CÀI WINDOWS XP.
Nhất Restart (Ctrl+shift+Del) giữ nguyên Del khi may đang bắt đầu restart.Để vào BIOS :

 !"#$!%&'()*+, (//(0121!0304560217
(890:((;*211.3<(2!(/(=62!!!>(?/%.@
<A(BCD#E'-1 717(/F//(G-/0HHHE()A7A*3/>3(1-(-IF!*
JKL(2!/0M569!>(?/%.H
1- set your CD drive as the first boot drive
2- Cho dĩa WinXP vào ổ CD cho máy chạy sẽ tự động boot.
3- Press any key to boot from CD (nhấn bất cứ phím nào để máy tự động boot)
4- Press ENTER để tiếp tục
5- Press F8 = Agree (Nhấn F8 để chấp nhận hoặc Enter)
6- To set up windows XP on the selected item, then press ENTER (Để cài đặt Win XP trên khu vực nào
thì thì dùng phím di chuyển lên xuống để chọn, sau đó nhấn Enter để chấp nhận)
7- To create a partition in the unpartitioned space, press C. (Nhấn C để tạo vùng cài mới)
8- To delete the selected partition, press D.
Format the partition using the NTFS file system ( nhấn Enter để chọn fomat NTFS cho Win XP, nên
chọn NTFS file system chạy ổn định hơn .)
Ghi Chú: 6; 7; 8;
6- khi máy install lần đầu hoặc Upgrade.
7- khi cần chia ổ cứng (partition hardive) C: hay D:
8- Máy đã partition nhưng muốn chia lại. Nếu chia Ổ Cứng làm C: Và D: Khi install hoàn tất, thì vào
Control Panel > Administrative Tools > Computermanagement > Disk Management; Để format những ổ
còn lại.
Sau đó chờ cho máy copy file và set up tới 100% thì máy sẽ tự động boot lại. sau đó sẽ là cài đặt các
tính năng của Win XP cho máy, như Mạng ( bỏ qua chọn not at this time,) thời gian….
Luôn Luôn coi theo chỉ dẫn khi máy đang vận hành.
 !"#$%&'()*+,-
./!012+34%5$-6174*+,-7389
2+*+,-:%;<,=!>?'-+@%.6+-,6+,A?B,'>+C
D$E> -F3)?+6GH)-%I*+,-&<"J

-F()K*+,-L"L3M4N*+,-E> -F
3)?+6F+G
O+P1+CQRS+QRSI#
Copy Phần Mềm NIITI - Ghos t Bỏ Vào Ổ C:\ Ổ
Mà Chúng Ta Cài Win Click Vào ghost.exe Cho
Tập Tin Thực Hiện Việc Cài Đặt.
Khởi Động Lại Máy Trong Giao Diện Boot Nó
Xuất Hiện Hai Sự lựa Chọn “Microsoft Windowns
Professional”(Là Windows Hiện Chúng Ta Dang
Sử Dụng) “ Ghost 11 (Phần Này Là Chương
TrìnhTa Vừa Cài Đặt) rồi Enter.
Sau Khi Đăng Nhập Thành Công Đây Là Giao
Diện Chính Của Chương Trình Ta Bắc Đầu Thực
Hiện Việc Ghost:
Chọn Local ->Partition ->To Image (Lưu Ý
Thao Tác Trong Chương Trình Chỉ Sử Dụng Các
Phím Mũi Tên Trên Bàn Phím Và Enter).
->Nhấn Enter Để Tiếp Tục.
Trong Trường Hợp Này Là Ta Chọn Phân Vùng
Cài Đặt Hệ Điều Hành Để Ghost Như Trên Hình
Ta Chọn Partition Theo Định Dạng Primary-
>Nhấn Enter Trước Rồi Nhấn Tab Để Trỏ Đến
Vùng Chọn ok.
