9 Langkah Membersihkan Virus Yahoo MessengerJebakan Virus YM (vaksincom)Jakarta – Virus Yahoo Messenger dapat melakukan
update layaknya program antivirus dengan mendownload beberapa file dari
website yang telah ditentukan. Tak ayal, untuk menyingkirkannya pun
terbilang sulit.
Simak 9 langkah untuk membersihkan
virus paling ganas dan paling banyak mengganggu di awal tahun 2010 ini menurut analis virus dari Vaksincom, Adang Jauhar Taufik:
1. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet
2. Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi
[xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses
pembersihan.
3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows
Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file
rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus
terlebih file ini akan disembunyikan oleh virus. Silahkan download
software tersebut di alamat
[You must be registered and logged in to see this link.]Kemudian booting komputer dengan menggunakan software Mini PE Live
CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [File Management]
d. Klik menu [Windows Explorer]
e. Kemudian hapus file berikut:
-. C:\Windows\System32
-. Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya:
wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran
file yang berbeda-beda tergantung varian yang menginfeksi computer
target.
-. %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh:
qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang
menginfeksi.
-. secupdat.dat
-. C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter
acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb
(tergantung varian yang menginfeksi).
-. C:\Windows\System32\drivers
-. Kernelx86.sys
-. %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
-. Ndisvvan.sys
-. krndrv32.sys
-. C:\Documents and Settings\%user%\secupdat.dat
-. C:\Windows\INF
-. netsf.inf
-. netsf_m.inf
4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan “Avas! Registry Editor”, caranya:
a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [Registry Tools]
d. Klik [Avast! Registry Editor]
e. Jika muncul layar konfirmasi kelik tombol “Load…..”
f. Kemudain hapus registry:
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentverson\run\\ctfmon.exe
ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kernelx86
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\kernelx86
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\passthru
ü LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§ Ubah value pada string Userinit menjadi = userinit.exe,
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§ Ubah value pada string Shell menjadi = Explorer.exe
ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\%xx%
ü
LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe
(contoh: wmistpl.exe)
ü
LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe
(contoh: wmistpl.exe)
Catatan: %xx% menunjukan karakter acak, key ini dibuat untuk
menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada
di direktori [C:\Windows\system32\drivers\]
5. Restart komputer, pulihkan sisa registry yang diubah oleh virus
dengan copy script berikut pada program notepad kemudian simpan dengan
nama repair.inf. Jalankan file tersebut dengan cara: klik kanan
repair.inf | klik install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, software\microsoft\ole, EnableDCOM,0, “Y”
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0×00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0×00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0×00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0×00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
6. Fix registry Windows untuk mengembalikan agar komputer dapat
booting “safe mode with command prompt” dengan download file
FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file
tersebut dengan cara:
o Klik menu [Start]
o Klik [Run]
o Ketik REGEDIT.EXE kemudian klik tombol [OK]
o Pada layar “Registry Editor”, klik menu [File | Import]
o Tentukan file .REG yang baru anda buat
o Klik tombol [Open]
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut
di sini.
8. Restore kembali host file Windows yang telah di ubah oleh virus.
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan
antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.
link download nya :http://www.atribune.org/public-beta/ATF-Cleaner.exe
sumber:http://simtronik.com/