quy trình đang chạy ( dùng Task Manager hoặc tiện ích tương tự ) và kết thúc chúng .
• Xóa những File EXE hoặc DLL trên ổ cứng .
• Hoặc bạn sẽ phải làm tất cả những việc trên

Sau khi thay đổi , bạn cần khởi động lại máy và kiểm tra lại với Autoruns để xem những danh mục đã xóa có quay trở lại không .