Sebaiknya lakukan pembersihan pada mode safe mode.
-
Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (dapat anda download pada alamat berikut)
http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html
Lakukan kill process, pada file virus yang aktif yaitu : (lihat gambar 8)
-
C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe
(nama virus random / acak, semisal aizw.exe, scnp.exe, dll)
Gambar 8, Gunakan Itty Bitty Process Manager untuk Kill Process virus yang aktif
-
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0
[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
-
Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :
-
Icon “WinRAR”
-
ekstensi *.exe, *.scr, *.msd, *.sysm
-
Ukuran 77 kb
Catatan
-
Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
-
Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
-
Hapus file virus yang biasanya mempunyai date modified yang sama. (lihat gambar 9)
Gambar 9, Hapus file induk virus melalui fitur search windows
-
Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus). Untuk pembersihan yang optimal, sebaiknya gunakan Norman Security Suite atau antivirus yang ter-update dan dapat mengenali virus tsb untuk mempermudah penghapusan virus. Anda bisa menggunakan Norman Malware Cleaner untuk melakukan penghapusan tsb dengan men-download pada : (lihat gambar 10)
http://download.norman.no/public/Norman_Malware_Cleaner.exe
-
Rubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat. (lihat gambar 11)
Gambar 11, Extention Renamer, salah satu tools merubah ekstensi secara cepat pada semua folder/drive
-
Untuk mencegah infeksi ulang lindungi komputer anda dengan antivirus yang telah dapat mendeteksi dan membasmi virus ini.
Tidak ada komentar:
Posting Komentar