29 replies to this topic

[GM Boy]

Mình đang gặp một vấn đề hơi nhức đầu 1 tí. Hôm trước down mấy cái file sub cho phim ở trên mạng về, mở ra chỉnh sửa linh tinh, hình như là có vác về mấy "bác" hơi lạ, cũng có thể là ở từ nơi khác đến. Ở trong Task Manager của mình "dân nhập cư" nhiều vô kể.

Mình đã vào Safe mode quét qua bằng Bkav, và cũng thấy là nó diệt, xóa mấy file đó rồi. Sau đó vào Win quét lần nữa, nhưng khi khởi động vẫn như cũ, trong Task Manager vẫn có mấy file toàn là số, kiểu như "543.exe" và một file là "userinit.exe."

Sau một vài nỗ lực cứu vãn không được, format ổ C: cài lại Win, tưởng là ngon lành, Ctr + Alt + Del, con userinit vẫn lù lù ra đấy (chưa làm gì, vào ổ C: cũng chẳng thấy gì, Win thì mình không rành lắm ^^).

Không những nó làm máy chạy một cách ì ạch, mà tệ hại hơn nữa, hình như còn có thêm con wuauclt.exe gì gì đấy khiến cho mạng Internet bị down liên tục. Hiện giờ mình đang hơi quẫn, hết cách rồi, không biết làm thế nào nữa, mong các bạn giúp đỡ, tìm biện pháp hộ mình cái. Nếu có dùng phần mềm gì đó, mong các bạn cho mình link down load và cách sử dụng cụ thể thì càng tốt.

...

[daiphuq9]

bạn có thể nói rõ cho mình biết là sau khi cài win xong, bạn làm điều gì trước tiên ko?

[GM Boy]

Cài win xong, mở Task Manager.
Ý bạn là cài xong win thì mình nên làm gì ? Bạn cứ nói rõ ra đi, mình thật sự không rành lắm về cách chống virus. Chỉ vì hơi chủ quan nên mới dính phải rắc rối này. Nếu bạn có cách giải quyết, mong bạn cứ nói.

[GM Boy]

hic, không có ai giúp mình tí à...

[daiphuq9]

thông thường khi 1 máy tính bị nhiễm virus phải cài lại win, thì sau khi cài win xong việc đầu tiên là ko đc mở hay double click lên bất kỳ 1 ổ nào khác trên máy tính (trừ ổ C vừa đc cài win). sau đó cài driver (chỉ cài = đĩa, nếu driver có sẵn trên máy thì ko cài luôn). rồi từ đây mới cài chương trình diệt virus và quét những ổ cứng còn lại trên máy tính (trừ ổ C)

[GM Boy]

Nếu vào từ phía bên trái, cột Folder trong Explorer bằng Windows + E thì vẫn được chứ bạn ?

[daiphuq9]

mình đã nói là ko nên làm gì hết ngoại trừ những gì mình đã chỉ ở trên. nếu bạn ko muốn cất công để cài đi cài lại chỉ vì 1 lỗi do virus gây ra thì bạn nên làm theo lời khuyên của mình. cẩn thận vẫn hơn.

[GM Boy]

Uh, cảm ơn bạn nhiều. Để mình cài lại lần nữa vậy.
Thế không vào ổ thì làm sao mà cài chương trình quét virus đây ^^
Hay là quét bằng đĩa boot hả bạn. Sợ mất dữ liệu quá. Toàn phần mềm quan trọng.

[daiphuq9]

bạn lại ko đọc kỹ những gì mình đã nói sao? ko vào những ổ khác nhưng ổ C vẫn vào đc mà! cài chương trình diệt virus thì nằm trên ổ C chứ đâu. ko lẽ bạn để soft diệt virus bên ổ khác ah?