Chọn Đường Dẫn Để Lưu File Chúng Ta Ghost
(Việc Lưu File Ghosh Chỉ Cho Phép Lưu Trên Ổ
Khác Không Cho Phép Ta Lưu Trên Ổ Chuẩn Bị
Ghost) ->Nhấn Shift+Tab Quay Lại Thư Mục Ta
Chọn Trước Đó hoặc Nhấn Tab Chọn Thư mục
Kế Tiếp Trong Trường Hợp Này Ta Lưu Trên Ổ
E:\ Và Đặt Tên Cho Tập Tin Này Là

WINDOWSXP3 Sau Đó Nhấn Save Lại.
Chọn Mức Độ No(Bình Thường) Fast(Tốc Độ
Nhanh) High(Nén Tối Ưu)
Thường Chúng Ta nên Chọn Bình Thường
-> Nhấn Yes Để Đồng Ý
Quá Trình Ghost Đang Thực Hiện
Như Vậy Là Ta Đã Có Một Bản Ghost Để Phong Trù Khi Hệ Thống Gặp Trục Trặc Chú Ý:
+ Để Có Một Bản Ghost Đầy Đủ thì Nên Cài Đặt Hết Những Phần Mềm Ứng Dụng Cần Thiết
(office, vietkey, media…).
+ Trong Trương Hợp Đang Ghost Nên Tránh Trường Hợp Mất Điện Đột Ngột.
+ Nên Tạo Một Phân Vùng Ẩn Để Bỏ Tập Tin Này Để Tránh Lỡ Xoá Nhầm Trường Hợp Virut Tấn
Công Cũng Không bị Sao.
Cài win từ le ghost
Khi cài lại máy bằng việc bung File ghost. Vào
phần ghost như nói ở trên (hoặc gõ lệnh ghost.
exe trong Dog khi cho đĩa boot có chứa file
ghost vào máy và restart).
->Chọn Local ->Partition ->From Image.
Chọn Đường Dẫn Ổ Chứa File Ghost bằng cách
Nhấn Shift+Tab Hay Nhấn Tab Chọn Thư mục
Chứa File Ghost Duy Chuyển Mũi Tên Trên Bàn
Phím Đến Tập Tin Ghost Rồi Nhấn Enter
-> Nhấn Enter Để Tiếp Tục
> Nhấn Enter Để Tiếp Tục
Lưu Ý Phải Ghost Trên Ổ Chúng Ta Cài Win)
> Nhấn Enter Để Tiếp Tục
Chọn Yes Để Bắt Đâu Ghost Lại Hệ Thống
Máy đang Ghost, chờ cho tới 100% là thành
công.
DIỆT VIRUS BẰNG TAY.

Để có thể diệt được virus bằng tay (tức là không dùng đến trình anti virus hay các công cụ gì khác ngoài
Windows) thì cần bảo đảm 6 công cụ chính Thường thì các virus "thú dữ" sẽ khoá các công cụ ở trên, hay gặp
nhất là khoá task manager và regedit
Mở/khoá task manager
Cách 1: Vào Start - Run - Cmd, copy đoạn lệnh sau, paste vào rồi Enter :
Code:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t
REG_DWORD /d 0 /f
Cách 2: Vào Registry Editor để chỉnh sửa: (Start -> Run -> gõ vào regedit rồi bấm Enter).
Code:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
Tìm khóa DisableTaskMgr bên phải và thay đổi giá trị thành 0.
Cách 3: Copy đoạn code này rồi save thành file có định dạng là .reg rồi chạy file này
Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Cách 4:
Dùng Group Policy Editor
Start - Run - gpedit.msc rồi OK.
Tìm theo: Administrative Templates - System - Ctrl+Alt+Delete Options - Remove Task Manager.
Double click vào Remove Task Manager rồi thiết lập là Not Configured, xong rồi OK.
Mở/khoá regedit
Có 2 cách :
1. Mở Group Policy
(Start > Run, gõ gpedit.msc) chọn User Configuration > Administrative Templates > System >Prevent access to
registry editing tools Mở khóa này, chọn Disable . Đóng Group Policy.
