Sabtu, 2009 senin 13
Menghilangkan Virus SSCVIHOST.exe
SSCVIHOST.exe menurut yang punya situs punya banyak nama, yang populer dari nama begundal itu W32/Sohana-AO (Sophos) and W32.Imaut.AY (Symantec/Norton). Pada dasarnya ini merupakan virus jenis worm yang menyebar melalui flashdisk dan atau yahoo messenger. Secara teknis, Virus jenis Worm tidak merusak file, dy hanya menambahkan berton-ton file yang ga berguna kedalam hardisk supaya systemnya jadi berat dan komputer lo jadi keong racun yang lambat tak berperi.
SOFTWARE ANTI VIRUS
Kebanyakan anti virus dengan virus definisi yang paling update bisa ngedetect virus ini. Sophos, Symantec Norton, TrendMicro PcCillin, sudah mendetectnya. Tapi ga tau kalo anti virus McAffe, AVG, or ESET NOD 32. udah pada bisa ngedetect belum. Gw akan kasih tau, BitDefender, bahkan dengan update terbaru dari anti virus yang lo punya, sscvihost ini akan mampu masuk ke komputer lo.
GEJALANYA
1. CLTR+ALT+DEL ga berfungsi
2. Folder Options menghilang dari TOOLS menu
3. Registry Editor (RegEdit) ga jalan
4. Komputer jadi lemot dan menyebalkan
5. Serasa terlalu banyak program yang jalan, padahal lo ga ngelakuin apa-apa
6. terdapat New Folder.exe di setiap folder dan subfolder
PERSIAPAN
Ini prosedur aktual yang dilakukan oleh ryman dan gw tentunya ketika worm itu menyerang komputer. Untuk memulai prosedur pelacakan, yang dibutuhkan adalah mendownload file ini dari symantec
UnHookExec.inf
File ini akan membebaskan regedit dari cengkraman virus. save file tersebut di desktop supaya gampang nyarinya, sekarang mari kita mulai berburu…
MENGHILANGKAN VIRUS
Langkah Pertama:
Jika system komputer lo dah terinfeksi, berarti virusnya sudah jalan dibalik layar, oleh karena itu komputer lo mesti di restart dan masuk ke safe mode. cara masuk safe mode adalah sebagai berikut:
1. Restart PC
2. Tekan F8 segera setelah booting. Jika ga ngerti, tekan aja terus F8 sampai pilihan Boot muncul.
3. Lalu pilih Safe Mode dari menu
4. Pada desktop, klik kanan file UnHookExec.inf lalu pilih install.
5. Sekarang, CTRL+ALT+DEL sudah berfungsi, buka Task Manager. End task programs/processes berikut:
* SSCVIHOST.exe
* blastclnnn.exe
* New Folder.exe
Langkah Kedua
Delete files virus dari PC. Ada dua cara untuk melakukannya, melalui windows shell atau command prompt (DOS) shell. Karena Folder Options telah di nonaktifkan oleh virus, Lo ga bisa switch to show hidden files and system files. tapi sebenarnya bisa di edit di Registry, tapi disini kita akan melakukan dengan cara DOS. Ikuti dengan seksama:
1. Pilih Run dari start menu, lalu ketik cmd. Tekan enter. Cara masuk DOS beda-beda tergantung dari system operasi yang digunakan, disini diasumsikan system operasinya Windows XP.
2. Pada command prompt masuk ke folder system32. Ketik cd\windows\system32
3. Pada jalur ini (c:\windows\system32>)ketik perintah-perintah berikut:
* attrib -h -r -s SSCVIHOST.exe
* del SSCVIHOST.exe
* attrib -h -r -s blastclnnn.exe
* del blastclnnn.exe
* attrib -h -r -s autorun.ini
* del autorun.ini
* cd\windows\ (this will move you to the windows prompt c:\windows)
* attrib -h -r -s SSCVIHOST.exe
* del SSCVIHOST.exe
Langkah Ketiga :
Bersihkan registry. RegEdit sudah dapat diakses karena file dari symantec yang sudah diinstal. pada box run (dari Start menu) ketik regedit. WARNING: Hati-hati dengan apa yang akan lo edit disini, karena kesalahan secuil bisa berakibat fatal pada system. Ikuti saja petunjuk berikut kalau ga mau tersesat. dan pastikan lo cuma edit apa yang diterangkan disini.