[Raymone]

Không những nó làm máy chạy một cách ì ạch, mà tệ hại hơn nữa, hình như còn có thêm con wuauclt.exe gì gì đấy khiến cho mạng Internet bị down liên tục. Hiện giờ mình đang hơi quẫn, hết cách rồi, không biết làm thế nào nữa, mong các bạn giúp đỡ, tìm biện pháp hộ mình cái. Nếu có dùng phần mềm gì đó, mong các bạn cho mình link down load và cách sử dụng cụ thể thì càng tốt.

wuauclt.exe là chương trình auto update ngầm của win mà thôi chứ không phải là virus đâu đừng vu oan tội nghiệp nó .
Bạn vào Control Panel để tắt chương trình auto update đi thì băng thông sẽ lại thoáng thôi nếu vẫn còn thì kiểm tra dịch vụ ADSL của bạn thôi đừng có đỗ lỗi hết cho hệ thống.

[AuThienVu]

Mình đang gặp một vấn đề hơi nhức đầu 1 tí. Hôm trước down mấy cái file sub cho phim ở trên mạng về, mở ra chỉnh sửa linh tinh, hình như là có vác về mấy "bác" hơi lạ, cũng có thể là ở từ nơi khác đến. Ở trong Task Manager của mình "dân nhập cư" nhiều vô kể.

Mình đã vào Safe mode quét qua bằng Bkav, và cũng thấy là nó diệt, xóa mấy file đó rồi. Sau đó vào Win quét lần nữa, nhưng khi khởi động vẫn như cũ, trong Task Manager vẫn có mấy file toàn là số, kiểu như "543.exe" và một file là "userinit.exe."

Sau một vài nỗ lực cứu vãn không được, format ổ C: cài lại Win, tưởng là ngon lành, Ctr + Alt + Del, con userinit vẫn lù lù ra đấy (chưa làm gì, vào ổ C: cũng chẳng thấy gì, Win thì mình không rành lắm ^^).

Không những nó làm máy chạy một cách ì ạch, mà tệ hại hơn nữa, hình như còn có thêm con wuauclt.exe gì gì đấy khiến cho mạng Internet bị down liên tục. Hiện giờ mình đang hơi quẫn, hết cách rồi, không biết làm thế nào nữa, mong các bạn giúp đỡ, tìm biện pháp hộ mình cái. Nếu có dùng phần mềm gì đó, mong các bạn cho mình link down load và cách sử dụng cụ thể thì càng tốt.

...

Thường thì bạn bị dính loại virus này thì hơi khó diệt, nó ẩn nấp đâu đó trong các ổ đỉa còn lại, khi bạn kích chuộc vào bất kỳ folder trên ổ đỉa khác ổ C:\ là máy tính của bạn có nguy cơ tái nhiểm vì trong những folder này đả bị chèn một đoạn mả "autorun" do virus tạo ra, máy bạn tạo càng nhiều folder\folder\folder... thì khả nảng tiêu diệt nó là rất khó.
Hiện tại mình đang dùng soft Avira Antivir Personal diệt loại virus nhân bản này rất hiệu quả.
Mẹo khi sử dụng soft anti virus.
Nếu máy bạn vẩn còn log vào win và hoạt động được thì bạn hãy tải về và cài đặt soft anti virus mà mình giới thiệu, cài đặt xong rồi tiến hành update, nó sẽ nhận diện được ngay loại virus đã tạo ra con userinit.exe, bạn hãy "tiêu diệt nó", sau đó tiến hành quét full hệ thống. Nhớ là "Không khởi động lại máy tính". Khởi động lại là khỏi vào win luôn
Bây giờ tiến hành kiểm tra đường dẩn file userinit.exe
- File Userinit.exe mặc định là C:\Windows\System32\Userinit.exe là chính xác của window để khỏi động máy tính. Bạn nhìn thấy nó chạy trong Task Manager tức là virus đả thay đổi cấu trúc file này và đã sửa đường dẩn của nó.
- Start ->Run nhập lệnh "regedit" vào Registry xem lại thông tin đường dẩn file userinit.exe (có kèm hình mình họa). Bạn nhìn vào khung bên phải tại "key" có tên Userinit sẽ có đường dẩn của nó, thường khi bị virus tấn công nó sẽ sữa lại là C:\Windows\Userinit.exe, hãy sữa nó lại bằng cách click phải vô "key" tên Userinit chọn "Modify", tại ô "Value data" bạn sửa lại theo đúng đường dẩn của nó là C:\Windows\System32\Userinit.exe ->OK.
Đóng Registry rồi mở lại xem thay đổi có hiệu lực không?, nếu chưa diệt được nó thì thay đổi đường dẩn của bạn sẽ không có hiệu lực. Bây giờ bạn có thể khỏi động lại máy tính. Bạn có thể dùng soft anti virus mà bạn tin tưởng để quét lại máy tính
Nếu máy bạn không login vào window được thì hãy PM trên 4rum mình sẽ hướng dẩn tiếp cách để khắc phục, lúc đó sẽ cần đến 1 máy tính khác.
Địa chỉ web Antivir