2. Chỉnh regedit
Để cho phép mở Registry Editor bạn làm như sau :
Mở Notepad và chép đọan mã sau vào

Code:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**.del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Group Policy
Objects\LocalUser\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"**del.DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000
Lưu tập tin này lại và đặt tên là enable_regedit.reg, khi nào cần bật regedit thì chạy
Mở/khoá Run trong Start Menu
Nếu khóa run trong REGISTRY thì chúng ta có thể vô cmd bằng các cách sau:
1.Vào windows/system32/cmd.exe để mở cmd.
2.Start - Programs ->Accessories->Command Prompt
Sau đó gõ regedit, tìm đến khóa này
Code:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\Advanced
Tạo 1 giá trị mới kiểu DWORD với tên "StartMenuRun" và sửa giá trị thành 0 nếu muốn tắt.
Nếu không khóa run trong REGISTRY thì tham khảo cách sau:
Click chuột phải vào thanh taskbar rồi chọn
Properties > StartMenu > Customize >> Advanced > kéo thanh trượt xuống và tìm khóa run comand sau đó bỏ
chọn đi rồi ấn OK là được. Nếu bạn muốn của sổ Run được hiện ra thì chỉ cần làm lại như trên và đánh dấu chọn
vào là được.
-Một tình trạng nữa mà nhiều người hay gặp phải đó là không thể chỉnh hiện file ẩn trong Folder Option được.Cứ
bật hiện file ẩn xong thì nó ẩn lại. Như vậy sẽ rất khó để có thể nhận dạng và tiêu diệt virus.Bạn hãy khắc phục

như sau : vào Start - run - regedit và tìm đến khoá
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionExplorer\Advanced\Folder\Hidde
n\SHOWALL
Chỉnh lại giá trị "Checked Value" thành 1 để có thể hiện được các file ẩn.
Chú ý : một số thay đổi trong regedit cần phải log off máy sau đó log on lại (hoặc restart máy) thì mới có hiệu
lực.
Start - run - gpedit.msc rồi OK để mở Group Policy. Sau đó bên khung trái, ta chọn User Configuration -
Administrative Templates - Windows Components - Windows Explorer. Kế đến ở khung bên phải, chuyển đến và
double click vào phần thiết lập "Removes the Folder Options menu item from the Tools menu".
Tại đây, ta có 3 tùy chọn là: Không thiết lập (Not Configured), Kích hoạt (Enabled), Khóa (Disabled). Chọn tùy
chọn theo ý muốn. Nhấn OK để thoát ra ngoài.
Ngoài ra bạn cũng nên tắt chế độ AutoPlay trên tất cả các ổ đĩa, phân vùng bằng cách
Vào Start - Run - GPEDIT.MSC - Enter - Group Policy - Local Computer Policy - User Configuration -
Administrative Templates - System - "Turn off Autoplay": Enable (Bạn nhớ chọn "Turn off autoplay on": All
driver). Với W7 thì vào seting thay vì vào systerm.
Sau khi đã chắc chắn là các công cụ ở trên đều đã tốt thì bước tiếp theo là quan trọng nhất : tìm xem virus nằm ở
đâu để cách ly ra hoặc là xoá hẳn chúng.
Diệt!
Hãy vào msconfig, phần startup và quan sát kĩ các ứng dụng được tự khởi động xem cái nào lạ, quan sát thật kĩ
đường dẫn, tên của ứng dụng, thì bạn sẽ biết thôi, và cũng xin nhắc với bạn là : windows không bắt buộc phải
nạp một trình ứng dụng .exe nào để có thể khởi động được bình thường cả.Vậy nên nếu bạn thấy có ứng dụng lạ
nào tự chạy từ system32 như là hkcmd.exe, avpo.exe, svchoost.exe, thì 90% đó là virus.Vậy cách ly hay xoá
virus đi như thế nào? Hãy sử dụng cmd. Sau khi quan sát trong msconfig, thấy dc đưòng dẫn của virus rồi thì
bước tiếp theo là hãy bật task manager lên để end process các tiến trình virus ấy đi rồi tìm cách để cách ly hoặc
xoá chúng ra khỏi máy.
