Please login or register.

Login with username, password and session length

Author Topic: Hướng dẫn diệt virus phim nguoi lon.exe và biến thể  (Read 24664 times)

20 Tháng Mười, 2008, 01:08:13 PM
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Một ngày đẹp trời nào đó bạn bật máy lên và bỗng nhiên phát hiện ra trong ổ C, D, E của mình tự nhiên xuất hiện một thư mục lạ với tên "phim nguoi lon". Bạn tá hỏa và không biết nó từ đâu trên trời rơi xuống  ~X(  :))  ;))

Hãy bình tĩnh, định thần lại tý đi. Dạo này báo chí đang làm xôn xao với một con virus mang tên rất nhạy cảm "Phim người lớn". Để chắc chắn là nó, bạn đừng vội tò mò click vào, hãy vào Tools --> Folder Options --> View --> Show hidden files and folder, bỏ check ở Hide extensions for know files type và Hide protected operating system files type. Bạn sẽ thấy folder Phim nguoi lon sẽ "mọc" thêm một cái đuôi ".exe" Vậy là ta đã chắc chắn dính phải con mà báo chí nói ầm ĩ rồi. Xin chúc mừng  <:-P ;))  :)>-

Nhưng mà để nó ở trong máy thì cũng hơi phản cảm nhất là khi có bạn trai, gái nào đó sờ vào máy. Họ chỉ có bụm miệng mà cười, còn ta thì mặt cứ gọi là  X(  :))  =))

******************************

Ok, tào lao thế đủ rồi  :)) Chúng ta hôm nay sẽ cùng nhau diệt con "mất dậy" này, nó làm ta  X(
Cách làm hoàn toàn thủ công, chỉ việc dùng một chương trình như Process XP + Winrar (hoặc Total Comander...) để làm, rất đơn giản, chỉ mất khoảng hơn 2 phút là diệt sạch và tận gốc.

Cách làm như sau:

Đầu tiên, ta dùng Process XP để xem có gì lạ không? Đây rồi, có 2 thằng rất lạ mang tên: userinit.exe và system.exe. Sở dĩ ta nghi ngờ nó vì thường những chương trình nghiêm chỉnh nó sẽ được mô tả chi tiết ở mục Description và Company Name (2 thằng này thì không) Nhưng cũng có một vài trường hợp, các phần mềm trong nước không có 2 phần này, nếu ta biết rõ nó có ích thì có thể bỏ qua  :)>-



Sau khi xác định nó, ta chuột phải vào 2 thằng, chọn Suspend để dừng tiến trình lại rồi mới Kill process nó. Sở dĩ ta không Kill Process luôn vì con này có 2 process bảo vệ nhau, nếu ta kill process này thì process kia nó sẽ lôi ngay thằng vừa bị kill. Do đó, ta phải thực hiện thao tác Suspend nó rồi mới bắt đầu Kill process. Ta hãy hình dung là ta vừa làm đông lạnh nó rồi dùng búa đập tan nó. Cách này rất hiệu quả  :)>- 2 Process bị dừng luôn và không còn hoạt động nữa  :)>-






Những thao tác vừa rồi làm chưa hết 1 phút  :)>-

Bây giờ, ta bắt đầu tìm và xóa tàn tích của con này trong windows. Ta hãy chú ý, trong cái hình đầu tiên, ở phần Path là đường dẫn hay là nơi nó trú ẩn.

userinit.exe thì nằm trong C:\Windows
system.exe thì nằm trong C:\Windows\system32

Ta chỉ việc vào 2 thư mục đó tìm và xóa chúng là xong (Shift + Delete).





Thao tác này mất 1 phút là cùng.


