Thứ Hai, 10 tháng 3, 2008

Cách diệt virus không cho logon

Nhiều khả năng công ty của bạn bị con virus Misa hoặc biến thể của nó

Mixa_I.exe có biểu tượng 1 cô gái đang nhảy đầm (ặc..ặc… )gây ra một sốhiện tương sau đây:
regedit hoặc gpedit.msc• Run thì logoff máy tính
• Chép autorun.inf và mixa_I vào tất cả các ổ đĩa
• Tạo Value Virus : C:\windows\mixa.exe
Thay đổi giá trị khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Từ giá tri "Userinit":C:\WINDOWS\system32\userinit.exe,"
thành "Userinit":"C:\WINDOWS\system32\systemio.exe," do đó nếu ko am hiểu registry sẽ khó diệt được con này!
-Đặc biệt:sau vài lần restart máy thì sẽ không log on vào win đc nữa, bị log off liên tục!
…còn hiện tương gì nữa thì..hạ hồi phân giải nhá!hehehe…quan trọng nhất là…..-->

Cách diệt như sau:
Cách 1: Do con virus không cho vào Windows nữa nên chúng ta cần dùng đến đĩa CD
-Dùng đĩa Hiren’s Boot :sử dụng DOS có hỗ trợ NTFS (nếu ổ đĩa của bạn chia theo định dạng này)
+ Xóa tất cả các file autorun.inf, Mixa_I.exe trong tất cả các ổ đĩa
+ Xóa C:\Windows\Mixa.exe
+ Xóa C:\Windows\System32\systemio.exe
+ Copy C:\Windows\System32\Userinit.exe sang ổ D:\Userinit.exe
+ Đổi tên D:\Userinit.exe thành D:\systemio.exe
+ Move D:\systemio.exe sang C:\Windows\System32\
-Khởi động Windows: lúc này bạn đã có thể log on vào windows đc rồi đấy!
+ Run: regedit.exe tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
xóa Value “virus” bên phải.
Tiếp tục tìm đến HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon, nhìn sang phải :nhấp đúp vào “Userinit” thay đổi vềgiá trị mặc định “C:\Windows\System32\Userinit,” ( lưu ý: có dấu phẩy sau cùng! )
-Vào C:\Windows\System32\ xóa systemio.exe

Cách 2:

Muốn diệt được con này,trước tiên các bạn phải có 1 đĩa BartPE và cách diệt của nó cũng nằm ở đây : http://windowsxp.mvps.org/peboot.htm .Các bạn down BartPE về, dùng đĩa win bạn đang xài để tạo 1 file .iso sau đó các bạn dùng chương trình để burn file .iso đó ra đĩa cd,vậy là các bạn đã có 1 OS mini on CD rồi nhé,tiếp đến các bạn cho boot từ cd để chạy win mini (OS BartPE) rồi làm theo hướng dẫn:
(mọi người tham khảo tiếng Anh trước nhé):

Scenario - Incorrect registry value preventing you from logging on to your user account in Windows XP ?
In this example, a basic BartPE CD without any Plugins, has been used for illustration purposes. You may add as many Plugins as you want, depending upon your needs.
Verifying and fixing the Userinit value in the registry

1. Insert the BartPE CD into the drive, and boot the system from the CD. Once the file loading phase is over, the Bart PE desktop will be visible, as shown in Figure 1.
2. Type Regedit.exe in the prompt, and press Enter. Select the HKEY_USERS hive
3. From the File menu, choose the Load Hive option. Browse to your Windows installation drive, for example the following location:

C:\Windows\System32\Config\

4. Select the file named SOFTWARE (the file without any extensions), and click Open
5. Type a name for the hive that you've loaded now. (Example: MyXPHive)
6. Now the SOFTWARE hive is loaded, and present under the HKEY_USERS base hive.
7. In order to fix the Userinit value in the loaded hive, navigate to the following location:

HKEY_USERS \ MyXPHive \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

8. Double-click Userinit and set it's value correctly. Example: Set it's data as follows:

C:\Windows\System32\Userinit.exe,

(Include the trailing comma also. The above assumes that Windows is installed in C:\Windows, and Userinit.exe file is actually present in the System32 folder. You may want to verify that as well.)

9. After entering the correct data, you MUST unload the Hive. To do so, select MyXPHive branch, and then in the File menu, choose Unload Hive. It's important to note that you'll need to select the MyXPHive branch first, before unloading it.
10. Quit BartPE and restart Windows. See if you're able to logon to your profile.


If your PC is a victim of the Malware discussed in this article, and unable to login to your profile, then you'll need to fix the registry as discussed there. As you're unable to login, registry modification can only be done from a remote system, or via offline registry editing. This article discusses about offline registry editing.

Cách khác :

SỬ DỤNG RECOVERY CONSOLE

Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console.

Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any key to boot from CD.

Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC).

Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cần khắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởi động lại máy).

Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).

Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).

cd system32

copy userinit.exe wsaupdater.exe

exit

Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường.

Chọn Start. Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.

Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn modify.

Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe,) (hình 1)

Chọn OK và đóng Registry Editor.

Bước 3. Xóa tập tin wsaupdater.exe

Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị (Administrators).

Chọn Start. Run, gõ dòng lệnh %Windir%\system32, nhấn OK (hoặc mở Windows Explorer, tìm đến thư mục Windows\System32)

Tìm tập tin wsaupdater.exe trong thư mục Windows\System32, chọn Delete, nhấn OK xác nhận xóa.

Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải được thực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windows hoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiến hành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại theo các hướng dẫn trong bài “Chăm sóc và bảo dưỡng Windows Registry” (ID: A0205_90).

Thông tin khác :

Hôm nay em search ở google thì tìm thấy thông tin về hiện tượng này ở trang của Microsoft, nó đây:
CAUSE
Wsaupdater.exe is spyware that changes Userinit.exe, to Wsaupdater.exe in the registry. Ad-Aware by Lavasoft removes the Wsaupdater.exe file from the computer, but it cannot change the registry subkey back to Userinit.exe,. The registry subkey that is changed is
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Value: Userinit
Data: %Windir%\System32\Wsaupdater.exe

Note %windir% represents the location of the System32 folder. For example, if the location is C:\Windows\System32, the data would be C:\Windows\System32\Wsaupdater.exe.

The data should contain Userinit.exe, instead of Wsaupdater.exe. In the previous example, the data would be C:\Windows\System32\Userinit.exe,.

Như vậy nguyên nhân là do con Wsaupdater.exe gây ra, nhưng trong bài hướng dẫn của Microsoft chỉ nói cách sửa lại Registry và xóa file Wsaupdater.exe trong thư mục system32. Điều em hỏi là: Nguyên nhân do đâu mà con Wsaupdater.exe nó chui vào thư mục System32 được, và liệu nếu chỉ xóa 1 file Wsaupdater.exe thì nó có chết ko hay còn các biến thể khác, hiện máy em cài Bitdefender10, có lúc lại cài NOD32, nhưng rốt cục quét ko thấy virus hay spyware, em chưa thử các phần mềm AntiSpy. Bác nào biết cách diệt con này thì post lên anh em xem với

Tuyệt chiêu của Mr Cường :

Virus Mixa_I từ những ngày đầu xuất hiện, tôi đã có source và thấy nó khá nguy hiểm nên đã viết bài hướng dẫn trên Blog cá nhân!
Bài viết ở trên copy từ Blog của tôi nhưng rất nhiều bạn đã ko ghi nguồn gốc !! ( hỡi ôi! dân việt nam ...)
Hiện nay tôi đã có biện pháp trị các con virus không cho logon vào máy (bất kể loại nào, ko riêng gì Mixa_I )
Đặc điểm của loại virus này là thay đổi giá trị Registry tại khóa :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="C:\\Windows\\system32\\userinit.exe," ( có dấu " , " ở cuối )

để chỉ đến files của chính nó ( virus ).

Vậy : Ta chỉ cần chỉnh sửa giá trị Userinit về giá trị mặc định thì sẽ lại logon được!
Nhưng : làm thế nào để vào Registry khi ko logon được ?Chúng ta sẽ lơi dụng lỗ hổng của file sethc.exe ( Xem lại bài :Hack Password Administrators )
Các bước thực hiện:
B1: Khởi động từ đĩa Hiren's Boot, sử dụng chương trình quản lý file trong Hiren's Boot để vào thư mục System32
B2: Thay thế file Sethc.exe bằng cmd.exe (bằng cách gõ: copy cmd.exe sethc.exe /y)
B3: Lấy đĩa Hiren's Boot ra và Khởi động lại máy
B4: Tại cửa sổ Logon, nhấn Shilt 5 lần để hiện cửa sổ Command Line
B5: gõ vào regedit.exe
B6: Duyệt đến khóa :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
sửa lại giá trị mặc định là:
"Userinit"="C:\\Windows\\system32\\userinit.exe,

p/s : Bạn nào ko thực hiện được thì...THANKS cho tôi ..vài trăm cái, tối nay về viết TUT có ảnh minh họa! ^^

--------------------------------------------------------------------------------
thay đổi nội dung bởi: Mr.Cuong, 02-04-2008 lúc 01:06 PM.


--------------------------------------------------------------------------------
HomePage: http://banbeit.com
Email: Mr.Cuong@banbeit.com
Mobile: 0907.527.027


























________________________________________
Người đăng: vào lúc Không có nhận xét nào:
Đăng ký: Bài đăng (Atom)