Cách khắc phục hiện tượng Windows tự động log off sau khi quét virus

[TuanAnh37]

Cuộc chiến giữa virus máytính (spyware, adware...) và người dùng máy tính luôn là đề tài nóng bỏng,không có “hồi kết” khi chúng ta vẫn còn sử dụng máy tính.
Các virus ngày càngtinh quái hơn, hiểm độc hơn, có khả năng phối hợp khá “nhuần nhuyễn” để tăngtính phá hoại, lẫn tránh cơ chế phát hiện của các phần mềm phòng chống virus.Thậm chí khi bị phát hiện, người dùng cũng khó lòng diệt sạch chúng nếu khôngxử lý tốt các thay đổi do virus gây ra. Trong bài viết kỳ này, chúng ta sẽ quaytrở lại vấn đề virus với lỗi Windows tự động log off khi người dùng đăng nhậpWindows.

Windows tự động log off là cú “hồi mã thương” mà một số spyware sử dụng khi bị pháthiện. Chẳng hạn các phần mềm chống virus như Norton AntiVirus, LavasoftAd-Aware... phát hiện và xóa tập tin spyware wsaupdater.exe nhưng không sửathông tin trong Registry. Kết quả Windows không thể hoàn tất quá trình khởiđộng do thông tin Registry bị sai lệch dù bạn thử đăng nhập bằng một vài tùychọn khác như chế độ Safe Mode và Last Known Good Configuration. Có vài cách đểkhắc phục lỗi này tùy vào những công cụ sẵn có, chẳng hạn như sử dụng RecoveryConsole trong CD cài đặt Windows hoặc trực tiếp chỉnh sửa Registry của Windowsbằng tiện ích trong “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’s PE Builder,miniPE.

Sử dụng Recovery Console

Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console

Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thôngbáo Press any key to boot from CD.

Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởiđộng Recovery Console (RC).

Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cầnkhắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởiđộng lại máy).

Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).

Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).

cd system32

copy userinit.exe wsaupdater.exe

exit

Bước 2. Khởi động lại máy tính, bạn đãcó thể đăng nhập Windows ở chế độ bình thường

Chọn Start > Run, gõ dòng lệnh regeditvà nhấn OK để mở cửa sổ Registry Editor.

Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon

Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn Modify.

Thay thế tập tin wsaupdater.exe bằng userinit.exe,(bao gồm cả dấu “,”) trong mục Value data (thông tin đúngtrong trường hợp này là C:\WINDOWS\system32\userinit.exe)

Chọn OK và đóng Registry Editor.

Bước 3. Xóa tập tin wsaupdater.exe

Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị(Administrators).

Chọn Start > Run, gõ dòng lệnh %Windir%\system32,nhấn OK (hoặc mở Windows Explorer, tìm đến thư mụcWindows\System32)

Tìm tập tin wsaupdater.exe trong thư mục Windows\System32,chọn Delete, nhấn OK xác nhận xóa.

Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải đượcthực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windowshoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiếnhành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại theocác hướng dẫn trong bài “Chăm sóc và bảo dưỡng Windows Registry” (ID:A0205_90).

Sử dụng Mini-Pe

Nếu có sẵn một trong những đĩa “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’sPE Builder, miniPE... Bạn có thể trực tiếp chỉnh sửa Registry của Windows bằngnhững tiện ích sẵn có để đơn giản hóa việc khắc phục. Trong bài viết này, chúngtôi sẽ hướng dẫn sử dụng tiện ích Avast! Registry Editor (ARE) trong CD miniPE.Có thể tải về phiên bản mới nhất của miniPE tại http://minipe.org.

Khởi động máy tính bằng CD miniPE (trong trường hợp cần thiết, bạn cần thiết lậpđể máy tính khởi động từ ổ CD-ROM hoặc nhấn phím tắt để hiển thị tùy chọn khởiđộng từ các thiết bị phần cứng khác nhau).

Sau khi khởi động, giao diện miniPE khá giống với Windows, dễ dàng cho ngườidùng thao tác .

Chọn Start > Programs > RegistryTools > Avast! Registry Editor để khởi động tiệních. ARE sẽ liệt kê các HĐH và các tập tin Registry tìm thấy. Nếu chỉ có 1 HĐH,bạn không phải đắn đo khi chọn Load selected OS registry.