http://www.free-av.com/

Chúc bạn thành công

Tệp Đính Kèm

•  Userini.jpg   34.82KB   8 Lượi tải

Bài viết này được chỉnh sửa bởi AuThienVu: 07 April 2009 - 09:24 PM

[GM Boy]

bạn lại ko đọc kỹ những gì mình đã nói sao? ko vào những ổ khác nhưng ổ C vẫn vào đc mà! cài chương trình diệt virus thì nằm trên ổ C chứ đâu. ko lẽ bạn để soft diệt virus bên ổ khác ah?

Hi hi, cảm ơn bạn. Ý mình là cài xong WIN rồi thì phải vào bộ cài để cài AV mà ^^ tức là phải vào ổ khác đấy.

wuauclt.exe là chương trình auto update ngầm của win mà thôi chứ không phải là virus đâu đừng vu oan tội nghiệp nó .
Bạn vào Control Panel để tắt chương trình auto update đi thì băng thông sẽ lại thoáng thôi nếu vẫn còn thì kiểm tra dịch vụ ADSL của bạn thôi đừng có đỗ lỗi hết cho hệ thống.

Gặp phải mấy trường hợp này mới thấy những gì mình biết thật là mù mờ, hôm nọ vào Google tìm cái wuauclt này thấy ở đâu đó nó ghi là làm dis mạng nên mới nói bừa vậy, chứ không có ý đổ lỗi gì ^^. Mạng chỗ mình cũng hơi chán, hôm trước đã gọi bọn bưu điện đến sửa, nhưng vì đọc được như vậy nên bảo thôi, để xem thế nào. Té ra là mạng lỡm thật ^^.

To AuThienVu:
Mấy hôm trước mình quét bằng BKAV như đã nói ở trên đấy. Hôm qua, mình vừa cài lại WIN 1 lần nữa, chưa động chạm gì đến AV hay ổ đĩa gì cả, vào WIN xong mở luôn Task Manager thì con USERINIT.EXE vẫn lù lù ra đấy, nản quá vứt máy đấy đi uống cafe. Hôm nay vào làm theo lời bạn và đã sửa được ở Regedit xong rồi, tức là nó không tồn tại nữa (đã diệt được lúc trước rồi) đúng không bạn ? Mà mình nhớ hình như là bình thường khi mở Task Manager lên không có con USERINIT, vậy tại sao nó lại xuất hiện ở đây hả bạn ?
Từ lúc bị virus tới giờ, mình mới để ý Task Manager khi vừa mở lên nó luôn nhảy lên đến 70, 80% sau đó lại hạ xuống, không biết điều này có bình thường không.

Mấy ổ đĩa còn lại của mình khi vào mình cũng không thấy có file gì lạ, và dạo trước lên mạng mình cũng có tìm thấy cái thư mục giả danh Autorun này, không biết có chống lại được mấy con virus đó không nữa. Mấy bạn xem thử nhé. Giải nén ra và bỏ vào các ổ khác rồi Hidden nó đi là đc ^^

Tệp Đính Kèm

•  AUTORUN.INF.rar   247bytes   0 Lượi tải
•  a.JPG   60.69KB   0 Lượi tải

Bài viết này được chỉnh sửa bởi GM Boy: 10 April 2009 - 11:36 AM

[GM Boy]

ko có bạn nào xem hộ mình cái à

[Raymone]

