Diệt virut system và virut userinit

Cách 1:
Khắc phục tình trạng máy không logon vào Windows do dính Virus: C:windowsuserinit.exe, c:windowssystem32system.exe
1. Boot từ CD Hirent Boot 2. ChọnFile Manager 3. Chọn Windows 98 mini 4. Vào thư mục C:Windows xóa file userinit.exe 5. Vào thư mục C:Windowssystem32 xóa file system.exe 6. Vào thư mục C:Windowssystem32 chép File userinit.exe vào thư mục C:Windows 7. Chọn Restart lại máy tính 8. Đăng nhập Windows bình thường 9. Vào mục Run > Regedit 10. Chọn vào [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] 11. Sửa đường dẫn tại khóa Userinit là: C:WINDOWSsystem32userinit.exe Như sau: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] “Userinit”=”C:\WINDOWS\system32\userinit. exe” 12. Vậy là OK (không nhất thiết phải xóa file userinit.exe trong thư mục C:Windows). Cách 2: MÔ TẢ Trojan.Satiloler.D là một loại Trojan horse. Nó ăn cắp tên người dùng, mật khẩu và một số thông tin khác và cũng thử mở một máy dịch vụ đại diện thông qua một cổng TCP bất kỳ. Lây nhiễm vào các hệ điều hành: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Kích thước: 38,670 bytes. Khi Trojan.Satiloler.D hoạt động, nó thực hiện các công việc sau:
Tạo ra file câm (mutex)và chỉ cho phép 1 phiên bản duy nhất của virus chạy trên máy tính nạn nhân: _Toolbar_Class_32
Tạo một bản backup của file hệ thống %System%userinit.exe: %Windir%systemuserinit.exe Trojan sau đó sẽ copy chính nó với tên sau, ghi đè lên file %System%userinit.exe file trong quá trình: %System%userinit.exe Chú ý: %System% là chỉ thư mục system32 của win2000, winxp, win2003 hoặc chỉ thư mục system của win95, win98, winMe %Windir là chỉ thư mục cài đặt windows thường là C:Windows, C:WinNT
Copy chính nó với tên sau:
%ProgramFiles%Common Filessystemlsass.exe
%Windir%systemctfmon.exe Ghi chú: %ProgramFiles% là thư mục Program Files, mặc định là C:Program Files.
Tạo những file sau:
%System%divx5.dll
%System%h323.txt Chú ý: File thư viện%System%divx5.dll la fmột rootkit ẩn quá trình họat động của tiện ích Windows Task Manager .
Thêm giá trị: "ctfmon.exe" = "%Windir%systemctfmon.exe" vào khóa registry: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun và chạy nó mỗi khi Windows khởi động.
Thêm giá trị: "Userinit" = "%ProgramFiles%Common Filessystemlsass.exe" vào khóa registry: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun và chạy nó mỗi khi Windows khởi động.
Thêm giá trị: "tvr" = "[PATH TO TROJAN EXECUTABLE]" vào khóa registry: HKEY_LOCAL_MACHINESOFTWARE họat động như một khóa đánh dấu lây nhiễm.
Thêm giá trị: "gold" = "[RANDOM ID]" vào khóa registry: HKEY_LOCAL_MACHINESOFTWAREMicrosoft họat động như một khóa đánh dấu lây nhiễm.
Thêm giá trị: "%Windir%systemctfmon.exe" = "%Windir%systemctfmon.exe:*:Enabled:ctfmon" "%System%userinit.exe" = "%System%userinit.exe:*:Enabled:userinit" vào khóa registry: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esSharedAccessParametersFirewallPolicyStandard ProfileAuthorizedApplicationsList để vượt qua in Windows Firewall.
Sửa giá trị: "SFCDisable" = "FFFFFF9D" "SFCScan" = "0" trong khóa registry: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon để vô hiệu hóa Windows File Protection.
Thêm giá trị: "System" = "" vào khóa registry: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Xóa tất cả các giá trị dưới khóa registry: HKEY_LOCAL_