Virus system.exe và userinit.exe

[ndu96081631]

Hôm qua máy tính của người bạn tôi bị 2 con này, tôi loay hoay mãi vẩn chưa nghĩ ra được cách giãi quyết!... Diệt nó thì thật dể dàng, chỉ cần dùng Process Explorer để End tiến trình của nó, rồi tìm trong ổ C và Delete 2 file ấy là xong!... Tuy nhiên hậu quả sau đó thật khó lường:
1> Nếu xóa không triệt để thì lần khởi động sau chúng sẽ tự tái tạo lại (vì chúng không nằm ở 1 nơi)
2> Nếu xóa thật sạch thì chắc ăn lần sau không bao giờ khởi động được, máy tính sẽ tự logoff khi vừa logon vào
Các chương trình diệt virus hình như cũng chưa làm gì được với 2 con này, nhất là con userinit.exe (xóa nó là hết logon)
Ai có kinh nghiệm với con này xin chỉ giáo với!

 

[Cao Mạnh Sơn]

CÁI NÀY MÌNH SƯU TẦM,BẠN THỬ NHÉ
Bắt mạch:
1. Chạy được trong safe mode.
2. Có 2 process bảo vệ lẫn nhau là : Userinit.exe và System.exe
3. Hiện tượng: Máy khởi động xong phải đợi rất lâu mới sử dụng được.

Kê toa:

1. Dùng Process Explorer để kill 2 process này (Sử dụng Kill tree), rất dễ nhận ra vì chúng có icon là hình thư mục vàng khè. ^^
2. Vào Tools\Folder Option chọn chế độ hiển thị file ẩn và file hệ thống sau đó xóa 2 file sau:

C:\Windows\ Userinit.exe
C:\Windows\System32\ System.exe
Chúng đều có icon hình thư mục.
3. Để khởi động được trong safe mode, nó đã sửa registry của bạn.
Có 2 cách để khắc phục. Nếu bạn bỏ qua bước 3 thì máy tính sẽ không thể logon vào hệ điều hành.
Cách 1: Copy file C:\Windows\System32\Userinit.exe vào C:\Windows\ Userinit.exe
Cách 2: Chạy file reg đính kèm cho bạn.


Xong rồi thì bạn khởi động lại máy tính.
Bạn lưu ý bước 3 cần thực hiện chính xác và Win phải được cài ở C
Chúc bạn thành công

 

[ndu96081631]

Mấy món này đã thử hết rồi... Đâu có đơn giản thế! Vì file Userinit.exe bị nhiểm mà xóa nó là tiêu ngay tức khắc (tức nó nhiểm vào trong ruột của file chứ không phải nó tạo 1 file cùng tên đâu)
Đang nghĩ đến hướng copy 1 file Userinit.exe từ máy sạch rồi đè lên file bị nhiểm, nhưng không thành công!

 

[DOSNET]

Kinh nghiệm của em rất thành công khi diệt Virus bằng tay !
- Bác chạy HijackThis trong Hiren's boot cd để quét tiến trình, đánh dấu tiến trình nào nghi ngờ là virus sau đó chọn Fix checked, Để xóa file, bác chọn chế độ Delete a file on reboot.
- Khởi động lại máy. Chắc chắn sẽ cải thiện hơn !

 

[ndu96081631]

Kinh nghiệm của em rất thành công khi diệt Virus bằng tay !
- Bác chạy HijackThis trong Hiren's boot cd để quét tiến trình, đánh dấu tiến trình nào nghi ngờ là virus sau đó chọn Fix checked, Để xóa file, bác chọn chế độ Delete a file on reboot.
- Khởi động lại máy. Chắc chắn sẽ cải thiện hơn !

Vấn đề không phải nằm ở chổ diệt con virus như thế nào, vì thực chất 2 con này rất dể diệt (dùng tay diệt vô tư)! Khó khăn nằm ở chổ làm sao "cứu" được file Userinit.exe ???
Nếu file này bị tiêu diệt thì đâu có Logon được vào Win chứ?

 

[DOSNET]

- Bác copy và gửi Userinit.exe của bác lên e check qua được không không? Thường thì những file đã dịch ra .exe rất khó bị thay đổi nội dung !

 

[ndu96081631]

- Bác copy và gửi Userinit.exe của bác lên e check qua được không không? Thường thì những file đã dịch ra .exe rất khó bị thay đổi nội dung !

