Đăng Nhập
Tìm kiếm
Top posting users this month
| No user |
Thống Kê
Hiện có 3 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 3 Khách viếng thăm :: 1 BotKhông
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Virus system.exe và userinit.exe
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN
Trang 1 trong tổng số 1 trang
10062010
Virus system.exe và userinit.exe
Virus system.exe và userinit.exe
[You must be registered and logged in to see this link.]Hôm qua máy tính của người bạn tôi bị 2 con này, tôi loay hoay mãi vẩn chưa nghĩ ra được cách giãi quyết!… Diệt nó thì thật dể dàng, chỉ cần dùng Process Explorer để End tiến trình của nó, rồi tìm trong ổ C và Delete 2 file ấy là xong!… Tuy nhiên hậu quả sau đó thật khó lường:
1> Nếu xóa không triệt để thì lần khởi động sau chúng sẽ tự tái tạo lại (vì chúng không nằm ở 1 nơi)
2> Nếu xóa thật sạch thì chắc ăn lần sau không bao giờ khởi động được, máy tính sẽ tự logoff khi vừa logon vào
Các chương trình diệt virus hình như cũng chưa làm gì được với 2 con này, nhất là con userinit.exe (xóa nó là hết logon)
Mình nghĩ cái này là do virus rồi. Nó sẽ tạo userint.exe. tại c:\windows\userinit.exe.
Nếu bạn vào c:\windows\system32\userinit.exe. file userinit.exe bây giờ ko phải là file nửa mà nó có biểu tượng của folder .exe.
Bạn tìm cách xóa nó. và chép từ file userinit.exe từ các máy không bị nhiễm thì sẽ start lại bình thường.
Giá trị virus làm thay đổi là:
HKLM\software\microsoft\windows NT\winlogon, xem userint là userinit.exe , nhớ là dấu phẩy.
Mấy huynh cho hỏi làm sao copy 1file userinit.exe từ máy khác bình thường sang một máy đã nhiễm virus ko thể vào tới màn hình logon (ko khởi động Windows) như đã nêu trên được vậy.
Có nhiều cách:
1. Bạn ra ngoài kiếm đĩa cd Win PE (Live CD Windows), dùng đĩa này để chép
2. Dùng Hirent boot vào Windows 98 nếu Windows cài trên FAT32. Hoặc vào trực tiếp DOS chép
- Copy cái file userinit.exe vô USB, bỏ đĩa cài win vô chạy Recovery Console, copy file userint.exe trong USB vô C:\windows\system32 của máy bị virus
- Nói chung làm sao mà chép được vào C:\windows\system32 của máy bị virus là OK
Bắt mạch:
1. Chạy được trong safe mode.
2. Có 2 process bảo vệ lẫn nhau là : Userinit.exe và System.exe
3. Hiện tượng: Máy khởi động xong phải đợi rất lâu mới sử dụng được.
Kê toa:
1. Dùng Process Explorer để kill 2 process này (Sử dụng Kill tree), rất dễ nhận ra vì chúng có icon là hình thư mục vàng khè. ^^
2. Vào Tools\Folder Option chọn chế độ hiển thị file ẩn và file hệ thống sau đó xóa 2 file sau:
C:\Windows\ Userinit.exe
C:\Windows\System32\ System.exe
Chúng đều có icon hình thư mục.
3. Để khởi động được trong safe mode, nó đã sửa registry của bạn.
Có 2 cách để khắc phục. Nếu bạn bỏ qua bước 3 thì máy tính sẽ không thể logon vào hệ điều hành.
Cách 1: Copy file C:\Windows\System32\Userinit.exe vào C:\Windows\ Userinit.exe
Cách 2: Chạy file reg đính kèm cho bạn.
Xong rồi thì bạn khởi động lại máy tính.
Bạn lưu ý bước 3 cần thực hiện chính xác và Win phải được cài ở C
SỬ DỤNG RECOVERY CONSOLE
Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console.
Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any key to boot from CD.
Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).
Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).
Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).
Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).
cd system32
copy userinit.exe wsaupdater.exe
exit
Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường.
Chọn Start. Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.
Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn modify.
Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe,) (hình 1)
Chọn OK và đóng Registry Editor.
Bước 3. Xóa tập tin wsaupdater.exe
Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị (Administrators).
Chọn Start. Run, gõ dòng lệnh %Windir%\system32, nhấn OK (hoặc mở Windows Explorer, tìm đến thư mục Windows\System32)
Tìm tập tin wsaupdater.exe trong thư mục Windows\System32, chọn Delete, nhấn OK xác nhận xóa.
Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải được thực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windows hoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiến hành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại theo các hướng dẫn trong bài “Chăm sóc và bảo dưỡng Windows Registry” (ID: A0205_90).
SỬ DỤNG MINI-PE
Nếu có sẵn một trong những đĩa “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’s PE Builder, miniPE… Bạn có thể trực tiếp chỉnh sửa Registry của Windows bằng những tiện ích sẵn có để đơn giản hóa việc khắc phục. Trong bài viết này, chúng tôi sẽ hướng dẫn sử dụng tiện ích Avast! Registry Editor (ARE) trong CD miniPE. Có thể tải về phiên bản mới nhất của miniPE tại
[You must be registered and logged in to see this link.].
Khởi động máy tính bằng CD miniPE (trong trường hợp cần thiết, bạn cần thiết lập để máy tính khởi động từ ổ CD-ROM hoặc nhấn phím tắt để hiển thị tùy chọn khởi động từ các thiết bị phần cứng khác nhau).
Sau khi khởi động, giao diện miniPE khá giống với Windows, dễ dàng cho người dùng thao tác (hình 2).
Chọn Start. Programs. Registry Tools. Avast! Registry Editor để khởi động tiện ích. ARE sẽ liệt kê các HĐH và các tập tin Registry tìm thấy. Nếu chỉ có 1 HĐH, bạn không phải đắn đo khi chọn Load selected OS registry (hình 3).
Trong cửa sổ Registry Editor quen thuộc, thực hiện các thao tác như bước 2 bên trên (hình 4).
Thoát khỏi ARE. Khởi chạy Windows Explorer trong Start. Programs.File Management và thực hiện việc xóa tập tin wsaupdater.exe như bước 3.
Ngoài ra, bạn cũng nên “tận dụng” các phần mềm chống virus trong Programs. AntiVirus/Spyware để không bỏ “lọt lưới” các virus mà Norton AntiVirus, Lavasoft Ad-Aware… trong Windows không phát hiện được. Trong bài viết khác, chúng ta sẽ cùng nhau tìm hiểu thêm về các phần mềm chống virus này.
[You must be registered and logged in to see this link.]Hôm qua máy tính của người bạn tôi bị 2 con này, tôi loay hoay mãi vẩn chưa nghĩ ra được cách giãi quyết!… Diệt nó thì thật dể dàng, chỉ cần dùng Process Explorer để End tiến trình của nó, rồi tìm trong ổ C và Delete 2 file ấy là xong!… Tuy nhiên hậu quả sau đó thật khó lường:
1> Nếu xóa không triệt để thì lần khởi động sau chúng sẽ tự tái tạo lại (vì chúng không nằm ở 1 nơi)
2> Nếu xóa thật sạch thì chắc ăn lần sau không bao giờ khởi động được, máy tính sẽ tự logoff khi vừa logon vào
Các chương trình diệt virus hình như cũng chưa làm gì được với 2 con này, nhất là con userinit.exe (xóa nó là hết logon)
Mình nghĩ cái này là do virus rồi. Nó sẽ tạo userint.exe. tại c:\windows\userinit.exe.
Nếu bạn vào c:\windows\system32\userinit.exe. file userinit.exe bây giờ ko phải là file nửa mà nó có biểu tượng của folder .exe.
Bạn tìm cách xóa nó. và chép từ file userinit.exe từ các máy không bị nhiễm thì sẽ start lại bình thường.
Giá trị virus làm thay đổi là:
HKLM\software\microsoft\windows NT\winlogon, xem userint là userinit.exe , nhớ là dấu phẩy.
Mấy huynh cho hỏi làm sao copy 1file userinit.exe từ máy khác bình thường sang một máy đã nhiễm virus ko thể vào tới màn hình logon (ko khởi động Windows) như đã nêu trên được vậy.
Có nhiều cách:
1. Bạn ra ngoài kiếm đĩa cd Win PE (Live CD Windows), dùng đĩa này để chép
2. Dùng Hirent boot vào Windows 98 nếu Windows cài trên FAT32. Hoặc vào trực tiếp DOS chép
- Copy cái file userinit.exe vô USB, bỏ đĩa cài win vô chạy Recovery Console, copy file userint.exe trong USB vô C:\windows\system32 của máy bị virus
- Nói chung làm sao mà chép được vào C:\windows\system32 của máy bị virus là OK
Bắt mạch:
1. Chạy được trong safe mode.
2. Có 2 process bảo vệ lẫn nhau là : Userinit.exe và System.exe
3. Hiện tượng: Máy khởi động xong phải đợi rất lâu mới sử dụng được.
Kê toa:
1. Dùng Process Explorer để kill 2 process này (Sử dụng Kill tree), rất dễ nhận ra vì chúng có icon là hình thư mục vàng khè. ^^
2. Vào Tools\Folder Option chọn chế độ hiển thị file ẩn và file hệ thống sau đó xóa 2 file sau:
C:\Windows\ Userinit.exe
C:\Windows\System32\ System.exe
Chúng đều có icon hình thư mục.