Ta tiếp tục dùng công cụ search của Windows thử xem xem file userinit.exe nó nằm ở đâu. Nếu nó nằm ngoài C:\Windows\system32 thì phải copy, paste nó cho đúng đường dẫn trên. Thao tác này mất khoảng 30s

Giờ, ta lại tìm và diệt nó trong registry. Hãy nhớ rằng, con này sau khi bị diệt, nó làm cho ta không login được vào window. Nếu ta quên bước này thì thật là rắc rối, ta sẽ lại phải sử dụng thêm một cái đĩa cứu hộ. Do vậy, đây là bước cực kì quan trọng và cần phải cẩn thận một tý  :)>-

Đầu tiên, ta vào Start Menu, vào Run, gõ regedit rồi Enter. Một cửa sổ hiện ra. Ta vào khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\Current Version\Winlogon và nhìn sang bên phải, ta tìm đến khóa Userinit và click vào nó, sẽ hiện ra một bảng với đường dẫn như sau:





C:\Windows\userinit.exe

Đường dẫn trên là sai, ta phải chỉnh lại cho đúng như sau:



C:\Windows\system32\userinit.exe


Thoát khỏi registry và khởi động lại máy!

Như vậy là xong. Ta đã hoàn thành việc diệt con phim nguoi lon khó chịu này  :)>-

Ta chỉ việc xem kết quả  :)>-

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Trong trường hợp không hiện được file ẩn, bạn có thể sử dụng chương trình VnFix để có thể lấy lại file ẩn, chương trình có giao diện tiếng Việt. Bạn chỉ việc click Scan và Fix vậy là xong.
Có thể vào Các Tiện ích nhỏ gọn và hiệu quả
« Last Edit: 12 Tháng Mười Hai, 2008, 10:50:10 PM by Linkin Park »

20 Tháng Mười, 2008, 01:30:01 PM
Reply #1
  • ADMIN
  • ******
  • Posts: 6354
  • Điểm bài viết: 416
Thưa anh, nếu hệ điều hành của ta là Vista hay Linux, Ubuntu thì cũng dùng process Xp ???

20 Tháng Mười, 2008, 01:40:31 PM
Reply #2
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
À, hiểu, thắc mắc cái tên :D
Tên chính xác của nó là Process Explorer cơ, nhưng quen miệng gọi là Process XP :D

Có lẽ là độ tương thích với Vista và Linux hay Ubuntu của Process XP vẫn tốt (anh nghĩ thế :D vì Vista cũng đã cũ, không phải mới).
« Last Edit: 20 Tháng Mười, 2008, 01:47:10 PM by Linkin Park »

21 Tháng Mười, 2008, 09:37:59 PM
Reply #3
  • MOD
  • ***
  • Posts: 1938
  • Điểm bài viết: 100
  • Speak softly love ...

Đầu tiên, ta vào Start Menu, vào Run, gõ regedit rồi Enter. Một cửa sổ hiện ra. Ta vào khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\Current Version\Winlogon và nhìn sang bên phải, ta tìm đến khóa Userinit và click vào nó, sẽ hiện ra một bảng với đường dẫn như sau:

http://upanh.com/18102008/94efe0052e.jpg

http://upanh.com/18102008/a24411f434.jpg

C:\Windows\userinit.exe

Đường dẫn trên là sai, ta phải chỉnh lại cho đúng như sau:

http://upanh.com/18102008/2d15116330.jpg

C:\Windows\system32\userinit.exe


Thoát khỏi registry và khởi động lại máy!

Anh gõ thiếu này, lần trước anh em mình đã chết ở chỗ này rồi mà, mọi người chú ý cái dấu "," ngay sau userinit.exe nhé, thiếu nó là gay đấy ...
Chính xác là C:\Windows\system32\userinit.exe,
« Last Edit: 21 Tháng Mười, 2008, 09:39:44 PM by Ghost »

24 Tháng Mười, 2008, 10:24:07 AM
Reply #4
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Cái dấu , thực ra sau khi test thử ở các máy khác nhau thì dấu , này có hay không thì vẫn login được tốt (cái này là thực tế, anh đã kiểm tra lại).