Masuk kedalam entri Registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
“Shell” = “Explorer.exe SSCVIHOST.exe”
(edit dan remove kata SSCVIHOST.exe dan biarkan Explorer.exe, jika salah pada bagian ini Windows ga akan jalan pada saat booting)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
“Yahoo Messengger” = “%System%\SSCVIHOST.exe”
(delete entry ini)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\
“shared” = “[SHARE NAME]\New Folder.exe”
(delete entry ini)
Tips dari gw: Kalo males carinya, gunain ajah fasilitas Find yang ada di Registry (Edit>Find). Ketik sscvihost.exe
Kembalikan entri registry ke nilai semula jika diperlukan:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
“DisableTaskMgr” = “1″
(set ke Nol (0) untuk menghidupkan)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
“DisableRegistryTools = “1″
(set ke Nol (0) untuk menghidupkan)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
“NofolderOptions” = “1″
(set ke Nol (0) untuk menghidupkan)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\”AtTaskMaxHour”
(Hapus semua nama yang berhubungan dengan blastclnnn.exe, atau hapus semua entrinya )
Langkah Keempat
Bersihkan kembali. Restart PC lagi dan masuk Safe Mode. Kali ini kita akan membantai semua file yang sudah dibuat oleh virus. Buka Folder Option. Pilih “Show Hidden files and folders” dan hilangkan ceklist “Hide protected operating system files.” lalu cari kedalam hardisk (Gunakan fasilitas search dari start menu) dan tekan SHIFT+DEL semua file berikut. Bersihan juga recycle bin setelah ini.
* SSCVIHOST.exe
* blastclnnn.exe
* New Folder.exe
Langkah Kelima
Periksa autoruns. Pada Box Run di start menu, ketik msconfig.Periksa apakah ada file yang mencurigakan yang berhubungan dengan virus tersebut, disable in semua.
Okay, apabila semuanya lancar, Cecunguk itu pasti dah kabur dari komputer lo.
Tapi kalo lo pengen cara yang lebih instan seperti kebanyakan orang indonesia lainnya, download software antispyware, macem superantispyware di www.superantispyware.com
sumber : Better try than never
Meremove worm thecoolpics yang menyebar lewat YM
Beberapa hari ini mungkin rekan2 sering dapat kiriman pesan beragam lewat messenger seperti ini :
"hot pics this week " http://(Blocked)thecoolpics.com/hot.jpg :x"Awas jangan di klik itu virus
Awalnya saya kira kiriman gambar dari temen seorang desiner ternyata setelah di klik sebagai virus. Gimana virus itu dan cara menghilangkanya....
Menurut situs security sepertI symantec atau Trendmicro jenis warm ini term????k Low Overall risk rating namun cukup menganggu dengan mengiirim pesan secara otomatis ke contac list di Messenger kita selama worm ini masih aktif. Varian ini banyak jenisnya seperti WORM_SOHANAD.AE, W32.Imaut.J, Worm.Qucan.d
EFEK
Ketika aktIf dia akan disable Registry,Task manager ,Run dan merubah Default Homepage IE, - Firefox kayaknya ngak papa, pada sistem Operasi Windows 98, ME, NT, 2000, XP, Server 2003 . Di samping itu akan mengirim pesan ke Contact List yang aktif via messenger dan akan menginfeksi komputer yang meng-klik pesan link tersebut.
