banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... File explorer.exe bị chặn, ai biết vụ này ko nhỉ  XML
  [Question]   File explorer.exe bị chặn, ai biết vụ này ko nhỉ 29/04/2008 10:56:31 (+0700) | #1 | 128066
seaboy
Member

[Minus]    0    [Plus]
Joined: 25/01/2008 14:19:15
Messages: 4
Offline
[Profile] [PM]
Tình hình, là máy của 1 đứa bạn nó bị nhiễm virus mixa, mình ko trực tiếp diệt, nhưng thằng bạn mình diệt xong bằng bkav hết virus thì lại bị vào win cứ bị log off, sau đó nó kêu mình lên giải quyết giùm di chứng, mình đã sửa lại regedit phần
Code:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
"Shell"="explorer.exe"

_Đã vào win được nhưng ngặt 1 nỗi explorer.exe vẫn bị chặn, nghĩa là chỉ hiện thị được cái hình nền và phải thao tác mọi thứ bằng taskmanager, mình đã dùng taskmanager mở lại explorer nhưng lại tự động bị tắt liền, đã thử repair lại win nhưng vẫn chẳng có tác dụng, vẫn bị như thế, ko biết có ai biết về vấn đề này ko nhỉ, có biết thì chỉ mình với nhé.
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 29/04/2008 11:03:32 (+0700) | #2 | 128070
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Tìm kiếm các tên file do virus sinh ra, có trên registry, so sánh từng key với máy không bị dính virus để chỉnh lại.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 29/04/2008 13:49:53 (+0700) | #3 | 128096
seaboy
Member

[Minus]    0    [Plus]
Joined: 25/01/2008 14:19:15
Messages: 4
Offline
[Profile] [PM]
Tình hình là mình đã thử repair bằng đĩa win cũng như copy tập tin explorer.exe từ 1 máy khỏe mạnh qua nhưng cũng bị chặn, mình chỉ thao tác máy được bằng taskmanager, đã cài Kaspersky và quét sạch virus rồi, nhưng vẫn ko hiển thị đc explorer.exe lên, trong task manager ko hề có chương trình nào thường trú lạ cả, thế mà chạy explorer.exe vẫn bị tắt đi mới đau chứ, chắc là có regedit có lệnh gì bị sửa chăng, ngặt nỗi nếu thế tại sao repair win ko hết nhỉ, thật đau đầu.
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 29/04/2008 19:00:21 (+0700) | #4 | 128101
[Avatar]
hacnho
HVA Friend

Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
[Profile] [PM]
Căng nhỉ, bạn một Linux LiveCD nào không, Boot từ đây, mount các ổ đĩa của win, chép qua. Sau đó vào Windows, dùng RunScanner để truy xem process nào lạ không, nên nhấn nút Scan trên tools này để nó phân tích tình trạng máy của bạn, nếu được bạn post log của nó lên đây nhé.

PS: một số chương trình có khả năng hide dưới taskmanager và taskkill của MS. Do đó nếu ko nhìn thấy nó là điều bình thường.
Mọi câu hỏi vui lòng gửi lên diễn đàn!
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 00:53:16 (+0700) | #5 | 128163
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Một, vẫn còn virus, kaspersky cài vào vẫn không thấy gì, sau khi đã update. Con virus lỳ lợm chưa được update, hoặc nhảy sang Hai.
Hai, con virus đó thay đổi khá nhiều key trong registry để windows chạy bản sao của nó thay vì chạy một số ứng dụng, hay một số lệnh, hoặc làm cho hoạt động bình thường thành bất thường. Tìm kiếm theo tên của bản sao virus trong registry, thay lại như cũ hoặc so sánh nếu chẳng biết. Các file .dll của nó vẫn còn được xài....
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 01:28:24 (+0700) | #6 | 128166
[Avatar]
thephatcompany
Member

[Minus]    0    [Plus]
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
[Profile] [PM] [WWW] [Yahoo!]
Repair win lại lần nữa mà không được chắc bạn phải cài lại win rùi.
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 02:10:59 (+0700) | #7 | 128176
seaboy
Member

[Minus]    0    [Plus]
Joined: 25/01/2008 14:19:15
Messages: 4
Offline
[Profile] [PM]

hacnho wrote:
Căng nhỉ, bạn một Linux LiveCD nào không, Boot từ đây, mount các ổ đĩa của win, chép qua. Sau đó vào Windows, dùng RunScanner để truy xem process nào lạ không, nên nhấn nút Scan trên tools này để nó phân tích tình trạng máy của bạn, nếu được bạn post log của nó lên đây nhé.

