Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara: Klik kanan REPAIR.INF Klik Install [Version] Signature="$Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1 [del] HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri: Menggunakan icon JPEG Image (JPG) Ukuran file 301 KB atau 96 (tergantung varian) Type File “Application” Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi “Search” . Klik “Start” menu Klik “Search” Klik “for files or folders” Pada layar “Search Results” klik “All files and Folders” Pada kolom “All or part of the file name” isi dengan *.EXE Pada kolom Look in :, pastikan sudah di set ke fix drive hard Disk Anda Klik “What Size is it?” Pilih opsi “Specify size (in KB) Isi At Most Isi 302 Klik “Search” Jika ditemukan hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas. (lihat gambar) Untuk mengembalikan file JPG yang sudah di injeksi oleh virus Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut perfile karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan. Silahkan download tools Hex Editor pada link dibawah ini : http://www.topshareware.com/Free-Hex-Editor-transfer-38240.htm Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut : (lihat gambar 9 - 11) Klik menu “File” Klik “Open” Kemudian pilih salah satu file JPG yang akan di perbaiki Blok Script yang dimulai dari baris 00000000 – 00027530 Setelah script tersebut diblok, klik kanan dan pilih “CUT” Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ΓΏ). Gambar , File JPG yang sudah di perbaiki Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan Norman Virus Control yang sudah dapat mendeteksi virus ini dengan baik.
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG), lihat gambar.
* Startup.exe
* Svchost.exe
* Spoolsv.exe
Gambar , Blok script yang akan di hapus
Sumber: http://vaksin.com/
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Disable “System Restore” selama proses pembersihan.
3. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools “Process Explorer”, silahkan download di alamat berikut :
Sabtu, 23 Februari 2008
Cara Membersihkan Virus VBTroj.GZH dan W32/Dewi.161081.A (Sang Perawan)
Label:
info
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar