kalau belum pernah syukur, namun bagi yg sudah merasakan efek virus ini (hehehehehe..) pasti pusing kan :)
berikut saya mencoba membagi pengalaman untuk mengatasi virus ini...
Cara virus ini masuk ke komputer kita dengan mengakses jaringan mengunakan celah windows "Default Share" (ADMIN$/system32) dengan memprediksi password admin kita (untuk pengguna XP bajakan kalianlah yg paling besar kemungkinan untuk terkena virus ini karna sebagian besar Admin XP bajakan tidak di beri password waktu mengistal XPnya)
Virus ini juga membuat file pada media removable seperti Eksternal Harddisk atau Flashdisk yang terhubung dengan menyimpan hidden file di root drivenya.
Nah kalo sudah begini ikuti langkah di bawah ini :
1. Putuskan koneksi Internet/Jaringan LAN
2. Turn off kan system restore
3. Matikan proses virus yang masih aktif dengan menggunakan removal tool saya menggunakan Symantec removal tool
4. Delete service svchost.exe gadungan di registry
5. Hapus schedule task yang dibuat oleh virus (C:\WINDOWS\Tasks)
6. Hapus string registry yang dibuat oleh virus. Anda dapat menggunakan script registry dibawah ini
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0x00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0x00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0x00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
pakai notepad dan disimpan dengan nama repair.inf type all files agar tidak terjadi kesalahan. Instal file ini dengan mengklik kanan.
Untuk file yang masih aktif pada startup, Anda dapat mendisable melalui 'msconfig' atau dapat mendelete secara manual pada string: 'HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run'
7. Untuk mencegah injeksi ulang virus ini sebaiknya gunakan antivirus yang terupdate dan mampu mendeteksi virus ini.
Selamat mencoba..!!
thanks to : detiknet
Tidak ada komentar:
Posting Komentar