6 Langkah Membersihkan Varian Virus 'Perawan'

Tips & Trik
6 Langkah Membersihkan Varian Virus 'Perawan'
Dewi Widya Ningrum - detikinet

Jakarta - Virus Sang Perawan alias Dinda Dewi menyebar dengan menginjeksi file gambar JPG. Virus ini menyebabkan komputer yang terinfeksi menjadi berat.

Sang Perawan sudah menelurkan 2 varian. Varian pertama dikenali sebagai W32/Dewi.161081A, sedangkan varian keduanya dikenali sebagai VBTroj.GZH. Berikut langkah-langkah membersihkan varian virus Sang Perawan, dari keterangan tertulis yang diterima detikINET, Jumat (22/2/2008).

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable "System Restore" selama proses pembersihan.
3. Matikan proses virus yang aktif di memori.

Untuk mematikan proses virus, Anda dapat menggunakan tools "Process Explorer", yang dapat di-download di sini.

Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG):
Startup.exe
Svchost.exe
Spoolsv.exe



4. Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

Klik kanan REPAIR.INF
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

5. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

Menggunakan icon JPEG Image (JPG)
Ukuran file 301 KB atau 96 (tergantung varian)
Type File "Application"

Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi "Search". Caranya:

Klik "Start" menu
Klik "Search"
Klik "for files or folders"
Pada layar "Search Results" klik "All files and Folders"
Pada kolom "All or part of the file name" isi dengan *.EXE
Pada kolom Look in, pastikan sudah di-set ke fix drive hard Disk Anda
Klik "What Size is it?"
- Pilih opsi “Specify size (in KB)
- Isi At Most
- Isi 302
Lalu klik "Search"

Jika ditemukan, hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas.


6. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus, Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut per file karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan.

Silahkan download tools Hex Editor di sini.

Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut:

Klik menu "File"
Klik "Open"
Kemudian pilih salah satu file JPG yang akan di perbaiki
Blok Script yang dimulai dari baris 00000000 – 00027530


Setelah script tersebut diblok, klik kanan dan pilih "CUT"
Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ΓΏ).
Posted by tanwirul's Blog Community at Sabtu, Februari 23, 2008
Labels:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)