PS: một số chương trình có khả năng hide dưới taskmanager và taskkill của MS. Do đó nếu ko nhìn thấy nó là điều bình thường. 

_Mình từng dùng processXp và autorun coi rồi bạn à, mình nghĩ có lẽ mình thực sự ko thấy có file nào có dấu hiệu lạ, nếu có mình đều del cả rồi. Ở đây mình chưa hiểu ý bạn lắm, có lẽ mình còn newbie quá, sao lại dùng đĩa Linux LiveCD để boot nhỉ, mình xài window, mình ko hiểu mount từ dos của đĩa linux là làm gì, nếu được bạn có thể nói rõ ko, tại sao lại phải mount trước khi dùng runscanner mới có hiệu quả ?

@thephatcompany: cài lại win ko khó bạn à, nhưng mình muốn sửa nó, chứ cứ gặp lỗi là cài lại win thì đâu cần sửa để làm gì đúng ko bạn, mỗi lần có 1 lỗi mà mình chưa biết thế này, cũng là cách để mình học hỏi thêm và nâng thêm kiến thức cho chính mình.

_Cám ơn các bạn hva rất nhiều vì đã tận tình giúp đỡ mình.
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 02:45:30 (+0700) | #8 | 128183
vuadapass
Member

[Minus]    0    [Plus]
Joined: 24/08/2006 21:52:13
Messages: 23
Offline
[Profile] [PM] [Yahoo!]
anh có mẫu con này không ạ ?
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 03:58:12 (+0700) | #9 | 128195
seaboy
Member

[Minus]    0    [Plus]
Joined: 25/01/2008 14:19:15
Messages: 4
Offline
[Profile] [PM]
Vì mình không phải là người diệt virus cho máy, nên mình chỉ nghe bạn mình nói lại là máy bị nhiễm virus mixa, đã diệt bằng Bkav sau đó bị log off và ko cho vào win, mình đã sửa lại lỗi này bằng cách edit registry tại khóa:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
"Shell"="explorer.exe" 

_Đã vào được win nhưng lại explorer không hiển thị lên được, bật lên là tự động tắt, ko thông báo gì cả, chỉ hiện mỗi cái background, vẫn có thể thao tác máy bằng cách sử dụng taskmanager, mọi ứng dụng của win như registry, msconfig tại thời điểm hiện giờ đều ko bị khóa. Sau đó mình cài thêm kis và quét tổng kết lại 1 lần nữa thì phát hiện 1 vài virus và adware linh tinh, ko có mixa trong đó nữa, đã xem lại mọi phần khởi động cùng win, và mình chỉnh lại chỉ còn khởi động cùng win mỗi ứng dụng antivirus ngoài ra không có thêm cái gì chạy nền cùng win lúc khởi động (ko nói đến các server của máy), tuy nhiên vẫn ko thể nào cho explorer chạy được.
_Nếu bạn muốn có mã nguồn của con mixa này để nghiên cứu thử thì bạn có thể download tại đây:
Code:
http://www.box.net/shared/pj12d0000c

_Mình cũng đã diệt mixa cho nhiều máy, tuy nhiên lần này mình ko trực tiếp diệt từ đầu, nên gặp hiện tượng này làm mình chưa hiểu là nó còn sót ở chỗ nào, rất đau đầu smilie
_Bi giờ vấn đề nó chỉ còn nằm ở chỗ là tại sao thằng explorer.exe cứ bị tắt đi, giống như bị chặn ko cho chạy.
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 04:14:45 (+0700) | #10 | 128198
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Chạy regedit, search theo tên file .exe do virus tạo ra mà bạn từng thấy. Show ra hết.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 30/04/2008 05:22:38 (+0700) | #11 | 128221
vuadapass
Member

[Minus]    0    [Plus]
Joined: 24/08/2006 21:52:13
Messages: 23
Offline
[Profile] [PM] [Yahoo!]
okies, vì cái bkav là chuyên gia "dọn không sạch" nên nó chỉ biết có nhận diện và delete. Còn những cái gì rác rưởi mà con malware nó để lại thì nó không biết đường dọn nốt .
- trước tiên để khẳng định Process của con mal đó đang không chạy, anh view process và del hết các ứng dụng lạ ( đừng dùng taskmanager nhé anh =.= ) .
- Sau khi del xong mà vẫn cảm thấy không còn gì khả nghi, anh vào thẻ App rồi chọn New Task và khởi động cmd .
- Trong cmd, anh gõ lệnh net user test 123456 /add . Sau đó gõ tiếp lệnh net localgroup administrators test /add
- Thoát khỏi cmd, log off computer, chuyển sang user:test với pass:123456 .
Anh xem tệp explorer đã được chạy chưa ?
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 02/05/2008 11:19:12 (+0700) | #12 | 128491
[Avatar]
luckyluke113
Member

[Minus]    0    [Plus]
Joined: 19/02/2008 20:43:46
Messages: 21
Location: # init 0
Offline
[Profile] [PM] [Yahoo!]
tại hạ copy nguyên xi của 1 bác nào đó (xin thứ lỗi bác đó là tại hạ đã quên tên) bên ddth nói về cách khắc phục tình trạng đăng nhập là out ngay :


"Đễ khắc phục bạn làm như sau nhé
Bạn mua đĩa winXP PE chạy trên CD đó
sao đó bạn click vào menu cho Recover tool--> rồi chọn registry tool--->Tiếp theo bạn sẽ chọn HKLM_Software\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\userinit
chính là userinit đây từ đó bạn nhập vào đường dẫn nhé
thêm vào giá trị nhé : C:\windows\system32\userinit.exe,
nhớ là có dấu phẩy sao đó

thật ra con virus xóa dòng này đó : C:\windows\system32\userinit.exe"


Test rồi , hiệu quả


... I'm a poor lonesome cowboy and a long far way from home ...
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 03/05/2008 03:23:29 (+0700) | #13 | 128602
nkp
Member

[Minus]    0    [Plus]
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
[Profile] [PM]
Theo mình nghĩ không cần xài cái "winXP PE" của pác "luckyluke113".Mình nghĩ thế này bị khóa explorer.exe nhưng vẫn có thế vào được Registry mà đúng không?Có gì sai đừng cười nha, theo mình cái dòng này của bạn "seaboy"có vấn đề "Userinit"="C:\\WINDOWS\\system32\\userinit.exe" .Theo ngu kiến của mình thì dòng này là C:\Windows\system32\userinit.exe, là chính xác nguyên thủy nó khi bị virus sẽ bị chỉnh sửa thành thế này C:\Windows\userinit.exe, Bạn thử sửa lại thành C:\Windows\system32\userinit.exe, thử xem sao.Đúng theo bạn "Luckyluke113" là phải có dâu "," ở cuối.
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 03/05/2008 05:59:01 (+0700) | #14 | 128613
[Avatar]
luckyluke113
Member

[Minus]    0    [Plus]
Joined: 19/02/2008 20:43:46
Messages: 21
Location: # init 0
Offline
[Profile] [PM] [Yahoo!]

nkp wrote:
Theo mình nghĩ không cần xài cái "winXP PE" của pác "luckyluke113".Mình nghĩ thế này bị khóa explorer.exe nhưng vẫn có thế vào được Registry mà đúng không?Có gì sai đừng cười nha, theo mình cái dòng này của bạn "seaboy"có vấn đề "Userinit"="C:\\WINDOWS\\system32\\userinit.exe" .Theo ngu kiến của mình thì dòng này là C:\Windows\systems\userinit.exe, là chính xác nguyên thủy nó khi bị virus sẽ bị chỉnh sửa thành thế này C:\Windows\userinit.exe, Bạn thử sửa lại thành C:\Windows\systems\userinit.exe, thử xem sao.Đúng theo bạn "Luckyluke113" là phải có dâu "," ở cuối.
 


