Virus yang paling nakal yang pernah saya temui. Amat sulit dibersihkan oleh beberapa anti virus. Beberapa anti virus seringkali tak berdaya jika berhadapan dengan virus ini. Dulu pernah juga sie terjangkit virus ini, tentu aja bikin bete juga. Satu hari keluar kata kata yg kotor buat virus ini. setelah instal ulang beberapa kali, EEhhhh virusnya masih aja nonggol...siapa sie yg punya kerjaan ini ?. Tetapi setelah diteliti secara perlahan lahan, ketemu juga cara menanggulanginya....
Ternyata seruduk sana seruduk sini, suprised ada jalan keluarnya
Hasil analisanya adalah :
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :
* C:\Documents and Settings\%user%\reader_s.exe
* C:\Documents and Settings\%user%\%user%.exe
* C:\WINDOWS\fonts\services.exe
* C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
* C:\WINDOWS\system32\reader_s.exe
* C:\WINDOWS\system32\servises.exe
* C:\WINDOWS\system32\regedit.exe
* C:\WINDOWS\system32\[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\[angka_random].exe (beberapa file)
* C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Registry Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
22951 = C:\WINDOWS\system32\[nama_random].tmp.exe
reader_s = C:\WINDOWS\system32\reader_s.exe
Regedit32 = C:\WINDOWS\system32\regedit.exe
servises = C:\WINDOWS\system32\servises.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Policies\Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
exec = C:\WINDOWS\fonts\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
reader_s = C:\Documents and Settings\klasnich\reader_s.exe
servises = C:\WINDOWS\system32\servises.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32\servises.exe
run = C:\WINDOWS\system32\servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYS
CheckedValue = 0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\StandarP rofile\AuthorizedApplications\List\\??\C:\WINDOWS\ system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@s hell32.dll,-1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsFirewall\StandardProfile
EnableFirewall = 0
Cara Pembersihan Virus
Matikan System Restore (XP/ME) (pada saat digunakan)
Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut:
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Par ameters\FirewallPolicy\StandardProfile, EnableFirewall,0x00010001, 1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\NOHIDORSYS
HKLM,SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandarProfile\Authori zedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi.
Biasanya berada pada C:\WINDOWS\system32\driver\etc
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
Mudah mudahan dengan cara ini virus W32/virut atau W32/Sality ( Tiap AV yang berbeda mendeteksi nama virus itu dengan beragam nama ). bisa diatasi dari komputer anda.
Mudah mudahan dengan cara ini virus W32/virut atau W32/Sality ( Tiap AV yang berbeda mendeteksi nama virus itu dengan beragam nama ). bisa diatasi dari komputer anda.
Postingan
bagus Tips nya...teruskan sis(ter)
BalasHapusMakasih suppotnya mas....sukses juga buat masnya.....
Hapuscuma seorang pengamen jalanan yang pendapatannya tidak seberapa,buat makan saja nda cukup apalagi untuk beli obat buat ibu saya karna belakangan ini ibu saya lagi sakit sakitan jadi saya harus Assalamualaikum wr.wb saya NURMIA ingin berbagi cerita kepada anda bahwa dulunya saya ini membantin tulang buat ibu saya dan adik saya karna bapak kami pergi meninggalkan kami entah kemana,,saya dapat nomor MBAH JORO dari teman saya..awalnya sih saya ragu tapi nda ada salahnya juga saya coba karna sudah banyak paranormal yang saya hubungi tapi tidak ada yang berhasil malahan cuma uang saya aja yang terkuras habis dan akhirnya saya menghubungi MBAH JORO dan mengikuti 4D nya yaitu {1704} dan alhamdulillah berhasil..!!! Kini kehidupan kami sudah tidak seperti dulu lagi dan akhirnya saya juga sdh punya usaha sendiri dan bagi anda yang ingin seperti saya silahkan HBG 0823=4557=3962 MBAH JORO nomor ritual MBAH JORO meman benar2 100% tembus. >> >>>KLIK DISINI<<
Hapus*****=====*****=====*****=====*****====*****=====*****=====*****=====
cuma seorang pengamen jalanan yang pendapatannya tidak seberapa,buat makan saja nda cukup apalagi untuk beli obat buat ibu saya karna belakangan ini ibu saya lagi sakit sakitan jadi saya harus Assalamualaikum wr.wb saya NURMIA ingin berbagi cerita kepada anda bahwa dulunya saya ini membantin tulang buat ibu saya dan adik saya karna bapak kami pergi meninggalkan kami entah kemana,,saya dapat nomor MBAH JORO dari teman saya..awalnya sih saya ragu tapi nda ada salahnya juga saya coba karna sudah banyak paranormal yang saya hubungi tapi tidak ada yang berhasil malahan cuma uang saya aja yang terkuras habis dan akhirnya saya menghubungi MBAH JORO dan mengikuti 4D nya yaitu {1704} dan alhamdulillah berhasil..!!! Kini kehidupan kami sudah tidak seperti dulu lagi dan akhirnya saya juga sdh punya usaha sendiri dan bagi anda yang ingin seperti saya silahkan HBG 0823=4557=3962 MBAH JORO nomor ritual MBAH JORO meman benar2 100% tembus. >> >>>KLIK DISINI<<
*****=====*****=====*****=====*****====*****=====*****=====*****=====
makasih mba infonya
BalasHapusvisit juga dong blog saya di
http://devzinfo.blogspot.com