Có lẽ, cái đợt đó anh em mình chưa biết tác dụng của các key Shell và UIHost vì thực tế (và cái máy của bạn em dính một biến thể khác của con này), gần đây anh trực tiếp làm ở ít nhất 2 máy dính virus thì 2 khóa này đã bị thay đổi như sau:

Shell là Explorer.exe bị đưa vào C:\Windows\system32 chẳng hạn

UIHost là %systemRoot\system32\logonui.exe

Userinit là C:\Windows\userinit.exe


trong khi thực tế, điều kiện cần và đủ để login vào Window bình thường phải là:

Shell là Explorer.exe

UIHost là Logonui.exe

Userinit là C:\windows\system32\userinit.exe

« Last Edit: 24 Tháng Mười, 2008, 10:31:43 AM by Linkin Park »

25 Tháng Mười, 2008, 10:02:39 AM
Reply #5
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Trong trường hợp vẫn sử dụng được Windows là do các chương trình Antivirus trong máy quá kém, hoặc đã không được cập nhật để diệt con này, nên remove đi cài chương trình khác hoặc phải cài lại và update nó rồi vào registry để chỉnh lại.

Còn trường hợp các chương trình antivirus trong máy đã làm việc tốt và diệt được nhưng lại xảy ra hiện tượng là: không login được vào Windows do userinit.exe đã bị xóa hoặc bị thay đổi đường dẫn thành C:\Windows\userinit.exe

Do vậy, trong trường hợp này, một đĩa cứu hộ (ví dụ Mini PE hoặc Bart PE...) là tốt nhất, Hirent Boot cũng được nhưng khó khăn hơn vì ta phải tinh chỉnh lại registry. Đĩa Mini PE này ta nên ra quán mua hoặc có thể download trên mạng (vào trang www.minipe.org để download rồi giải nén với password là thecavern).

Cách sử dụng rất đơn giản. Ta bỏ đĩa vào ổ CD rồi bấm Del hoặc F2 (tùy từng loại main) để vào BIOS để chỉnh cho khởi động từ ổ CD. Vào giao diện window rồi chọn Program --> Registry Tools --> Avast! Registry Editor Bấm vào Load selected OS registry để vào registry rồi ta lại làm như trên để tìm và chỉnh sửa lại Userinit.

10 Tháng Một, 2009, 07:17:50 PM
Reply #6
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Chiều nay đi học, thằng bạn quẳng cho con HP do không login vào Windows được.
Do đi học nên chả mang theo cái gì ngoài quyển vở + hai cái bút (1 cái sắp hết mực, còn một cái sau đó bị đứa nào chôm mất, tức thế  X(). Không có USB (đồ nghề nằm trong đó), không Hirent, không MiniPE  B-)

Xem qua thì biết ngay là Windows thì không logon vào được vì máy bị Microsoft phát hiện không có bản quyền  B-)  :)) (đen thế  :-S) do tội cả gan Update  B-)

Đang chưa biết tính sao thì nhớ ra Safe Mode thế là vào luôn. Safe Mode vẫn vào tốt. Xem xét một hồi thì phát hiện ra máy cũng bị dính luôn cả Phim nguoi lon.exe  ;)) Thôi thì đơn giản thì xử lý trước, phức tạp xử lý sau  :D

Chợt nhớ đến Taskkill của Windows, thế là lôi ra dùng luôn  B-)

Vào Run gõ cmd rồi enter.

Tasklist để xem có những thằng nào đang chạy  B-) Thấy ngay 2 con giời (system.exe và userinit.exe) đang cười rất tươi  B-) Ngó cái Pid của hai thằng rồi ghi lại số pid :D



Gõ tiếp Taskkill /f /pid 1426 /pid 1347 và enter Như thế, cả hai process của phim nguoi lon.exe đã ra đi :))

Tiếp tục vào tìm và Shift + Delete 2 thằng ở trong system32 và Windows trong ổ C  <:-P
Sửa lại key Userinit  trong Registry <:-P

Thế là xong, chỉ mất 4 - 5 phút thôi :D
*************************************************************
Giờ thì đi tìm cách ấy lại cái thằng Windows  B-) nó đang bị abc abc  8-X