Để mai tôi xem thử rồi gửi!
Tôi không biết file .exe có bị thay đổi nội dung hay không nhưng tôi đã từng thấy có mấy con virus làm thay đổi file Explorer.exe rồi đấy... Nếu chấp nhận sống chung với lủ thì cùng lắm máy tính bị chậm, còn dùng chương trình diệt nó thì máy "tèo" luôn
Phải công nhận con Userinit.exe này làm tôi bối rối quá

 

[PhanTuHuong]

Làm cách nào mà biết máy bị con virus này hả các bác?

 

[ndu96081631]

Làm cách nào mà biết máy bị con virus này hả các bác?

Cái này cũng khó nói, thường do kinh nghiệm dùng máy là chính
Khi tôi cãm thấy máy tính có hiện tượng bất thường như đột ngột chậm lại thì tôi dùng Task Manager để kiểm tra... Hôm ấy tôi dùng cách này và phát hiện có em Userinit.exe đang chạy (dùng Task Manager kiểm tra khi máy vừa mới khởi động vào Win thì chắc ăn hơn)
Đúng ra file Userinit.exe chỉ chạy 1 tí khi máy khởi động vào Win, sau đó sẽ thoát luôn... Nếu nó chạy thường trực thì mình nên nghi ngờ và kiểm tra lại

 

[Mr Okebab]

Hôm qua máy tính của người bạn tôi bị 2 con này, tôi loay hoay mãi vẩn chưa nghĩ ra được cách giãi quyết!... Diệt nó thì thật dể dàng, chỉ cần dùng Process Explorer để End tiến trình của nó, rồi tìm trong ổ C và Delete 2 file ấy là xong!... Tuy nhiên hậu quả sau đó thật khó lường:
1> Nếu xóa không triệt để thì lần khởi động sau chúng sẽ tự tái tạo lại (vì chúng không nằm ở 1 nơi)
2> Nếu xóa thật sạch thì chắc ăn lần sau không bao giờ khởi động được, máy tính sẽ tự logoff khi vừa logon vào
Các chương trình diệt virus hình như cũng chưa làm gì được với 2 con này, nhất là con userinit.exe (xóa nó là hết logon)
Ai có kinh nghiệm với con này xin chỉ giáo với!

Bác vào đây xem có giải quyết được gì không ??

http://www.giaiphapexcel.com/forum/showpost.php?p=93562&postcount=12
http://www.giaiphapexcel.com/forum/showpost.php?p=93565&postcount=13
http://www.giaiphapexcel.com/forum/showpost.php?p=93565&postcount=14

Thân!

 

[emchuayeu]

CÁI NÀY MÌNH SƯU TẦM,BẠN THỬ NHÉ
Bắt mạch:
1. Chạy được trong safe mode.
2. Có 2 process bảo vệ lẫn nhau là : Userinit.exe và System.exe
3. Hiện tượng: Máy khởi động xong phải đợi rất lâu mới sử dụng được.

Kê toa:

1. Dùng Process Explorer để kill 2 process này (Sử dụng Kill tree), rất dễ nhận ra vì chúng có icon là hình thư mục vàng khè. ^^
2. Vào Tools\Folder Option chọn chế độ hiển thị file ẩn và file hệ thống sau đó xóa 2 file sau:

C:\Windows\ Userinit.exe
C:\Windows\System32\ System.exe
Chúng đều có icon hình thư mục.
3. Để khởi động được trong safe mode, nó đã sửa registry của bạn.
Có 2 cách để khắc phục. Nếu bạn bỏ qua bước 3 thì máy tính sẽ không thể logon vào hệ điều hành.
Cách 1: Copy file C:\Windows\System32\Userinit.exe vào C:\Windows\ Userinit.exe
Cách 2: Chạy file reg đính kèm cho bạn.


Xong rồi thì bạn khởi động lại máy tính.
Bạn lưu ý bước 3 cần thực hiện chính xác và Win phải được cài ở C
Chúc bạn thành công

Cám ơn bạn, mình đã gặp em này, làm theo bạn và đã thành công.
Nhưng mình bổ sung thêm, thay vì chọn cách show file ẩn như trên thì bạn dùng winrar mở ổ C lên, load đến những thư mục chứa file đó và del là xong