AZ Solution

Đối với virus gây log off mỗi khi khởi động vào windows, thì nguyên tắt hoạt động của nó là  thay đổi userinit.exe thành các file khác nhau: C:\windows\System.exe, C:\Windows\userinit.exe, C:\windows\system32\systemio.exe...

Nó sẽ đổi giá trị Userinit trong đường dẫn

• HKLM\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGON
• Giá trị C:\WINDOWS\system32\userinit.exe
• Sẽ đổi thành thành C:\WINDOWS\system32\***.exe
• Trong đó ***.exe là file virus.

Để khắc phục ta dụng các công cụ làm sao thay đổi được giá trị ở dòng dẫn trên về giá trị ban đầu. Có thể copy tập tin copy tập tin C:\WINDOWS\system32\userinit.exe (hoặc từ máy khác) ghi đè lên C:\Windows\userinit.exe

Nếu không được, có thể làm theo cách sau:

Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console.

• Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thông báo Press any key to boot from CD.
• Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởi động Recovery Console (RC). Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).
• Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).
  
  cd system32
  
  copy userinit.exe wsaupdater.exe
  
  exit

Bước 2. Khởi động lại máy tính, bạn đã có thể đăng nhập Windows ở chế độ bình thường.

• Chọn Start. Run, gõ dòng lệnh regedit và nhấn OK để mở cửa sổ Registry Editor.
• Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn modify.
• Thay thế tập tin wsaupdater.exe bằng userinit.exe, (bao gồm cả dấu “,”) trong mục Value data (thông tin đúng trong trường hợp này là C:\WINDOWS\system32\userinit.exe,)
• Chọn OK và đóng Registry Editor.

Bước 3. Xóa tập tin wsaupdater.exe: Tìm tập tin wsaupdater.exe trong thư mục Windows\System32, chọn Delete, nhấn OK xác nhận xóa.