3. Để khởi động được trong safe mode, nó đã sửa registry của bạn.
Có 2 cách để khắc phục. Nếu bạn bỏ qua bước 3 thì máy tính sẽ không thể logon vào hệ điều hành.
Cách 1: Copy file C:\Windows\System32\Userinit.exe vào C:\Windows\ Userinit.exe
Cách 2: Chạy file reg đính kèm cho bạn.
Xong rồi thì bạn khởi động lại máy tính.
Bạn lưu ý bước 3 cần thực hiện chính xác và Win phải được cài ở C
SỬ DỤNG RECOVERY CONSOLE
Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console.
Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any key to boot from CD.
Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).
Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).
Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).
Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).
cd system32
copy userinit.exe wsaupdater.exe
exit
Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường.
Chọn Start. Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.
Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn modify.
Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe,) (hình 1)
Chọn OK và đóng Registry Editor.
Bước 3. Xóa tập tin wsaupdater.exe
Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị (Administrators).
Chọn Start. Run, gõ dòng lệnh %Windir%\system32, nhấn OK (hoặc mở Windows Explorer, tìm đến thư mục Windows\System32)
Tìm tập tin wsaupdater.exe trong thư mục Windows\System32, chọn Delete, nhấn OK xác nhận xóa.
Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải được thực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windows hoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiến hành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại theo các hướng dẫn trong bài “Chăm sóc và bảo dưỡng Windows Registry” (ID: A0205_90).
SỬ DỤNG MINI-PE
Nếu có sẵn một trong những đĩa “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’s PE Builder, miniPE… Bạn có thể trực tiếp chỉnh sửa Registry của Windows bằng những tiện ích sẵn có để đơn giản hóa việc khắc phục. Trong bài viết này, chúng tôi sẽ hướng dẫn sử dụng tiện ích Avast! Registry Editor (ARE) trong CD miniPE. Có thể tải về phiên bản mới nhất của miniPE tại
[You must be registered and logged in to see this link.].Khởi động máy tính bằng CD miniPE (trong trường hợp cần thiết, bạn cần thiết lập để máy tính khởi động từ ổ CD-ROM hoặc nhấn phím tắt để hiển thị tùy chọn khởi động từ các thiết bị phần cứng khác nhau).
Sau khi khởi động, giao diện miniPE khá giống với Windows, dễ dàng cho người dùng thao tác (hình 2).
Chọn Start. Programs. Registry Tools. Avast! Registry Editor để khởi động tiện ích. ARE sẽ liệt kê các HĐH và các tập tin Registry tìm thấy. Nếu chỉ có 1 HĐH, bạn không phải đắn đo khi chọn Load selected OS registry (hình 3).
Trong cửa sổ Registry Editor quen thuộc, thực hiện các thao tác như bước 2 bên trên (hình 4).
Thoát khỏi ARE. Khởi chạy Windows Explorer trong Start. Programs.File Management và thực hiện việc xóa tập tin wsaupdater.exe như bước 3.
Ngoài ra, bạn cũng nên “tận dụng” các phần mềm chống virus trong Programs. AntiVirus/Spyware để không bỏ “lọt lưới” các virus mà Norton AntiVirus, Lavasoft Ad-Aware… trong Windows không phát hiện được. Trong bài viết khác, chúng ta sẽ cùng nhau tìm hiểu thêm về các phần mềm chống virus này.
BS Se S2T- Chuyên viên an ninh Se S2T
-
Con Giáp : 
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T: (35/50)
Share this post on:
Similar topics» Diệt virus tạo file System.exe
» Virus Effect Remover – Khắc phục hậu quả virus do virus gây ra
» Virus siêu đa hình thách thức các phần mềm diệt virus
» Logo System Properties 1.1 đóng dấu bản quyền lên System Properties của Windows
» Kiến thức cơ bản-Virus máy tính là gì? Dấu hiệu nhận biết máy tính bị nhiễm virus?
» Virus Effect Remover – Khắc phục hậu quả virus do virus gây ra
» Virus siêu đa hình thách thức các phần mềm diệt virus
» Logo System Properties 1.1 đóng dấu bản quyền lên System Properties của Windows
» Kiến thức cơ bản-Virus máy tính là gì? Dấu hiệu nhận biết máy tính bị nhiễm virus?
Permissions in this forum:
Bạn không có quyền trả lời bài viết
