Thời gian gần đây, Trung tâm An ninh mạng Bkis nhận được đề nghị trợ giúp
của nhiều người sử dụng phản ánh tình trạng máy tính bị tê liệt, không
sử dụng được sau khi diệt virus. Hiện tượng mà những người sử dụng này
gặp phải là cứ thực hiện thao tác đăng nhập (login) vào Windows lập tức
bị thoát ra ngoài (logout). Hoặc đăng nhập vào được nhưng cũng không
thực hiện thêm được thao tác nào. Hầu hết mọi người đều đổ lỗi cho virus đã làm hỏng hệ điều hành của mình và
phải cài lại Windows, nhiều trường hợp bị mất toàn bộ dữ liệu trên máy
tính.
Tuy nhiên, sự thật không phải như vậy. Các thử nghiệm cho thấy, virus không
phải là thủ phạm làm hỏng Windows. Thủ phạm lại chính là các phần mềm
diệt virus BitDefender, Kaspersky, McAfee và Symantec.
Chúng tôi đã phát hiện sự việc từ 6 tháng trước, nhưng dự định không cảnh báo
cho người sử dụng vì xét thấy có thể sẽ gây sự hiểu lầm là Bkis tự tạo
lợi thế cạnh tranh trước các phần mềm diệt virus của nước ngoài. Tuy
nhiên, khi sự việc xảy ra nhiều đến mức báo động, gây nhiều thiệt hại
cho người sử dụng (tới nay đã có ít nhất 47.000 máy tính bị nhiễm các
loại virus này). Với trách nhiệm của mình, Bkis thấy cần phải có cảnh
báo, giúp người sử dụng tránh được những rắc rối và sự thiệt hại không
đáng có.
Để làm rõ vấn đề, ngày 12/11/2008 Trung tâm An ninh mạng Bkis đã có buổi
thử nghiệm thực tế với các phần mềm BitDefender, Kaspersky, McAfee,
Symantec và Bkav. Để đảm bảo tính khách quan, chúng tôi đã mời các
phóng viên công nghệ thông tin đến từ các báo VnExpress, Bưu điện Việt
Nam, PCWorld và Dân trí tham dự buổi thử nghiệm.
Sau 3 giờ đồng hồ tiến hành thử nghiệm dưới sự quan sát của các phóng viên,
kết quả cho thấy các phần mềm của nước ngoài nêu trên có thể nhận ra và
diệt virus nhưng lại không thể khôi phục được file chuẩn khiến hệ điều
hành Windows bị hỏng.
Cũng trong những tình huống này, sử dụng Bkav để diệt virus, hệ thống được
khôi phục về trạng thái ban đầu, Windows trở lại hoạt động bình thường.
Chi tiết kết quả thử nghiệm xin xem ở phần cuối.
Theo khảo sát của VnExpress, đã có 67% người sử dụng gặp hiện tượng này Một số bài liên quan:VnExpress.net: Phần mềm bảo mật treo cứng Windows sau khi diệt virus
ICTnews.vn: Phần mềm diệt virus diệt cả Windows
Dantri.com.vn: Phần mềm diệt virus hay... diệt Windows
Chi tiết thử nghiệmThử nghiệm được thực hiện trên 4 máy tính được tạo môi trường sạch, tắt kết
nối Internet và theo quy trình: cho virus nhiễm vào máy tính =>
restart máy => cài phần mềm diệt virus phiên bản mới nhất =>
restart máy, diệt virus.
Thử nghiệm 1: BitDefender 2009 với virus Xpack có xuất xứ từ Trung QuốcĐây là loại virus sau khi nhiễm vào máy tính sẽ “nằm vùng” như một “gián
điệp” và liên tục tải các malware khác từ Internet về. Chuyên gia thử
nghiệm tiến hành cho lây nhiễm lên máy tính. Sau đó, cài đặt
BitDefender 2009 và khởi động lại máy tính. Phần mềm BitDefender 2009
xác nhận có virus và tiến hành diệt. Khi diệt xong, máy tính được
restart lần nữa nhưng không thể đăng nhập vào hệ điều hành. Người dùng
gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout) và
hiện lên cửa sổ yêu cầu đăng nhập lại, quá trình cứ lặp lại như thế,
Windows đã bị hỏng.
Nguyên nhân được xác định là do: virus đã sao chép chính nó lên file
UserInit.exe. BitDefender 2009 đã diệt virus bằng cách xóa file này mà
không thể khôi phục lại file chuẩn của hệ thống nên đã làm hỏng hệ điều
hành Windows.
