Jakarta - Kehadiran virus W32/VBWorm.BEUA atau yang lebih dikenal sebagai virus shortcut yang mengeksploitasi celah keamanan terbilang cukup meresahkan. Sebab, meski berlabel virus lokal, ia tidak hanya memanfaatkan keteledoran pengguna. Namun telah 'naik kelas' dengan menerobos celah keamanan Windows.
Simak 8 langkah praktis untuk mendepak virus yang mampu mengubah folder yang ada di dalam USB flash disk menjadi shortcut tersebut, menurut Adang Jauhar Taufik, analis dari Vaksincom:
1. Nonaktifkan 'System Restore' untuk sementara selama proses pembersihan.
2. Putuskan komputer yang akan dibersihkan dari jaringan.
3. Matikan proses virus yang aktif di memori dengan menggunakan tools 'Ice Sword'. Setelah tools tersebut terinstal, pilih file yang mempunyai icon 'Microsoft Visual Basic Project' kemudian klik 'Terminate Process'. Silahkan download tools tersebut di http://icesword.en.softonic.com/
4. Hapus registri yang sudah dibuat oleh virus dengan cara:
-. Klik menu [Start]
-. Klik [Run]
-. Ketik REGEDIT.exe, kemudian klik tombol [OK]
-. Pada aplikasi Registry Editor, telusuri key [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
-. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%].
5. Disable autoplay/autorun Windows. Copy script di bawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara: Klik kanan REPAIR.INF --> INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
6. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di flash disk. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi 'Search'. Sebelum melakukan pencarian sebaiknya tampilkan semua file yang tersembunyi dengan mengubah pada setting Folder Options.
Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus. Lalu hapus file induk virus yang mempunyai ciri-ciri:
-. Icon 'Microsoft Visual Basic Project'.
-. Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi).
-. Ekstesi file '.EXE' atau '.SCR'.
-. Type file 'Application' atau 'Screen Saver'.
Kemudian hapus File duplikat shortcut yang mempunyai ciri-ciri:
>. Icon Folder atau icon
>. Ekstensi .LNK
>. Type File 'Shortcut'
>. Ukuran file 1 KB
Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di flash disk atau folder yang di-share. Sementara untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK).
7. Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder di http://www.flashshare.com/bfu/download.html.
Setelah diinstall, pilih direktori [C:\Documents and settings] dan folder yang ada di flash disk dengan cara menggeser ke kolom yang sudah tersedia. Pada menu [Attributes] kosongkan semua pilihan yang ada, kemudian klik tombol [Change Attributes].
8. Install security patch 'Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046'. Silakan download security patch tersebut di http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
Seperti biasa, untuk pembersihan secara optimal dan menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.
sumber:detikinet
Selasa, 12 Oktober 2010
5 Langkah Mengenyahkan 'Si Biang Kerok'
Jakarta - Rontokbro bisa dianggap sebagai virus 'biang kerok' lantaran menjadi inspirasi bagi para pembuat virus lokal untuk 'berkreasi'. Kini, virus yang mampu melumpuhkan sejumlah fungsi di OS Windows tersebut kembali menebar teror.
Simak 5 langkah untuk mengenyahkannya menurut analis virus dari Vaksincom, Adang Jauhar Taufik:
1. Disable 'System Restore' (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan.
2. Matikan proses yang aktif di memori. Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager yang diblok oleh virus dengan nama lain W32/Rontokbro.GOL itu.
Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter.
-. Pada aplikasi Advanced System Reporter, klik tabulasi.
-. Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori 'C:\Documents and settings\%user%\Local Settings\Application Data'
-. Klik 'Terminate Process', lalu 'Yes'.
Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut:
>. Klik tabulasi 'Autostart'.
>. Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada di direktori 'C:\Documents and settings\%user%\Local Settings\Application Data'.
>. Klik 'Terminate Process' jika proses tersebut masih aktif.
>. Kemudian klik "Remove Autorun" untuk menghapus registry autostart yang telah dibuat oleh virus.
3. Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
4. Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows di semua Drive termasuk Removable Disk [Flash Disk]. Kemudian hapus file berikut: C:\Documents and settings\%user%\Local Settings\Application Data
-. Winlogon.exe
-. services.exe
-. lsass.exe
-. smss.exe
-. inetinfo.exe
-. Diah84.Yitn.oss.txt
-. csrss.exe
* C:\Windows\Inf\Yitnoss.exe
* C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
* C:\Documents and Settings\%user%\Templates\B.Yitnoss.com
Hapus juga file/folder berikut:
C:\Documents and settings\%user%\Local Settings\Application Data
-. 84-DiahLove-Yitn-oss
-. Yitn.oss-3-27
-. Yitn.oss-3-31
-. Diah84.Yitn.oss.txt
5. Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date. Anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut: Http://www.norman.com/support/support_tools/58732/en ( ash / rns )
sumber:detikinet
Simak 5 langkah untuk mengenyahkannya menurut analis virus dari Vaksincom, Adang Jauhar Taufik:
1. Disable 'System Restore' (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan.
2. Matikan proses yang aktif di memori. Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager yang diblok oleh virus dengan nama lain W32/Rontokbro.GOL itu.
Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter.
-. Pada aplikasi Advanced System Reporter, klik tabulasi.
-. Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori 'C:\Documents and settings\%user%\Local Settings\Application Data'
-. Klik 'Terminate Process', lalu 'Yes'.
Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut:
>. Klik tabulasi 'Autostart'.
>. Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada di direktori 'C:\Documents and settings\%user%\Local Settings\Application Data'.
>. Klik 'Terminate Process' jika proses tersebut masih aktif.
>. Kemudian klik "Remove Autorun" untuk menghapus registry autostart yang telah dibuat oleh virus.
3. Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
4. Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows di semua Drive termasuk Removable Disk [Flash Disk]. Kemudian hapus file berikut: C:\Documents and settings\%user%\Local Settings\Application Data
-. Winlogon.exe
-. services.exe
-. lsass.exe
-. smss.exe
-. inetinfo.exe
-. Diah84.Yitn.oss.txt
-. csrss.exe
* C:\Windows\Inf\Yitnoss.exe
* C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
* C:\Documents and Settings\%user%\Templates\B.Yitnoss.com
Hapus juga file/folder berikut:
C:\Documents and settings\%user%\Local Settings\Application Data
-. 84-DiahLove-Yitn-oss
-. Yitn.oss-3-27
-. Yitn.oss-3-31
-. Diah84.Yitn.oss.txt
5. Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date. Anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut: Http://www.norman.com/support/support_tools/58732/en ( ash / rns )
sumber:detikinet
Langganan:
Postingan (Atom)