Nếu userinit.exe vẫn còn tồn tại thì bạn đã chênh vênh ở ngoài màn hình welcome rồi chứ không có được vào màn hình desktop ngon lành vậy đâu.
Còn cái file EXPLORER.exe nó file ghi lại những sắp đặt của người dùng ở màn hình desktop. Nếu bạn muốn test thì cứ end process nó đi sau đó mở lại (New taskmanager C:\Window\explorer.exe)
Khi khởi động máy, ngoài những chương trình của hệ điều hành còn có những chương trình và những thông số do người dùng thiết lập nên quá trình này chiếm tương đối khá nhiều tài nguyên của máy đương nhiên máy bị lì trong khoảng 5-10s sau đó mới có thể vận hành mượt mà (lí do vì sao usage tăng cao rồi đột ngột hạ xuống). Bạn có thể kiểm tra các chương trình ăn theo quá trình khởi động Start\run\msconfig\startup (uncheck những chương trình không cần thiết thì quá trình khởi động sẽ nhanh hơn )

[Trần Quang Anh]

Removal Utility for Userinit.exe :

http://www.spywareremovalblog.com/remove-userinitexe/

[GM Boy]

Có ai giải thích hộ mình, cái con userinit tại sao cài lại win rồi mà vẫn thấy nó chạy ở trong Task manager ko ?

[nguyenvu323]

Vì có thể sau khi cài lại Win bạn đã click đôi vào các ổ khác => Lại dính
Bạn tải cài này về , http://www.trendsecu.../HiJackThis.exe chọn chế độ scan and save log rùi post file log lên nha

[Khói Thuốc Lá]

Coi trong cửa sổ task manager của bạn cần chú ý:
- Các processer chạy mà cột user name của nó không phải là local sevicer hay system (ở đây là tên Ta Dinh Phu) kiểm tra xem có phải chính Bạn đã kích hoạt chạy hay không ????
- Cần thiết thì Bạn sử dụng thêm 1 tool có chức năng kiểm tra và tắt các processer đang chạy
Khi thấy nghi ngờ Bạn kiểm tra file thực thi của nó là gì, nhìn tên file và chỗ cư ngụ của nó có thể phán đoán nó có phải virus không đến 80% rồi. Muốn chắc ăn vô google tìm thêm thông tin về file đó là biết ngay.
* Vấn đề userini thì còn tùy, một vài bản win đã được khách hàng hóa sẽ hiện processer này trong task manager

[GM Boy]

Đây là file log và cái Task manager của mình (đang chạy phân mảnh, lâu quá^^)

Sau khi cài win thì mình mở Task manager lên xem luôn, nên không có chuyện dính mấy con ở các ổ đĩa được, với lại khi kiểm tra các ổ cũng không có gì lạ.
Cái userinit.exe nó chỉ chạy lúc khởi động xong khoảng 2-5 phút gì đấy, sau đó là nó tự biến mất.

À, cho mình hỏi nốt, thế cái ctfmon.exe là cái gì hả các bạn.

Tệp Đính Kèm

•  a.txt   6.44KB   2 Lượi tải
•  a.JPG   84.68KB   7 Lượi tải

Bài viết này được chỉnh sửa bởi GM Boy: 26 April 2009 - 10:26 PM

[alaxabana]

theo cái hình mà bác bảo là mới cài lại win hả, bác cài lại hay là bung ghost vậy, nên cài lại đi thui bác, dính chưởng nữa rùi đó, còn cái file bác nói ctfmon.exe (Hình như là của win), ko phải lo gì cả, muốn tắt nó thì vào disable nó trong starup. Riêng về userinit, lúc khởi động thì sẽ thấy xuất hiện, một lúc sau nó sẽ tự mất khỏi task manager. Còn nếu nó không mất, có thể bị virus phá (cách giải quyết đã có ở trên) hoặc cũng có bạn nói ở trên, là do người dùng chỉnh sửa gì đó bản cài win

Bài viết này được chỉnh sửa bởi alaxabana: 27 April 2009 - 07:43 PM