Thử nghiệm 2: Norton Antivirus 2009 của Symantec với virus OnlineGameJYAĐây là loại virus chuyên ăn cắp mật khẩu và các thông tin cá nhân của người
chơi game trực tuyến. Sau khi để virus lây nhiễm vào máy tính, các
chuyên gia tiến hành cài đặt Norton Antivirus và khởi động lại máy.
Phần mềm này đã phát hiện và diệt virus. Nhưng khi được restart lần
nữa, sau khi gõ mật khẩu đăng nhập xong, thanh Taskbar bị mất, không
kéo thả được file và thư mục, phím Windows không sử dụng được, chức
năng copy – paste cũng không thể sử dụng. Windows trên máy tính lúc này
đã bị hỏng.
Nguyên nhân của tình trạng này được xác định là do: file hệ thống rpcss.dll mà
virus ghi đè đã bị Norton Antivirus 2009 xóa mất nhưng không khôi phục
lại file gốc.
Thử nghiệm 3: Kaspersky 2009 với virus ExpdownBMẫu virus này cũng thuộc dòng virus “nằm vùng” tương tự như Xpack. Quy
trình thử nghiệm trên máy tính cũng được thực hiện tương tự như hai lần
trước. Sau khi diệt xong virus, khởi động lại máy tính và đăng nhập hệ
điều hành, màn hình desktop không thể sử dụng được.
Nguyên nhân cũng là do: Kaspersky 2009 khi diệt virus đã xóa luôn file Explorer.exe mà không khôi phục lại file chuẩn.
Thử nghiệm 4: McAfee 2009 với virus XpackVì phần mềm này có quá trình cập nhật (update) tương đối phức tạp nên được
các chuyên gia cài sẵn trên máy tính thử nghiệm. Sau khi cho nhiễm
Xpack lên máy này, McAfee được kích hoạt đã phát hiện và đồng thời cô
lập virus trên file UserInit.exe. Tuy nhiên sau khi khởi động lại, máy
tính gặp hiện tượng giống như đã thử nghiệm với BitDefender 2009: Người
dùng gõ xong mật khẩu đăng nhập, Windows lại tự động thoát ra (logout)
và hiện lên cửa sổ yêu cầu đăng nhập lại, không thể vào Windows được
nữa.
Hình ảnh giải mã virus ghi đè file UserInit.exe Thử nghiệm 5: Bkav với cả 4 dòng virusThử nghiệm được tiến hành với phiên bản miễn phí BkavHome. Cũng với quy
trình như đã làm với các phần mềm và virus kể trên, sau khi cho virus
lây nhiễm lên máy tính thử nghiệm, chuyên gia thử nghiệm tiến hành cài
đặt BkavHome và khởi động lại máy. Sau mỗi lần như vậy với lần lượt
từng loại virus, chức năng bảo vệ tự động (Auto Protect) của Bkav đều
tự động phát hiện và diệt virus tìm được.
Thuật toán có trong phần mềm Bkav đã giải mã được đoạn mã gốc và khôi phục
lại các file chuẩn của hệ điều hành và giúp Windows trở lại tình trạng
như trước khi bị nhiễm virus.
Kết luận:Hiện tượng máy tính bị tê liệt, không sử dụng được sau khi diệt virus nêu
trên có nguyên nhân do chính các phần mềm diệt virus BitDefender,
Kaspersky, McAfee, Symantec gây ra. Hiện tượng này rất dễ bị hiểu nhầm
là do hành động phá hoại của virus.
Khuyến cáo người sử dụng:Với những dòng virus như nêu trên (những virus này thường có xuất xứ từ
Trung quốc, hiện nay xuất hiện rất nhiều) người sử dụng không nên diệt
virus bằng BitDefender, Kaspersky, McAfee và Symantec.
Trong trường hợp đã sử dụng các phần mềm nói trên và gặp hiện tượng Windows
bị hỏng, người sử dụng có thể khắc phục bằng cách thực hiện repair lại
Windows.
(Nguồn từ Trung tâm an ninh mạng Bkis - http://www.bkav.com.vn)
Thực tế, 2Long cũng đã có duyên gặp em "UserInit.exe" này rồi. Vì máy íu nên ko cài được các phần mềm diệt virus nặng nề kia, đành phải diệt virus theo kiểu thủ công: delete file nhiễm virus, mỗi lần delete ko những ko mất mà nó lại bung ra 1 window của folder "My Documents". Thật là bực bội! Chỉ còn biết cài lại Win, chứ lúc đó dùng BkavPro (bẻ khóa) cũng ko ăn thua gì *_*!