Hiện tượng: Bạn không thể logon (đăng nhập) vào máy vì người dùng sẽ bị chuyển sang chế độ Logoff ngay khi vừa gõ username và password để đăng nhập vào Windows.
Đặc điểm của loại virus này là thay đổi giá trị Registry tại khóa :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="C:\\Windows\\system32\\userinit.exe," ( có dấu " , " ở cuối) để chỉ đến files của chính nó.
Phương pháp diệt 1:
Vì vậy, ta chỉ cần chỉnh sửa giá trị Userinit về giá trị mặc định thì sẽ lại logon được! Nhưng làm sao để vào Registry khi không logon được? Chúng ta sẽ lơi dụng lỗ hổng của file sethc.exe.
Các bước thực hiện:
B1: Khởi động từ đĩa Hiren's Boot, sử dụng chương trình quản lý file trong Hiren's Boot để vào thư mục System32.
B2: Thay thế file Sethc.exe bằng cmd.exe
B3: Lấy đĩa Hiren's Boot ra và Khởi động lại máy
B4: Tại cửa sổ Logon, nhấn phím Shift 5 lần để hiện cửa sổ Command Line
B5: Gõ vào regedit.exe
B6: Duyệt đến khóa: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
sửa lại giá trị mặc định là: "Userinit"="C:\\Windows\\system32\\userinit.exe,
B1: Khởi động từ đĩa Hiren's Boot, sử dụng chương trình quản lý file trong Hiren's Boot để vào thư mục System32.
B2: Thay thế file Sethc.exe bằng cmd.exe
B3: Lấy đĩa Hiren's Boot ra và Khởi động lại máy
B4: Tại cửa sổ Logon, nhấn phím Shift 5 lần để hiện cửa sổ Command Line
B5: Gõ vào regedit.exe
B6: Duyệt đến khóa: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
sửa lại giá trị mặc định là: "Userinit"="C:\\Windows\\system32\\userinit.exe,
Phương pháp diệt 2:
Cách làm như sau: bạn chuẩn bị 1 CD có tích hợp Windows mini, PE....
- Ở đây sử dụng Windows mini có trong CD Hiren Boot 9.8
- Sau khi cho CD vào, các bạn chọn boot from CD
- Tiếp theo chọn Start Windows Mini
- Sau khi hệ thống khởi động vào win mini rồi, các bạn xoá lần lượt các files autorun và Mixa_I nếu có ở C:\ và C:\WINDOWS, và các ổ đĩa cứng khác trên máy.
- Tiếp theo tìm đến file RegEditPE trong CD boot ở đường dẫn HBCD\win tools\files
- Bạn kích hoạt file RegEditPE đó, sau khi chạy xong, máy sẽ hiện ra 1 bảng thông báo là Browse For Folder, các bạn chọn đường dẫn C:\Windows. Xin nói thêm về tác dụng của việc này là chương trinh sẽ load những hive bị lỗi do virus gây ra trên hệ thống.
- Sau đó là một cửa sổ khác tên là "Select the remote SAM hive!", các bạn double click vào file SAM trong cửa sổ đang mở, lần lượt tiếp là các file Security, Software, System. Lưu ý là chỉ chọn những file với phần tên như mình nêu ra thôi nghen, đừng click vào các file có phần đuôi .* nhé.
- Lúc này máy sẽ hiện ra một bảng thông báo nửa, các bạn chọn "No" vì hệ thống hỏi chúng ta có cần load thêm remote user hay ko?
- Sau khi load xong các hive bị lỗi, hệ thống hiện ra cửa sổ Regedit, các bạn theo đường dẫn sau: _REMOTE_HKEY_LOCAL_MACHINE_\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Winlogon
- Nhìn sang bên phải cửa sổ, tìm đến String Value tên là Userinit, double click vào giá trị này sẽ hiện ra 1 bảng chỉnh sửa thông tin của file Userinit, các bạn sửa lại đường dẫn đúng là: "C:\WINDOWS\system32\userinit.exe," lưu ý là có dấu phẩy "," sau cùng nha.
- Xong rồi sẽ làm gì tiếp đây? Đóng cửa sổ RegEdit, tiếp theo là reset computer và tận hưởng Windows như ngày nào chứ làm gì...
- Ở đây sử dụng Windows mini có trong CD Hiren Boot 9.8
- Sau khi cho CD vào, các bạn chọn boot from CD
- Tiếp theo chọn Start Windows Mini
- Sau khi hệ thống khởi động vào win mini rồi, các bạn xoá lần lượt các files autorun và Mixa_I nếu có ở C:\ và C:\WINDOWS, và các ổ đĩa cứng khác trên máy.
- Tiếp theo tìm đến file RegEditPE trong CD boot ở đường dẫn HBCD\win tools\files
- Bạn kích hoạt file RegEditPE đó, sau khi chạy xong, máy sẽ hiện ra 1 bảng thông báo là Browse For Folder, các bạn chọn đường dẫn C:\Windows. Xin nói thêm về tác dụng của việc này là chương trinh sẽ load những hive bị lỗi do virus gây ra trên hệ thống.
- Sau đó là một cửa sổ khác tên là "Select the remote SAM hive!", các bạn double click vào file SAM trong cửa sổ đang mở, lần lượt tiếp là các file Security, Software, System. Lưu ý là chỉ chọn những file với phần tên như mình nêu ra thôi nghen, đừng click vào các file có phần đuôi .* nhé.
- Lúc này máy sẽ hiện ra một bảng thông báo nửa, các bạn chọn "No" vì hệ thống hỏi chúng ta có cần load thêm remote user hay ko?
- Sau khi load xong các hive bị lỗi, hệ thống hiện ra cửa sổ Regedit, các bạn theo đường dẫn sau: _REMOTE_HKEY_LOCAL_MACHINE_\SOFTWARE\Microsoft\Win dows NT\CurrentVersion\Winlogon
- Nhìn sang bên phải cửa sổ, tìm đến String Value tên là Userinit, double click vào giá trị này sẽ hiện ra 1 bảng chỉnh sửa thông tin của file Userinit, các bạn sửa lại đường dẫn đúng là: "C:\WINDOWS\system32\userinit.exe," lưu ý là có dấu phẩy "," sau cùng nha.
- Xong rồi sẽ làm gì tiếp đây? Đóng cửa sổ RegEdit, tiếp theo là reset computer và tận hưởng Windows như ngày nào chứ làm gì...
0 nhận xét:
Đăng nhận xét