Ví dụ nhé, bạn quan sát thấy 1 file virus .exe tự chạy là
Code:
c:\windows\system32\hkcmd.exe
Hãy vào cmd chạy lệnh attrib để xoá hết các thuộc tính ẩn,hệ thống,lưu trữ, của file này = cách chạy lệnh

Code:
attrib -r -a -s -h c:\windows\system32\hkcmd.exe
r là read only
a là atrtributes
s là system
h là hidden
Sỡ dĩ phải xoá đi các thuộc tính này là vì như vậy mới dễ xoá hay di chuyển những file virus này đi
Sau đó hãy dùng lệnh del để xoá chúng đi
Code:
del c:\windows\system32\hkcmd.exe
Nếu không thấy báo lỗi gì tức là bạn đã xoá thành công.
Có thể áp dụng tương tự cho trường hợp xóa file autorun.inf trên Flash USB
Tất nhiên là mọi chuyện không đơn giản như những gì mình đã trình bày, sẽ có nhiều sự cố về sau nữa như là xoá
xong thì có lại, hoặc không thể kết thúc tiến trình virus trong task manager. Khi ấy bạn có thể khởi động vào chế
độ safe mode hoặc dos thật rồi xử lý.
Nguyên tắc chung là tắt System Restore, tìm xóa các file Ntdelect.com, Ntdeiect.com, Autorun.inf và
Kavo.exe ở trên hệ thống và trong Registry, sau đó sửa lại Registry để phục hồi các option hiển thị file
và folder ẩn. Các bước thực hiện như sau:
1. Tắt System Restore
- Nếu System Restore chưa bị virus vô hiệu hóa: bạn bấm phải vào biểu tượng My Computer >
Properties > System Restore, đánh dấu chọn Turn off System restore on all drives > OK, không khởi
động lại, và bạn cũng đừng bấm vào chỗ này chỗ nọ một cách không cần thiết để tránh làm cho virus
phát tán trở lại.
- Nếu System Restore đã bị virus vô hiệu hóa, làm cho các chữ và dấu chọn bị mờ đi không thể
thay đổi gì được, bạn vào Start > Run, gõ gpedit.msc, bấm OK. Trong giao diện mới mở ra của Group
Policy, bạn bấm theo đường dẫn: Computer Configuration \ Administrative Templates \ System \
System Restore. Bấm vào System Restore và nhìn sang bên phải, bạn bấm đôi vào Turn off System
Restore, chọn Enable rồi OK. Thoát khỏi Group Policy mà không khởi động lại máy.
2. Xử lý trong Registry
- Bạn vào Start > Run, trong hộp thoại Run gõ regedit, bấm OK để chạy trình soạn thảo Registry

Editor. Sau khi giao diện của Registry Editor hiện ra, chọn thẻ Edit, vào Find, gõ vào hộp Find what nội
dung tìm kiếm là NTdelect.com, đánh dấu chọn vào các mục Keys, Values và Data rồi bấm Find Next
để bắt đầu tìm kiếm. Mỗi khi highlight (vệt thẫm) dừng tại giá trị nào thì bạn xóa ngay giá trị ấy bằng
cách bấm phải vào chính chỗ có highlight và chọn Delete hoặc bấm phím Delete rồi Enter để xóa. Tiếp
tục bấm F3 để tìm tiếp và xóa cho đến khi việc tìm kiếm kết thúc (khi có thông báo: Finished searching
through the registry).
- Bạn làm tương tự cho từ tìm kiếm là Kavo.exe và Ntdeiect.com (chữ hoa và chữ thường như
nhau). Xóa tất cả các khóa tìm được.
