Saturday, August 21, 2010
1:51 PM | 
Posted by
Muhammad Anshori
Ehmm, belakangan ini saya menemui banyak masalah. Terutama dengan virus, pasti sobat blogger langsung kesal jika dengan nama VIRUS. Nah, kemaren waktu saya membawa Flashdisk punya temen saya.. Ada banyak kok,, gak cuman dikit.. hehehe... ada 5 flashdisk lhoh... apesnya.. :(((
Karena Flashdisk tersebut udah terinfeksi sama virus, virusnya sama semua lagi.. hehehe.. Gak itu juga adik saya juga bawa flashdisk dan saya masukkan ehh, terdeteksi lagi virus yang sama... udah berapa tuh?? memangnya menular yah??? kayaknya ditempat saya udah terinfeksi sama virus tersebut. Ehmm, ekstensi virusnya sih ".lnk" bukan ink kayak helm y sob.. hehe atau merk tinta... hehehe. Tapi LNK :)
Virus ini juga dapat berkembang biak lhoh sob, karena mempunyai file induk. Coba gak ada induknya pasti virusnya udah takud dulu kali.. hehehe.. Virus induk ini menyebarkan anak - anaknya.. lhoh punya anak toh???? hehe.. gimana ya caranya berkembang biak????ya tau lah, saya juga belum paham.. kemaren liat temen saya lagi ngebersihin nie virus.. lama buanget karena anak - anaknya tu banyak dan masuk dalam tiap folder lagi... huh.. nyebelin. Walaupu nie hanya virus shortcut tapi gak sembarangan shortcut lhoh.. lha kenapa?? karena shortcut tersebut mempuyai autorun. Pastinya autorun yang bisa ngebuat banyak dan menyebar ke sistem. Pokoknya kesel banget kalau gak bisa cara ngatasinnya...
sekarang saya akan kasih tahu gimana cara membasmi virus ini (dari tadi kebanyakan ngomong)hehe..
1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.
2. Sebelumnya matikan dulu proses SYSTEM RESTORE.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dicopykan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)
Wscript.exe //e:VBScript \"C:\\Documents and Settings\\Administrator\\My Documents\\database.mdb\""
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah
Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama
6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
Harap berhati-hati, tidak semua file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya. Untuk file yang bervirus iconnya selalu berwarna kuning dan file asli selalu bergambar mewakili dari program tersebut
7. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
saya punya trik buat ngakalin virus atau program yg sering ngeblokir regedit, task manager, atau virus yg biasanya suka ngubah ekstensi .exe,.com,dsb biar pas dijalanin file dgn ekstensi tsb taunya malah ngeeksekusi virus..
antibodi kali ini ketika dirun ad pilihan, yg pertama looping yg kedua cuma sekali suntik..
klo looping, mk antibodi ini terus2an (balapan, mungkin jauh lebih cpt dari timer virus buat ngeblokir registry) mulihin beberapa key penting diregistry.
yg penting tujuannya kita tetep bisa buka task manager sama regedit...
ok...ini dia kodenya tinggal kopi paste ke notepad trus save jadi antibodi.vbs, lalu dobel klik..
[ yg ini udah bisa buka folder options, tp biasanya windows butuh restart explorer.exe dulu biar settingan yg ini ngefek ]
Karena Flashdisk tersebut udah terinfeksi sama virus, virusnya sama semua lagi.. hehehe.. Gak itu juga adik saya juga bawa flashdisk dan saya masukkan ehh, terdeteksi lagi virus yang sama... udah berapa tuh?? memangnya menular yah??? kayaknya ditempat saya udah terinfeksi sama virus tersebut. Ehmm, ekstensi virusnya sih ".lnk" bukan ink kayak helm y sob.. hehe atau merk tinta... hehehe. Tapi LNK :)
Virus ini juga dapat berkembang biak lhoh sob, karena mempunyai file induk. Coba gak ada induknya pasti virusnya udah takud dulu kali.. hehehe.. Virus induk ini menyebarkan anak - anaknya.. lhoh punya anak toh???? hehe.. gimana ya caranya berkembang biak????ya tau lah, saya juga belum paham.. kemaren liat temen saya lagi ngebersihin nie virus.. lama buanget karena anak - anaknya tu banyak dan masuk dalam tiap folder lagi... huh.. nyebelin. Walaupu nie hanya virus shortcut tapi gak sembarangan shortcut lhoh.. lha kenapa?? karena shortcut tersebut mempuyai autorun. Pastinya autorun yang bisa ngebuat banyak dan menyebar ke sistem. Pokoknya kesel banget kalau gak bisa cara ngatasinnya...
sekarang saya akan kasih tahu gimana cara membasmi virus ini (dari tadi kebanyakan ngomong)hehe..
1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.
2. Sebelumnya matikan dulu proses SYSTEM RESTORE.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dicopykan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)
Wscript.exe //e:VBScript \"C:\\Documents and Settings\\Administrator\\My Documents\\database.mdb\""
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah
Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama
6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
Harap berhati-hati, tidak semua file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya. Untuk file yang bervirus iconnya selalu berwarna kuning dan file asli selalu bergambar mewakili dari program tersebut
7. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
saya punya trik buat ngakalin virus atau program yg sering ngeblokir regedit, task manager, atau virus yg biasanya suka ngubah ekstensi .exe,.com,dsb biar pas dijalanin file dgn ekstensi tsb taunya malah ngeeksekusi virus..
antibodi kali ini ketika dirun ad pilihan, yg pertama looping yg kedua cuma sekali suntik..
klo looping, mk antibodi ini terus2an (balapan, mungkin jauh lebih cpt dari timer virus buat ngeblokir registry) mulihin beberapa key penting diregistry.
yg penting tujuannya kita tetep bisa buka task manager sama regedit...
ok...ini dia kodenya tinggal kopi paste ke notepad trus save jadi antibodi.vbs, lalu dobel klik..
[ yg ini udah bisa buka folder options, tp biasanya windows butuh restart explorer.exe dulu biar settingan yg ini ngefek ]
Labels:
Subscribe to:
Post Comments (Atom)
3 comments:
bagaimana untuk windows vista apakah prosesnya sama? jika diinstal ulang apakah virus tersebut bisa hilang?
Mohon pencerahannya. trim
slamet_r@yahoo.co.id
Sama sob, itu untuk semua windows...
cara diatas digunakan tanpa instal ulang. jika diinstal ulang virusnya ya hilang sob, asal memori (HD)kita discan dulu pastikan udah hilang semua virus - virus yang menular,..
Terima kasih udah berkunjung dan koment.
akhirnya tau juga..
thanks ya
Post a Comment
Jika ada kritik, saran, komentar, ataupun ingin request sesuatu silahkan berkomentar dibawah atau
kirimkan lewat email : belajardisini@yahoo.co.id
Terima kasih