CARA ME-REMOVE
Dikumpulkan dari beberapa sumber dan mencoba sendiri
Yang sudah terlanjur kena untuk browser dapat gunakan Browser- silahkan download FireFOX , alternatif messenger apabila masih terinfeksi gunakan meebo.com
Cara Cepat
- Yang pake Windows XP dapat mencoba dengan System Restore
- Dapat mencoba dengan NORTON Anti Virus (symantec.com) bagi yang punya
- Dapat mencoba dengan AVG -Anti Spyware (grisoft.com) - mengenali SVHOST32.exe sebagai Worm.Qucan.d )
Pelengkap
- Hijackers detector and remover ( HijackThis )
- Security Task Manager
CARA MANUAL
Virus ini akan membuat file tiruan yang mirip file system dengan nama SVHOST.EXE dan SVHOST32.EXE . Maka untuk menghilangkan virus ini dengan cara menghapus virus tersebut yang berada pada direktori
C:WINDOWSSYSTEM Namun kita tidak dapat langsung mengahapus file ini secara langsung karena dia aktif sedang
Task Manager di disable maka ada beberapa langkah yang harus kita lakukan.
A. Akifkan Task Manager
Untuk aktifkan task manager dapat gunakan deteksi dengan :
- Hijackers detector and remover ( HijackThis )
- Security Task Manager
Cara lain dapat download file berikut simpan /download --> kemudian KLik Kanan--> Installl
http://securityresponse.symantec.com/avcenter/
UnHookExec.inf
B. langkah berikutnya kita akan menghilangkan Efeck lain yang ditimbulkan sperti membuat Default Homepage,
- Gunakan sotware untuk manage Regedit seperti Winboost atau Scurity Adminsitrator
- Melalui Regedit
- Buka Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
- Dalam panel
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run - Delete Entry berikut
- Task Manager = "%Windows%systemsvchost32.exe"
- Svchost = "%Windows%systemsvhost.exe"
(Note: %Windows% Windows folder, mis C:Windows or C:WINNT.)
- Buka :
LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer atau
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
HKey_Current_UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDelete Entry berikut al :
DisableLocalMachineRun atau DisableLocalMachineRunOnce atau
DisableCurrentUserRun atau DisableCurrentUserRunOnce atau noRun
- Buka
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
Hapus
"Start Page" ="[http://]thecoolpics.com/[REMOVED]"
Buka
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelInternet ExplorerMain
Hapus :
"Homepage" = "1"
- Buka
HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_buzz
HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_Launchcast
Hapus :
"content url" = "[http://]thecoolpics.com/[REMOVED]"
Sumber : gratisan.com
Jumat, 2009 Februari 27
Bermain dengan Registry Editor (Regedit)
Tips Menonaktifkan Menu Task Manager
Mungkin udah banyak yang tau tips Mendisablekan Task Manager agar user tidak bisa mengakses menu tersebut. Tips ini ditujukan buat para Newbie seperti saya karena saya cinta newbies
Jalankan regedit lewat start-Run ketik Regedit, OK
Masuk menu :
HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-System Next, didalam sub key System bikin DWORD (Klik kanan kemudian New - DWORD Value) dan diberi nama DisableTaskMgr beri nilai 1 untuk mendisable Task Manager dan 0 untuk mengaktifkan kembali Task Manager
Tips Mencegah Instalasi Program
Tips ini bisa digunakan sebagai antisipasi user yg tidak berhak menginstall suatu program yang tidak diinginkan dari optical drive atau removable media (CD,DVD, Flash disk).
Masuk Regedit (Start - Run - Regedit)
Next, masuk subkey
HKEY_CURRENT_USER-Software-Policies-Microsoft-Windows tutup regedit & restart
Tips Menghiddenkan Drive (khusus XP)
Kita dapat menghilangkan drive pada komputer melalui regedit. contoh kalau kita ingin menghilangkan drive ( E: ) atau drive ( F: ) langkahnya :
masuk regedit dan langsung ke
HKEY_LOCAL_MACHINE-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer. isikan value DWORD tadi dengan salah satu nilai hexadecimal atau decimal dari :
Drive B: Hex = 2 Dec = 2
Drive C: Hex = 4 Dec = 4
Drive D: Hex = 8 Dec = 8
Drive E: Hex = 10 Dec = 16
Drive F: Hex = 20 Dec = 32
Drive G: Hex = 40 Dec = 64
Drive H: Hex = 80 Dec = 128
Drive I: Hex = 100 Dec = 256
sumber : kompilasi artikel-artikel
Tidak ada komentar:
Posting Komentar