3. Xử lý trong hệ thống
Dùng đĩa Hiren’s boot CD khởi động máy tính (nhớ thiết lập trong BIOS Setup để máy có thể khởi
động từ đĩa CD), chọn File Managers > Volkov Commander, chọn Yes với câu hỏi Do you want to use
NTFS DOS để hỗ trợ các ổ cứng format theo định dạng NTFS (các ổ format theo định dạng FAT32 có
thể chọn No), tiếp theo chọn Readwrite, chọn No cho câu hỏi Do you want to run CHKDSK (không quét
đĩa). Chọn Yes cho câu hỏi Do you want to mount NTFS Pro with VC để hiển thị các ổ định dạng NTFS
lên giao diện của Volkov Commander.
- Sau khi giao diện của VC hiện ra, bấm Alt+F1 hoặc Alt+F2 để làm xuất hiện menu chọn ổ rồi vào
thư mục gốc của các ổ logic để xóa tất cả các file Ntdelect.com, Ntdeiect.com và Autorun.inf. Ví dụ: đối
với ổ C, ta tìm và xóa được C:\Ntdeiect.com, và C:\Autorun.inf (đặt highlight vào các file này rồi bấm
F8).
- Xóa các file Ntdelect.com-xxxxxxxx.pf trong C:\Windows\Prefetch (trong đó mỗi dấu x đại diện cho
một chữ cái hoặc một số nào đó). Cũng trong thư mục này, bạn tìm xóa các file Ntdeiect.com-
xxxxxxxx.pf và Kavo.exe-xxxxxxxx.pf (nếu có).
- Xóa Kavo.exe trong C:\Windows\ System32 (nếu ổ đĩa cài hệ điều hành là ổ C). Máy của tôi cài cả
XP và Vista thì vào C:\Windows\System32.
- Xóa C:\Window\System32\Kavo0.dll.
4. Chỉnh sửa trong Registry
- Khởi động lại máy. Lúc này, nếu máy có cài Bkav, tính năng tự bảo vệ của Bkav không còn báo
virus nữa nhưng nếu vào Folder Options để cho hiển thị các file ẩn thì vẫn chưa được vì trước đó virus
đã làm thay đổi registry, và sau khi virus bị diệt thì vẫn chưa được tái lập lại. Bạn chạy Registry Editor
lên, bấm chuột theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\windows\CurrentVersion \Explorer\Advanced\Folder\Hidden \SHOWALL. Sau khi bấm vào
SHOWALL, bạn hãy nhìn sang bên phải sẽ thấy tại cột Name, mục CheckedValue đang có giá trị bằng
số trong ngoặc đơn là 0 (ở cột Data). Bạn hãy bấm đôi vào CheckedValue và gõ 1 vào ô Value data rồi
bấm OK. Khởi động lại máy là hoàn tất. Lúc này, virus đã chết, việc hiển thị các file ẩn đã có thể tái lập
theo ý bạn, và bạn có thể bật lại System Restore.
Xử lý flash usb bị nhiễm virus kavo
Theo kinh nghiệm của người viết bài, đối với virus Kavo, khi đã biết một đĩa flash USB bị nhiễm
virus này, bạn đừng nghĩ có thể tránh cho máy khỏi nhiễm virus bằng cách giữ phím Shift trước rồi mới
cắm vào để tránh làm kích hoạt tính năng Autorun. Thật ra, ngay sau khi bạn bấm chuột phải vào biểu
tượng ổ USB và bấm Open để mở thì lập tức xuất hiện thông báo máy đã bị nhiễm virus rồi! Để tránh
tình trạng này, bạn hãy làm như sau:
- Truy cập vào USB trong môi trường DOS, vốn không phải là đất dụng võ của Kavo để xóa 3 file
trong thư mục gốc của ổ USB là Autorun.inf, Ntdeiect.com, Ntdelect.com (thường chỉ tìm thấy một cặp
gồm Autorun.inf cùng với một trong hai file bắt đầu bằng chữ Nt). Muốn chạy được driver của USB
trong DOS, bạn làm như sau: cho đĩa Hiren’boot CD 9.3 (hoặc cũ hơn) vào ổ CD và khởi động lại máy.