Trong cửa sổ Registry Editor quen thuộc, thực hiện các thao tác như bước 2 bên trên.

Thoát khỏi ARE. Khởi chạy Windows Explorer trong Start > Programs> File Management và thực hiện việc xóa tập tinwsaupdater.exe như bước 3.

Ngoài ra, bạn cũng nên “tận dụng” các phần mềm chống virus trong Programs. AntiVirus/Spywaređể không bỏ “lọt lưới” các virus mà Norton AntiVirus, Lavasoft Ad-Aware...trong Windows không phát hiện được. Trong bài viết khác, chúng ta sẽ cùng nhautìm hiểu thêm về các phần mềm chống virus này.

[alufun]

Cảm ơn vì bài viết rất hay.

[truc7tc2]

Cuộc chiến giữa virus máytính (spyware, adware...) và người dùng máy tính luôn là đề tài nóng bỏng,không có “hồi kết” khi chúng ta vẫn còn sử dụng máy tính.
Các virus ngày càngtinh quái hơn, hiểm độc hơn, có khả năng phối hợp khá “nhuần nhuyễn” để tăngtính phá hoại, lẫn tránh cơ chế phát hiện của các phần mềm phòng chống virus.Thậm chí khi bị phát hiện, người dùng cũng khó lòng diệt sạch chúng nếu khôngxử lý tốt các thay đổi do virus gây ra. Trong bài viết kỳ này, chúng ta sẽ quaytrở lại vấn đề virus với lỗi Windows tự động log off khi người dùng đăng nhậpWindows.

Windows tự động log off là cú “hồi mã thương” mà một số spyware sử dụng khi bị pháthiện. Chẳng hạn các phần mềm chống virus như Norton AntiVirus, LavasoftAd-Aware... phát hiện và xóa tập tin spyware wsaupdater.exe nhưng không sửathông tin trong Registry. Kết quả Windows không thể hoàn tất quá trình khởiđộng do thông tin Registry bị sai lệch dù bạn thử đăng nhập bằng một vài tùychọn khác như chế độ Safe Mode và Last Known Good Configuration. Có vài cách đểkhắc phục lỗi này tùy vào những công cụ sẵn có, chẳng hạn như sử dụng RecoveryConsole trong CD cài đặt Windows hoặc trực tiếp chỉnh sửa Registry của Windowsbằng tiện ích trong “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’s PE Builder,miniPE.

Sử dụng Recovery Console

Bước 1. Thay thế, đổi tên tập tin userinit.exe bằng Recovery Console

Khởi động máy với đĩa CD cài đặt Windows. Nhấn phím bất kỳ khi xuất hiện thôngbáo Press any key to boot from CD.

Trong màn hình Welcome to setup, nhấn phím R (Repair) để khởiđộng Recovery Console (RC).

Nếu hệ thống cài đặt nhiều hệ điều hành (HĐH) khác nhau, chọn HĐH bị lỗi cầnkhắc phục (lưu ý: nếu nhấn Enter khi chưa chọn HĐH, chương trình sẽ tự khởiđộng lại máy).

Nhập mật khẩu của tài khoản thuộc nhóm quản trị (Administrators).

Tại dấu nhắc của RC, gõ các dòng lệnh sau (nhấn Enter sau mỗi dòng lệnh).

cd system32

copy userinit.exe wsaupdater.exe

exit

Bước 2. Khởi động lại máy tính, bạn đãcó thể đăng nhập Windows ở chế độ bình thường

Chọn Start > Run, gõ dòng lệnh regeditvà nhấn OK để mở cửa sổ Registry Editor.

Trong khung trái Registry Editor, tìm đến nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon

Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn Modify.

Thay thế tập tin wsaupdater.exe bằng userinit.exe,(bao gồm cả dấu “,”) trong mục Value data (thông tin đúngtrong trường hợp này là C:\WINDOWS\system32\userinit.exe)

Chọn OK và đóng Registry Editor.

Bước 3. Xóa tập tin wsaupdater.exe

Khởi động lại máy tính, đăng nhập Windows bằng tài khoản thuộc nhóm quản trị(Administrators).