« Last Edit: 10 Tháng Một, 2009, 07:48:47 PM by Linkin Park »

23 Tháng Hai, 2009, 09:08:52 PM
Reply #7
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Hôm nay xuống một doanh nghiệp, gặp lại biến thể của phim nguoi lon với cái tên My Music.exe
Chán!
Chả có gì thay đổi cả :))

Vẫn chỉ là system.exe với cả userinit.exe <=== chả buồn lấy mẫu :))

23 Tháng Hai, 2009, 09:10:18 PM
Reply #8
  • ADMIN
  • ******
  • Posts: 6354
  • Điểm bài viết: 416
Chính con my music này làm tê liệt ổ ghi của thằng Nhật, ổ ghi của em đọc được con này cũng tiệt luôn b-(
Hôm đó thằng Nhật cay tới mức tính gọi anh dậy, mà ngó 1h sáng nên thôi.
Giờ máy nó hư cũng chính vì con đó đó :))

23 Tháng Hai, 2009, 09:16:13 PM
Reply #9
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Làm gì đến thế nhỉ?

Nhắc anh mới nhớ, cái ổ CD của máy đó cũng có vấn đề, nó không nhận --> USB vẫn hoạt động tốt.
Phần cứng và phần mềm ---> ảnh hưởng đâu nhỉ? Có thể do trùng hợp ngẫu nhiên thôi. Vì hôm trước anh có ghi hơn 30 đĩa thì ghi xong cái ổ ASUS cũng có vấn đề luôn, có thể do ghi liên tục.

Sau khi diệt xong (5 phút - không hơn không kém) thì anh chỉ bảo người đó là lắp lại cáp ổ CD thôi.

02 Tháng Bảy, 2009, 01:15:55 PM
Reply #10
  • Thành viên mới
  • *
  • Posts: 34
  • Điểm bài viết: 0
Anh ơi con virus phim người lớn này không thể dùng chương trình diệt virus để diệt ạ

02 Tháng Bảy, 2009, 01:36:04 PM
Reply #11
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Các máy chỉ bị nhiễm con này khi dùng USB không cẩn thận, chương trình antivirus hết hạn sử dụng, quá cũ (BKAV)...

Còn khi các chương trình hoạt động tốt thì gần như không phải lo lắng gì (99% là như thế).

Còn đây chỉ là cách đơn giản nhất để loại bỏ con này khi mà trong tay không có bất cứ một antivirus nào hoặc nó đã hết hạn sử dụng.

02 Tháng Bảy, 2009, 02:49:38 PM
Reply #12
  • Thành viên box Hóa
  • Thành viên OlympiaVN
  • **
  • Posts: 1147
  • Điểm bài viết: 84
Anh Tú ơi, theo anh soft nào được xem là diệt mấy con này ổn nhất, em bị dính lũ trojan nữa mà đang bó tay!!

02 Tháng Bảy, 2009, 03:05:53 PM
Reply #13
  • Trần Thanh Tú - CTV box CNTT+ Team OCR
  • MODERATOR
  • ****
  • Posts: 683
  • Điểm bài viết: 124
  • Rock Không Em!
    • quần áo trẻ em
Tùy theo cảm nhận và cấu hình máy của mỗi người về mấy antivirus thôi. Có người thích KIS, KAV, BIT, AVG...anh thì dùng Avira và kết hợp với mấy soft nhỏ gọn nữa :D

Cũng có rất nhiều bài phân tích về mấy chương trình Antivirus này, em vào google để search mà đọc.

02 Tháng Bảy, 2009, 03:09:39 PM
Reply #14
  • Thành viên box Hóa
  • Thành viên OlympiaVN
  • **
  • Posts: 1147
  • Điểm bài viết: 84
Avira thì nên kết hợp với cái gì, anh bày em với  =P~. Đang định xài thử cái avira, mấy soft kia coi như cái nào cũng tiêu với trojan rồi  =((