Virus loại này thường thay đổi các giá trị trong Registry như sau



tải về 11.66 Kb.
Chuyển đổi dữ liệu31.10.2017
Kích11.66 Kb.
#33921
Thời gian gần đây hay xuất hiện tình trạng khi vào Windows cứ bị log off ra ngoài màn hình đăng nhập dù có vào Safe Mode hoặc Last Know thì tình trạng trên vẫn không khắc phục được.Nguyên nhân trên là do một số loại Virus gây ra và giải pháp các bạn thường dùng là Repair lại Win hoặc Ghost lại máy .Nay mình xin mạo muội đưa ra giải pháp xử lý dưới đây hy vọng nó sẽ gỡ rối cho các bạn .
- Virus loại này thường thay đổi các giá trị trong Registry như sau:
Thay đổi giá trị khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Từ giá tri "Userinit":C:\WINDOWS\system32\userinit.exe,"

thành "Userinit":"C:\WINDOWS\system32\systemio.exe,"

Cách diệt:


Do con virus không cho vào Windows nữa nên chúng ta cần dùng đến đĩa CD Hiren’s Boot sử dụng DOS có hỗ trợ NTFS như VC,hoặc Mini Win98 chọn chế độ hỗ trợ NTFS (nếu ổ đĩa của bạn chia theo định dạng này nếu là Fat32 thì vào chương trình quản lý file bất kỳ trong Menu Files manager )
+ Xóa tất cả các file autorun.inf và các file .exe khả nghi trong tất cả các ổ đĩa.
+ Xóa C:\Windows\System32\systemio.exe
+ Copy C:\Windows\System32\Userinit.exe sang ổ D:\Userinit.exe
+ Đổi tên D:\Userinit.exe thành D:\systemio.exe
+ Move D:\systemio.exe sang C:\Windows\System32\
-Khởi động lại Windows lúc này máy bạn đã có thể log on vào windows .Sau khi vào ta lập tức vào Star - Run - gõ regedit tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
xóa Value “virus” bên phải.
Tiếp tục tìm đến HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon, nhìn sang phải :nhấp đúp vào “Userinit” thay đổi về giá trị mặc định “C:\Windows\System32\Userinit,” ( lưu ý: có dấu phẩy sau cùng! )
-Vào C:\Windows\System32\ xóa systemio.exe
Cuối cùng bạn hãy down một chương trình AntiVirus nào mà bạn ưng ý nhất rồi update database mới nhất về Full Scan .
Chúc các bạn thành công!

Virus Logoff là các loại virus như Mixa, chúng thường dùng kịch bản là giấu đi file hệ thống (Userinit.exe - file này quản lý việc đăng nhập trong máy tính) và thay bằng file virus để luôn chạy khi khởi động. Hiện nay BKAV đã diệt nhựng loại virus này rất hiệu quả, trả về file gốc cho hệ thống nên không bị hậu quả Logoff sau khi diệt, còn các phần mềm diệt virus khác khi phát hiện sẽ xóa luôn file bị nhiễm khiến Windows không thể kiểm tra được sự đăng nhập dẫn đến Logoff liên tục và người dùng không thể vào được màn hình Desktop.

Windows tự động log off sau khi quét virus là cú “hồi mã thương” mà một số spyware sử dụng khi bị phát hiện. Chẳng hạn các phần mềm chống virus như Norton AntiVirus... phát hiện và xóa tập tin spyware wsaupdater.exe nhưng không sửa thông tin trong Registry.


Kết quả Windows không thể hoàn tất quá trình khởi động do thông tin Registry bị sai lệch dù bạn thử đăng nhập bằng một vài tùy chọn khác như chế độ Safe Mode và Last Known Good Configuration. Có vài cách để khắc phục lỗi này tùy vào những công cụ sẵn có, chẳng hạn như sử dụng Recovery Console trong CD cài đặt Windows hoặc trực tiếp chỉnh sửa Registry của Windows bằng tiện ích trong Hiren’s BootCD hoặc Mini PE

CÁCH 1: SỬ DỤNG RECOVERY CONSOLE
Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console.
Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any key to boot from CD.
Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).
Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).
Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).
Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).
cd system32
copy userinit.exe wsaupdater.exe
exit
Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường.
Chọn Start. Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.
Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn modify.
Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe,)
Cách diệt virus logoff

Chọn OK và đóng Registry Editor.


Bước 3. Xóa tập tin wsaupdater.exe trong thư mục Windows\System32

CÁNH 2: SỬ DỤNG CÁC CHƯƠNG TRÌNH CHỈNH SỬA REGISTRY NGOÀI DOS
Nếu có sẵn một trong những đĩa “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’s PE Builder, miniPE... Bạn có thể trực tiếp chỉnh sửa Registry của Windows bằng những tiện ích sẵn có để đơn giản hóa việc khắc phục.
Trong cửa sổ Registry Editor quen thuộc, thực hiện các thao tác như bước 2 của cách 1.

Chi tiết:

Cách 1: dùng Boot Hirent, Reg Viewer / Editor , bấm Alt-D,
chọn đường dẫn C:\windows\system32\config, chọn Software
Bấm Enter
Chọn Microsoft – Windows NT – CurrentVersion – Winlogon (không bấm enter)
Bấm TAB, chọn Userinit, Enter, bấm F4, bấm TAB,
sửa lại thành “C:\WINDOWS\system32\userinit.exe,”
Xong bấm Enter – Yes
Chạy các chương trình File Management và thực hiện việc xóa tập tin wsaupdater.exe trong thư mục Windows\System32

Cách 2: dùng Mini PE
Dùng tool Avast! Registry Editor để chỉnh sửa giống bước 2 của cách 1. Xong xóa tập tin wsaupdater.exe trong thư mục Windows\System32

tải về 11.66 Kb.

Chia sẻ với bạn bè của bạn:



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý
    Quê hương
BÁO CÁO
Tài liệu