Sabtu, 23 Februari 2008

Cara Membersihkan Virus VBTroj.GZH dan W32/Dewi.161081.A (Sang Perawan)


http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG), lihat gambar.

* Startup.exe
* Svchost.exe
* Spoolsv.exe



  1. Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

    1. Klik kanan REPAIR.INF

    2. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

  1. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)

  • Ukuran file 301 KB atau 96 (tergantung varian)

  • Type File “Application”

Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi “Search” .

  • Klik “Start” menu

  • Klik “Search”

  • Klik “for files or folders”

  • Pada layar “Search Results” klik “All files and Folders”

  • Pada kolom “All or part of the file nameisi dengan *.EXE

  • Pada kolom Look in :, pastikan sudah di set ke fix drive hard Disk Anda

  • Klik What Size is it?”

    • Pilih opsi “Specify size (in KB)

    • Isi At Most

    • Isi 302

  • KlikSearch”

  • Jika ditemukan hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas. (lihat gambar)


  1. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut perfile karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan.

Silahkan download tools Hex Editor pada link dibawah ini :

http://www.topshareware.com/Free-Hex-Editor-transfer-38240.htm

Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut : (lihat gambar 9 - 11)

  • Klik menu “File”

  • Klik “Open”

  • Kemudian pilih salah satu file JPG yang akan di perbaiki


  • Blok Script yang dimulai dari baris 00000000 – 00027530


















Gambar , Blok script yang akan di hapus

  • Setelah script tersebut diblok, klik kanan dan pilih “CUT”

  • Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ΓΏ).


















Gambar , File JPG yang sudah di perbaiki

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan Norman Virus Control yang sudah dapat mendeteksi virus ini dengan baik.


Sumber: http://vaksin.com/



1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Disable “System Restore” selama proses pembersihan.
3. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools “Process Explorer”, silahkan download di alamat berikut :

Diposting oleh avatar di Sabtu, Februari 23, 2008
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)