Nếu mà vừa mới vào HĐH , chưa kịp làm gì đã bị nó đá văng ra ngoài thì làm cách nào mà vào đc registry hả bác ?
Tôi đã thử vào safe mode rồi nhưng vẫn bị đá văng ra , thử dùng Linux nhưng mà Linux thì lại ko chạy đc registry ?!?!?!?
Do đó chỉ còn cách là chạy HĐH trên disc mà sửa registry thôi
... I'm a poor lonesome cowboy and a long far way from home ...
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 03/05/2008 13:12:40 (+0700) | #15 | 128687
nkp
Member

[Minus]    0    [Plus]
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
[Profile] [PM]
Bạn "luckyluke113" đọc chưa kỹ ý của bạn "Seaboy" viết rồi đó.Bạn "seaboy" viết thế này mà.

seaboy wrote:
Tình hình, là máy của 1 đứa bạn nó bị nhiễm virus mixa, mình ko trực tiếp diệt, nhưng thằng bạn mình diệt xong bằng bkav hết virus thì lại bị vào win cứ bị log off, sau đó nó kêu mình lên giải quyết giùm di chứng, mình đã sửa lại regedit phần
Code:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
"Shell"="explorer.exe"

_Đã vào win được nhưng ngặt 1 nỗi explorer.exe vẫn bị chặn, nghĩa là chỉ hiện thị được cái hình nền và phải thao tác mọi thứ bằng taskmanager, mình đã dùng taskmanager mở lại explorer nhưng lại tự động bị tắt liền, đã thử repair lại win nhưng vẫn chẳng có tác dụng, vẫn bị như thế, ko biết có ai biết về vấn đề này ko nhỉ, có biết thì chỉ mình với nhé. 


Còn nếu như theo lời bạn
Nếu mà vừa mới vào HĐH , chưa kịp làm gì đã bị nó đá văng ra ngoài 
thì quá dễ.Bạn vào vào Dos và copy file Userinit.exe từ C:\windows\system32\ vào C:\windows\ .Bạn khởi động là máy.Và vào win xóa file userinit.exe ở C:\windows\ nếu thích và vào Registry "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" sửa khóa Userinit lại cho đúng như thế này là được C:\windows\system32\userinit.exe,
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 07/05/2008 00:59:44 (+0700) | #16 | 129239
sherlock_anh
Member

[Minus]    0    [Plus]
Joined: 24/04/2008 17:17:44
Messages: 1
Offline
[Profile] [PM]
Mình có sưu tầm được 1 gói dùng để kill con này
Có thể chạy từ DOS luôn

http://www.megaupload.com/?d=HSCE3Z4B

chỉ cần chạy file .bat trước và chạy file .reg để fuc hoi registry la xong
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 08/05/2008 13:28:47 (+0700) | #17 | 129613
[Avatar]
AH
Member

[Minus]    0    [Plus]
Joined: 28/09/2006 12:27:58
Messages: 89
Location: trong bụng mẹ
Offline
[Profile] [PM]
máy bạn tôi cũng bị con mixa này, đúng là mệt mỏi với nó nhưng quét rồi repair Win lại là được mà, nhưng cách này lần nào quét đều phải repair thì tốn thời gian quá, ai có cách nào hay hơn ko, bạn sherlock_anh có thể gửi cáci tool ó qua YH cho tôi được ko, thanks bạn trước nhé : ngay3thang5@yahoo.com
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 10/05/2008 03:13:36 (+0700) | #18 | 129804
nkp
Member

[Minus]    0    [Plus]
Joined: 09/03/2008 13:36:56
Messages: 29
Offline
[Profile] [PM]
Ở trên có nhiều cách diệt mà đâu cần Repair lại Windows đâu bạn "AH".Bạn hãy chọn cách mà dùng.Mình chưa xài cái tool của pác "sherlock_anh" nhưng nghe có vẻ làm hấp dẫn lắm đó.Bạn thử xài xem sao.Nếu có kết quả thì thông báo cho anh em biết với.Nếu không có hiệu quả xài cách của mình cũng được.Mình đảm bảo được 100% đó..Diệt virus mà cứ diệt xong phải Repair lại cả Windows thì hơi mệt đó bạn.

Chúc may mắn
[Up] [Print Copy]
  [Question]   Re: File explorer.exe bị chặn, ai biết vụ này ko nhỉ 14/05/2008 12:09:07 (+0700) | #19 | 130451
dungcoi_vb
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:17:06
Messages: 100
Offline
[Profile] [PM]
[Hướng dẫn] Diệt virus Mixa : http://virusvn.com/forum/showthread.php?t=186
[Hướng dẫn]Khắc phục hiện tượng LogOff khi khởi động : http://virusvn.com/forum/showthread.php?t=194

Good luck
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|