Chọn Start > Run, gõ dòng lệnh %Windir%\system32,nhấn OK (hoặc mở Windows Explorer, tìm đến thư mụcWindows\System32)

Tìm tập tin wsaupdater.exe trong thư mục Windows\System32,chọn Delete, nhấn OK xác nhận xóa.

Ghi chú. Việc chỉnh sửa các thông số Registry đòi hỏi phải đượcthực hiện hết sức cẩn trọng vì chỉ một sơ suất nhỏ cũng có thể khiến Windowshoạt động bất thường, thậm chí không thể đăng nhập được. Do vậy, trước khi tiếnhành bất kỳ một chỉnh sửa nào, hãy sao lưu lại cấu hình Registry hiện tại theocác hướng dẫn trong bài “Chăm sóc và bảo dưỡng Windows Registry” (ID:A0205_90).

Sử dụng Mini-Pe

Nếu có sẵn một trong những đĩa “CD cứu hộ” như Hiren’s BootCD, WinBuilder, Bart’sPE Builder, miniPE... Bạn có thể trực tiếp chỉnh sửa Registry của Windows bằngnhững tiện ích sẵn có để đơn giản hóa việc khắc phục. Trong bài viết này, chúngtôi sẽ hướng dẫn sử dụng tiện ích Avast! Registry Editor (ARE) trong CD miniPE.Có thể tải về phiên bản mới nhất của miniPE tại http://minipe.org.

Khởi động máy tính bằng CD miniPE (trong trường hợp cần thiết, bạn cần thiết lậpđể máy tính khởi động từ ổ CD-ROM hoặc nhấn phím tắt để hiển thị tùy chọn khởiđộng từ các thiết bị phần cứng khác nhau).

Sau khi khởi động, giao diện miniPE khá giống với Windows, dễ dàng cho ngườidùng thao tác .

Chọn Start > Programs > RegistryTools > Avast! Registry Editor để khởi động tiệních. ARE sẽ liệt kê các HĐH và các tập tin Registry tìm thấy. Nếu chỉ có 1 HĐH,bạn không phải đắn đo khi chọn Load selected OS registry.

Trong cửa sổ Registry Editor quen thuộc, thực hiện các thao tác như bước 2 bên trên.

Thoát khỏi ARE. Khởi chạy Windows Explorer trong Start > Programs> File Management và thực hiện việc xóa tập tinwsaupdater.exe như bước 3.

Ngoài ra, bạn cũng nên “tận dụng” các phần mềm chống virus trong Programs. AntiVirus/Spywaređể không bỏ “lọt lưới” các virus mà Norton AntiVirus, Lavasoft Ad-Aware...trong Windows không phát hiện được. Trong bài viết khác, chúng ta sẽ cùng nhautìm hiểu thêm về các phần mềm chống virus này.

Làm như vậy chi không biết nữa? Lu bu hết. T thì biết sau khi quét virus xong thì khởi động lại máy là OK

Chỉnh sửa tùm lum không khéo là cài lại win luôn

[TuanAnh37]

Đó là Cách khắc phục hiện tượng Windows tự động log off sau khi quét virus mà bạn

[akanepro]

Không đọc dòng này hả truc7ct2
Windows tự động log off là cú “hồi mã thương” mà một số spyware sử dụng khi bị pháthiện. Chẳng hạn các phần mềm chống virus như Norton AntiVirus, LavasoftAd-Aware... phát hiện và xóa tập tin spyware wsaupdater.exe nhưng không sửathông tin trong Registry. Kết quả Windows không thể hoàn tất quá trình khởiđộng do thông tin Registry bị sai lệch dù bạn thử đăng nhập bằng một vài tùychọn khác như chế độ Safe Mode và Last Known Good Configuration.
Diệt xong là lãnh đủ đó, phải làm như cách trên hoặc cài lại win. Tui bị 1 lần rùi, làm theo cách trên đỡ cài lại win.

