Jakarta - Sebuah virus komputer memanfaatkan popularitas Facebook untuk menyerang korbannya. Simak cara-cara membersihkan Virus Facebook alias W32/Obfuscated.D2!genr dan Antispyware Security Tools --antispyware palsu-- yang menemaninya dalam artikel Vaksincom berikut ini:
1.Disable system restore selama proses pembersihan
2.Disconect komputer dari jaringan/internet
3.Sebaiknya lakukan pembersihan pada mode “safe mode”
4.Install software “unlocker” (download [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER])
5.Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER]
Mematikan proses virus dengan “security task manager”
6.Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
a.Klik kanan [repair.inf]
b.Klik [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,read er_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,4754 3326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Prom oReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,read er_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
7. Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi. Kemudian hapus file berikut::
C:\Documents and Settings\All Users\Application Data\47543326
C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
C:\Documents and Settings\Elvina\Application Data\ wiaservg.log
C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
C:\WINDOWS\Temp\ wpv311256600826.exe
C:\WINDOWS\Temp\ wpv411256806849.exe
C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
C:\WINDOWS\system32\reader_s.exe
C:\Windows\system32\wbem\proquota.exe
C:\windows\system32\sdra64.exe
C:\Windows\system32\lowsec
local.ds
user.ds
user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:
8.Hapus file temporary dan temporary interet file, gunakan [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER].
9.Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER] atau [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER].
1.Disable system restore selama proses pembersihan
2.Disconect komputer dari jaringan/internet
3.Sebaiknya lakukan pembersihan pada mode “safe mode”
4.Install software “unlocker” (download [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER])
5.Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER]
Mematikan proses virus dengan “security task manager”
6.Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
a.Klik kanan [repair.inf]
b.Klik [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,read er_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,4754 3326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Prom oReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,read er_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
7. Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi. Kemudian hapus file berikut::
C:\Documents and Settings\All Users\Application Data\47543326
C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
C:\Documents and Settings\Elvina\Application Data\ wiaservg.log
C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
C:\WINDOWS\Temp\ wpv311256600826.exe
C:\WINDOWS\Temp\ wpv411256806849.exe
C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
C:\WINDOWS\system32\reader_s.exe
C:\Windows\system32\wbem\proquota.exe
C:\windows\system32\sdra64.exe
C:\Windows\system32\lowsec
local.ds
user.ds
user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:
- Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
- Kemudian klik menu “unlocker”
- Pada layar unlocker, pilih opsi [hapus]
- Kemudian klik tombol [OK]
- Jika muncul pesan error, di abaikan saja (klik ok)
8.Hapus file temporary dan temporary interet file, gunakan [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER].
9.Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER] atau [Login terlebih dahulu jika kamu ingin melihat content ini. Klik LOGIN atau REGISTER].
Tidak ada komentar:
Posting Komentar