• Status Update


    Loading

    WP Shoutbox
    Nama
    Situs web
    Message
    Smile

  • Our Sponsor

    Kymco CommunityMajelis RasulullahPABX PANASONICBonjerPolsek kebon jerukAdvertise here

RTRWnet Kebon Jeruk

"Don't Worry, Be Happy"

Cara mengatasi virus MyRose/W32/VBWorm.NA

Cara mengatasi virus MyRose/W32/VBWorm.NA :

1.       Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2.       Jika menggunakan Windows ME/XP, matikan System Restore untuk sementara selama proses pembersihan

3.       Matikan proses virus yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat menggunakan tools pengganti Task Manager seperti  “Security Task Manager”, kemudian matikan proses virus dengan nama

  • Rose-43A
  • Hapus file induk yang dibuat oleh virus, karena file induk yang dibuat oleh virus ini akan disembunyikan anda dapat menggunakan tools “Security Task Manager” agar dapat langsung menuju lokasi file induk tersebut,  dengan cara:

o        Klik kanan proses virus [Rose-43A]

o        Klik [View this Folder] (lihat gambar RTRWNET Kebon Jeruk Service Computer

Kemudian hapus file yang berada didirektori:

o        C:\windows\system32\12053

§         lsass.exe

§         svchost.exe

§         Autoexec.bat

§         Data.exe

§         Data.zip

§         Lsass.exe

§         Rose.jpg

§         Msvbvm60.dll

§         Rose.dll

§         Svchost.exe

Hapus juga file berikut:

o        C:\rose.jpg

o        C:\private.zip [disetiap partisi Hard Disk]

o        C:\New Folder.exe [disetiap partisi Hard Disk]

o        C:\Windows.exe

o        C:\Documents and Settings\%User%\MyDocuments\myrose.html

o        C:\ Wndows\system

§         Oeminfo.ini

§         Oemlogo.bmp

4.       Hapus string yang dibuat oleh virus pada registry editor, untuk mempercepat proses penghapusan kopi script di bawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” setelah itu jalankan file tersebut dengan cara:

o        Klik kanan “repair.inf”

o        klik “Install”

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup

HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, Software\Microsoft\Command Processor,Autorun

HKLM, SOFTWARE\Classes\exefile,NeverShowExt

Catatan:
setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut:

  • Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe,

Kemudian hapus value C:\Windows\system32\12053\lsass.exe pada  string Userinit

5.       Hapus file duplikat yang dibuat oleh virus dengan cirri-ciri

o        Ukuran 56 KB

o        Icon “Folder”

o        Type file “Application”

Catatan:

jika ada sebagian program/aplikasi tidak dapat dijalankan sebaiknya anda re-install program/aplikasi tersebut karena virus ini akan berusaha untuk menghapus file executable dari setiap program/apliaksi.

6.       Tampilkan kembali folder Windows yang sudah disembunyikan oleh Virus dengan cara

o        Klik [start]

o        Klik [run]

o        Ketik [cmd], kemudian tekan enter

o        Setelah layar command prompt muncul, pastikan kursor berada pada direktori C:\, kemudian ketik perintah :

Attrib –s –h C:\Windows , kemudian tekan enter

Mengembalikan folder Windows yang disembunyikan oleh virus

7.       Anda dapat mempermudah tugas anda dengan menggunakan Norman Virus Control yang sudah dapat mendeteksi MyRose sebagai W32/VBWorm.NA. Scan dan bersihkan semua file yang terdeteksi sebagai W32/VBWorm.NA. Selain itu, Norman juga dapat mencegah komputer anda terinfeksi ulang MyRose dan membersihkan virus ini dari UFD, disket maupun jaringan.

Categories: Anti Virus - Artikel - Tips & Trik
Tags:
17 Januari 2010 at 03:27 - Comments