[truc7tc2]

Không đọc dòng này hả truc7ct2
Windows tự động log off là cú “hồi mã thương” mà một số spyware sử dụng khi bị pháthiện. Chẳng hạn các phần mềm chống virus như Norton AntiVirus, LavasoftAd-Aware... phát hiện và xóa tập tin spyware wsaupdater.exe nhưng không sửathông tin trong Registry. Kết quả Windows không thể hoàn tất quá trình khởiđộng do thông tin Registry bị sai lệch dù bạn thử đăng nhập bằng một vài tùychọn khác như chế độ Safe Mode và Last Known Good Configuration.
Diệt xong là lãnh đủ đó, phải làm như cách trên hoặc cài lại win. Tui bị 1 lần rùi, làm theo cách trên đỡ cài lại win.

Đó là tại chương trình diệt virus của bạn thôi! Nhưng có cách làm như bạn thì cũng tốt nhưng không phải là cách hay. Không nên can thiệp vào Registry

[GaPro]

Nếu bạn không muốn can thiệp vào Registry thì có thể copy file userinit.exe từ thư mục system32 vào trong thư mục windows là xong.
Cách copy thì có thể dùng XP mini, Dos NTFS, Linux live CD, hoặc tháo ổ cứng qua máy khác copy nhờ. Nếu ổ cài Windows là Fat32 thì Dos thường cũng copy được luôn.

[NgoMauHieu]

TA ơi! Mình thấy mổi lần Repair là máy chậm lắm. Bạn Làm luôn bài dọn rác máy tính luốn nhé

[GaPro]

Lúc nãy đọc lại bài mới thấy con virus này khác mấy con trước mình gặp. Trước kia mình gặp mấy lần nhưng virus nó chỉ tạo ra file userinit.exe giả trong thư mục Windows, và sửa registry đến file này. Khi khởi động file giả này sẽ thực hiện gọi file userinit.exe thật khởi động, còn con virus wsaupdater.exe thì mình chưa gặp.

@NgoMauHieu: Bạn muốn dọn rác máy tính thì có thể sử dụng phần mềm này, chương trình khá nhỏ gọn và dọn rác cũng rất nhanh.
Download CCleaner

[TuanAnh37]

TA ơi! Mình thấy mổi lần Repair là máy chậm lắm. Bạn Làm luôn bài dọn rác máy tính luốn nhé

bạn có thể dùng phần mềm tuneup để tinh chỉnh và tăng tốc hệ thống hoặc phần mềm windows care.và còn nhiều cái khác nữa.nếu bạn cần tìm thì có thể vào google seach,bạn muốn hướng dẫn sử dụng thì có thể tham khảo nguồn khác hoặc liên hệ với mình qua yahu Mr.TuanAnh37 hoặc
gmail : mr.****@gmail.com, mình sẽ làm slide hướng dẫn tặng bạn,
mình dùng crack nên không thể post link lên đây đc,post link chỉ có bản trial thôi,bó tay bạn ah.bạn thông cảm nhé.

[bolzano_1989]

Đó là tại chương trình diệt virus của bạn thôi! Nhưng có cách làm như bạn thì cũng tốt nhưng không phải là cách hay. Không nên can thiệp vào Registry

Bạn nói "Không nên can thiệp vào Registry" là không đủ ý rồi, mình vẫn can thiệp vào Registry hàng ngày đây, chẳng có vấn đề gì nguy hiểm với mình cả.

[duymeo]

Đó là tại chương trình diệt virus của bạn thôi! Nhưng có cách làm như bạn thì cũng tốt nhưng không phải là cách hay. Không nên can thiệp vào Registry

Nếu thiếu phần chỉnh sửa ở registry, mà kẻ viết virus cho userinit chạy ở đường dẫn khác bạn làm thế nào ?

[TuanAnh37]

Nếu thiếu phần chỉnh sửa ở registry, mà kẻ viết virus cho userinit chạy ở đường dẫn khác bạn làm thế nào ?

Có cái gì quan trọng nhất trong windows hơn registry hả bác duymeo?
Nếu thiếu phần chỉnh sửa registry thì các tin tặc sẽ viết cho virus xâm nhập vào hệ thống bằng những con đường khác.mà registry không chỉnh sửa đc thì theo trình độ của em,em nghĩ cũng không có cách gì khắc phục các lỗi của windows ngoài cách format và cài mới HĐH.
Chỉ có bác là khó xâm nhập nhất,chỉ xâm nhập vào bác bằng con đường văn chương thôi,tiếc cái là em lại thừa iốt mà lại dốt văn !!!