Ở giao diện Startup Menu, bạn đặt highlight vào lựa chọn 2 (Start Boot CD) rồi cắm USB flash vào
cổng USB, bấm Enter rồi lần lượt theo các bước sau (nếu không phải đĩa Hiren’boot CD version 9.3 thì
có thể khác đôi chút):
- Chọn 9. Next
- Chọn 7. DOS
- Chọn 1. USB support
- Chọn 2. Load usb drivers NO EMM386.
- Enable IDE/SCSI CDROM support? (chọn YES).
- Load SCSI drivers? (chọn NO).
- Load standard CDROM driver? (chọn YES).
- Trong bảng USB OPTIONS, chọn mục 1 (gõ 1).
- Ở bảng cấu hình kế tiếp hiện ra, nếu PC của bạn là đời mới, bạn chọn vào dòng trên cùng (EHCI
USB ) và bỏ chọn tất cả các dòng còn lại rồi bấm OK. Nếu PC của bạn là đời cũ thì chỉ chọn dòng thứ
3 (UHCI USB ), bỏ chọn tất cả các dòng còn lại rồi bấm OK. Tiếp đó, 4 hộp thoại lần lượt hiện ra, bạn
đều chọn NO. Sau khi quá trình nạp driver kết thúc, xuất hiện giao diện dòng lệnh dạng R:\>, bạn gõ

vào chữ m rồi gõ Enter.
- Chọn File Manager > Volkov Commander. Kể từ đây thì lại theo các bước giống như ở bước 3 (xử
lý trong hệ thống). Sau khi giao diện của VC hiện ra, bạn vào ổ S (chính là ổ USB) và xóa các file
Autorun.inf, Ntdelect.com hoặc Ntdeiect.com giống như phần trước. Rút USB ra là xong.
Theo cách nêu trên, bạn có thể dùng ngay cả một máy tính đã bị nhiễm Kavo để làm sạch cho một
ổ flash USB bị nhiễm cùng loại virus này.
Chú ý:
- Nếu mở My Computer > Folder Options > View mà không thấy một trong hai mục chọn Do not
show hidden files and folders và Show all hidden files and folders thì bạn tạo lại bằng cách: trong giao
diện trên của Registry Editor, bạn bấm phải chuột vào vùng trống ở bên phải chọn New/DWORD Value
và gõ vào vùng con trỏ đang nhấp nháy cụm từ CheckedValue hoặc DefaultValue tùy theo bạn mất
mục chọn nào, rồi bấm đôi vào mục vừa tạo để đưa vào các giá trị trong ngoặc đơn là 1 đối với
CheckedValue (mất Show all files and folders) và là 2 đối với DefaultValue (mất Do not show hidden
files and folders).
- Vì Registry là vùng nhạy cảm, Windows dễ bị hư luôn nếu thao tác sai nên bạn phải thận trọng
sao lưu Registry trước khi xử lý nó (trên giao diện của Registry Editor vào Files > Export rồi gõ tên file
bạn tự đặt vào ô File name vừa xuất hiện, chọn Save để lưu file vào thư mục My Documents phòng khi
hữu sự thì sẽ import ngược trở lại. Nếu không kịp sao lưu, bạn có thể bấm liên tục F8 trong khi khởi
động, và chọn Last known good configuration để phục hồi lại Registry trong trường hợp Windows bị
trục trặc sau khi chỉnh sửa Registry.
- Bạn không nhất thiết tìm thấy file bị nhiễm trong tất cả các phép tìm kiếm và tại tất cả các vị trí đã
nêu trên, mà tùy theo mức độ lây nhiễm của từng máy, kết quả có thể khác biệt chút ít, nhưng nếu bạn
nắm vững nguyên tắc đã trình bày trên đây, nhất định các bạn sẽ thành công