Ciri-ciri virus “Tak Gendong” oleh VBS/Cryf.A
1.Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”,
2.Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus.
3.Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan.
1.Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”,
2.Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus.
3.Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan.
4.Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale
5.Merubah type file “Shortcut” [.lnk] mejadi “Movie Clip”
Cara membersikan virus “Tak Gendong”
1. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang mempunyai product name “Microsoft (r) Windows Script Host” dengan cara :
o Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host”
o Klik kanan pada proses yang sudah di blok
o Pilih [Kill Selected Processes]
2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows XP/2003/Vista/2008.
Untuk blok file tesebut lakukan langkah berikut Klik menu [Start]
? Klik [Run]
? Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
? Pada layar [Local Security Policy], klik [Software restriction policies]
? Klik kanan pada [software restriction policies] dan pilih [Create new policies]
? Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
? Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
? Pada Security Level pilih [Disallowed]
? Pada kolom “description” isi deskripsi dari nama file tersebut (bebas),
? Pilih [OK]
Catatan:
Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan peringatan
3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut : http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html
1. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows
2. Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows
3. Pada kolom [ShellWindows] isi dengan format explorer.exe
4. Pada kolom [Userinit Windows] isi dengan format berikut
? Windows NT/2000 = C:\WinNT\System32\userinit.exe,
? Windows XP/2003/Vista = C:\Windows\System32\userinit.exe,
5. Kemudian klik tombol [Set]
6. Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya
4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti “Explorer XP”. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe
Setelah software tersebut di install, cari dan hapus file berikut:
• %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db
o svchost.vbs
o desktop.ini
o drvconfg.drv
o SHELL32.dll
• %Drive%:\Album BOKEP\Naughty America
• C:\windows
o appsys.exe
o Winupdt.scx
o appopen.scx
o Windowsopen.mht
o Windows.html
o Regedit.exe.lnk
o Help.htm
• C:\Windows\system\svchost.exe
• C:\WINDOWS\system32
o Taskmgr.exe.lnk
o CMD.exe.lnk
o Svchost.dls
o Corelsetup.scx
o Appsys.dls
o Kernel32.dls
o Winupdtsys.exe
o ssmarque.scr
• C:\Program Files\FarStone\qbtask.exe
• C:\Program Files\ACDsee\Launcher.exe
• C:\Program Files\Common Files\NeroChkup.exe
• C:\Program Files\ExeLauncher
• %ProgramFiles%\drivers\VGA\VGAdrv.lnk
• C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls
• %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk
Catatan:
%Drive%, menunjukan lokasi Drive [C:\ atau D:\]
%Flash Disk%, menunjukan lokasi Flash Disk
5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya :
1. Klik menu [Start]
2. Klik [Run]
3. Ketik CMD kemudian klik tombol [OK]
4. Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa
5. Ketik perintan ATTRIB –s –h –r regedit.exe kemudian klik tombol “enter”
6. Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.
? Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah no. (2),
? Klik menu [Start]
? Klik [Run]
? Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
? Pada layar [Local Security Policy], klik 2x [Software restriction policies]
? Klik [Additional Rule]
? Hapus Rule yang pernah Anda buat sebelumnya
8. Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi virus ini dengan baik.
http://vaksin.com/
0 komentar:
Posting Komentar