[Lãng khách]

Thực ra, với Lãng khách, việc xử lý con này bằng MiniXP cũng khá đơn giản. Sau khi boot vào MiniXP, ta truy cập tới thư mục sau của hệ thống bị lỗi:
C:\Windows\system32\dllcache và đổi tên file sethc.exe thành sethc.LKC. Sau đó, copy một bản sao mới của cmd.exe và đổi tên thành sethc.exe. Làm y hệt với thư mục system32 (thư mục cha của thư mục dllcache). Sau đó, Reboot. Tại màn hình chờ Log on, ta bấm phím Shift 5 lần, mở được cửa sổ command prompt. Sau đó gõ regedit rồi Enter, để mở Regedit Editor:
1. Trong khung trái Registry Editor, tìm đến nhánh

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

2. Ở khung phải, tìm đến mục userinit, nhấn phải chuột trên mục này chọn Modify.

3. Phải chuột, chọn Modify và sửa lại thành:

Code:

C:\Windows\system32\userinit.exe,

(bao gồm cả dấu phẩy ở cuối, các bạn chú ý)

4. Reboot và kiểm tra .

Lãng khách sẽ hướng dẫn cách sử dụng trực tiếp MiniXP để sửa đổi, điều chỉnh Registry của HDH bị lỗi sau nhé .

[MANTEIV]

Cách của bác LK nên làm từ trước khi máy bị để đề phòng chỉ khổ cho mấy ae bắn CS thôi

[lananh8]

Cách của bác LK nên làm từ trước khi máy bị để đề phòng chỉ khổ cho mấy ae bắn CS thôi

Không biết dư lào cả!

[Lãng khách]

Cách của bác LK nên làm từ trước khi máy bị để đề phòng chỉ khổ cho mấy ae bắn CS thôi

Không biết dư lào cả!

Chính xác là như vậy. Cách của Lãng khách nên áp dụng sẵn (bạn MANTEIV nói rất đúng, khi ta áp dụng sẵn thì không cần tới MiniXP nữa, mà đơn giản là vào trực tiếp các thư mục nói trên để thao tác). Cách làm:
1. Windows + E mở Windows Explorer.
2. Gõ trên thanh địa chỉ Address Bar của Explorer rồi Enter:

Code:

 
C:\Windows\system32\dllcache

3. Tại cửa sổ mở ra, nhấp vào chỗ trống bất kỳ, gõ lần lượt từng ký tự sau đều tay và chậm rãi:
s, e, t, h, c (hợp thành sethc)
thanh sáng sẽ được cố định tại file sethc.exe.
4. Phải chuột file sethc.exe, chọn Rename, gõ vào tên file mới là sethc.LKC.
5. Tiếp tục nhấp chuột vào một chỗ trống trong thư mục dllcache, gõ lần lượt các ký tự c, m, d (hợp thành cmd) để thanh sáng được đưa đến file cmd.exe.
6. Giữ phím Ctrl, nhấp chuột file cmd.exe, kéo thả ra Desktop (sẽ được file cmd.exe tại Desktop).
7. Phải chuột file cmd.exe tại Desktop, chọn Rename, nhập tên file mới là sethc.exe.
8. Giữ Ctrl, nhấp file sethc.exe (vừa đổi tên thành) tại Desktop, kéo thả vào thư mục dllcache. Một bản sao của sethc.exe này được tạo ra tại dllcache thay cho sethc.exe cũ mà ta đã đổi tên.
9. Up lên thư mục system32 (thư mục cha của dllcache). Tiếp tục giữ Ctrl, kéo thả sethc.exe tại Desktop thả vào thư mục system32. Bấm phím Y để xác nhận việc ghi đè file có sẵn.

Vậy là đã xong. Tại màn hình Log on, gõ phím Shift 5 lần là ta đang có mặt tại cửa sổ command prompt có phân quyền System (hệ thống). Tại đây ta có thể call các lệnh khác, các cửa sổ hay ứng dụng khác với quyền SYSTEM.

Chúc các bạn thành công .