|
|
cách diệt virus gây Logoff khi Logon
Các phần mềm Kaspersky, BitDefender, McAfee và Symantec đã xóa nhầm file hệ thống của Windows. Hậu quả là người sử dụng phải cài lại toàn bộ PC, nguy cơ mất dữ liệu. Khoảng 47.000 máy tính tại Việt Nam đã gặp họa này.
Trung tâm an ninh mạng Bách Khoa (Bkis) cho biết gần đây họ nhận được nhiều đề nghị trợ giúp của người sử dụng máy tính phản ánh tình trạng máy tính bị tê liệt, không sử dụng được sau khi diệt virus. Hiện tượng những người sử dụng này gặp phải phổ biến là khi thực hiện đăng nhập (login) vào Windows lập tức bị đẩy ra ngoài (logout) hoặc đăng nhập được vào nhưng không thể sử dụng được.
Hầu hết người dùng đổ lỗi cho virus làm hỏng hệ điều hành, khiến họ phải cài lại máy tính, nhiều trường hợp bị mất sạch dữ liệu. Tuy nhiên, “thực tế lại rất bất ngờ, không phải lỗi do virus mà là do một số phần mềm diệt virus xóa nhầm file hệ thống của Windows”, ông Vũ Ngọc Sơn, trưởng phòng virus của Bkis nói.
Ông Sơn cho biết qua thử nghiệm thực tế, Bkis phát hiện thấy các phần mềm diệt virus Kaspersky, BitDefender, McAfee và Symantec đã làm hỏng Windows.
Các máy tính bị nhiễm những virus ghi đè file hệ điều hành Windows như virus Hbservice.Trojan, UserinitFakeD.worm, XpackD.worm, OnlinegameJYA mà người dùng sử dụng quét virus bằng các phần mềm Kaspersky, BitDefender, McAfee và Symantec, các phần mềm này sẽ xóa luôn file Userinit.exe, file chuẩn của Windows hoặc “làm chết” một số file quan trọng khác.
Theo ông Sơn, nguyên nhân là do các phần mềm này không có cơ chế giải mã virus để tìm ra đoạn mã chuẩn, nên khi quét virus đã xóa luôn cả file UserInit gốc của hệ điều hành. Việc xóa file gốc làm cho hệ điều hành bị hỏng nặng và người dùng không thể sử dụng được máy tính.
 BKAV có công cụ giải mã virus để xem virus đó để file chuẩn của hệ điều hành ở đâu và làm thao tác khôi phục. Ảnh: BKIS.
Ông Sơn cho biết Bkis đã quan sát thấy hiện tượng phần mềm diệt virus làm hỏng hệ điều hành cách đây 5 tháng nhưng thời gian gần đây xuất hiện ngày càng nhiều. Hệ thống giám sát virus của Bkis đến nay đã thống kê được khoảng 47.000 máy tính tại Việt Nam bị nhiễm các virus ghi đè file hệ điều hành. Trong tháng 10 vừa qua, Bkis phát hiện 92 dòng virus mới xuất hiện sử dụng cơ chế ghi đè file chuẩn hệ điều hành, chủ yếu là virus xuất xứ từ Trung Quốc.
Các dòng virus truyền thống thuộc họ Worm, Trojan… thường lây nhiễm bằng cách sao chép chính nó vào một thư mục trên hệ thống, thường là thư mục Windows\System32. Nhưng những virus xuất hiện gần đây, đặc biệt là những dòng virus có nguồn gốc từ Trung Quốc lại ghi đè mã độc lên file chuẩn của hệ điều hành.
Việc ngụy trang như vậy đã đánh lừa được hầu hết các phần mềm diệt virus do không có cơ chế khôi phục file gốc đã bị virus ghi đè. Vì thế khi diệt virus, các phần mềm này đồng thời xóa luôn cả file chuẩn của hệ điều hành (file gốc), hậu quả là người sử dụng phải cài lại toàn bộ máy tính và có thể gây mất dữ liệu.
Theo ICTnews
cách diệt virus "vào đến welcome -> chọn user -> nó vô roài lai. văng ra" - Virus gây Logoff khi Logon.
loại virus: đây có thể là con Mixa_I hay "hàng xóm" của nó gì đó.
triệu chứng: vào đến welcome -> chọn user -> nó vô rồi lại văng ra.(à, con Mixa này khi nhiễm vào máy thì thường hay có một bài nhạc hay tiếng cười gì đó, sau đó restart máy tính)
Nguyên nhân (vào đến welcome -> chọn user -> nó vô rồi lại văng ra): khi máy nào nhiễm con này, sẽ tự tạo ra một file userinit.exe ở C:\windows\ và một file system.exe nằm ở C:\windows\system32\ ,một số file dll nữa và Sửa khóa "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" có giá trị C:\windows\system32\userinit.exe, ban dầu thành C:\windows\userinit.exe
Lúc này máy bị nhiễm nhưng file userinit.exe ở trong thư mục C:\windows\ vẫn còn vì vậy máy bạn vẫn logon vào bình thường.Nhưng khi bạn diệt virus, chương trình diệt virus sẽ xóa system.exe ở C:\windows\system32\ và userinit.exe ở C:\windows\ đi. Lúc này máy bạn vẫn xài bình thường vì khóa "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" chưa được dùng đến và giá trị do virus ghi là C:\windows\userinit.exe, nếu như bạn không sữa lại cho đúng là C:\windows\system32\userinit.exe, vì file này đúng chính xác nó ở đường dẫn như thế.
Vì vậy nếu bạn không sũa lại thì khi khởi động lại máy,vào phần logon thì window sẽ không tìm thấy file userinit.exe nào trong đường dẫn c:\windows\ vì thế ta bị logoff ra lại ngay cả khi bạn vô chế độ Saft Mode thì vẫn bị Logoff.
Biện pháp khắc phục trường hợp này là dùng đĩa boot hoặc mini pe gì đó thì tùy bạn miễn là có thể copy file userinit.exe từ thư mục C:\windows\system32\userinit.exe vào thư mục C:\windows\ lúc này bạn khởi động máy và logon vào bình thường không bị sao cả.Khi vào window được rồi thì bạn nên xóa file vừa userinit.exe vừa copy lúc nãy ở C:\windows\ và sưa K.@.y "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" và nhìn sang bên tay phải chọn K.@.y Userinit (lúc này đang là C:\Windows\userinit.exe) lại cho đúng là C:\windows\system32\userinit.exe, là ok.
đĩa hirent boot bạn có thể mua tại các cửa hàng máy tính, khi vào thì bạn dùng mini window 98 cho dễ sử dụng.
Mình đã bị dính con virus này và đã làm thành công. không phải cài lại win nữa ....
[Quay về]
|
|
|
|
|
|
|