Pengait kata (tags) tulisan ‘ perawan

29
Mar
08

cara mengatasi virus Perawan

Oleh s4lm4n Leave a Comment
Kategori: antivirus dan virus
Tags: , ,

bagi anda yang terkena virus Perawan,

gue punya cara manual mengatasi virus tersebut..

caranya cukup merepotkan. Tapi daripada komputer anda sakit terus-menerus  lebih baik memakai cara ini.

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan Disable System Restore selama proses pembersihan.

2. Matikan proses virus yang aktif di memori

anda bisa menggunakan tools process exlplorer untuk mematikannya

3.  Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon

JPEG Image (JPG), yaitu:

  • Startup.exe
  • Svchost.exe
  • Spoolsv.exe

process explorer

4. Gunakan Repair.Inf untuk menghapus registri yang sudah dibuat oleh virus.caranya:

- klik kanan repair.inf

- klik install

jika anda tidak punya Repair.Inf copy script berikut dan simpan di notepad dengan    nama Repair.Inf (bukan repair.txt)

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

5. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)
  • Type File Application
  • Ukuran file 301 Kb atau 96Kb (tergantung varian)

gunakan fasilitas fungsi search untuk mempercepat pencarian. Caranya:

  • Klik Start menu
  • Klik Search
  • Klik all files and folders
  • Pada kolom All or part of the file name ketik *.EXE
  • Pada kolom Look in, pilih My Computer
  • Klik “What Size is it?”

- Pilih opsi “Specify size (in KB)

- Isi At Most

- Isi 302

  • lalu klik search

6. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus, Anda dapat     menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah     dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup     lama karena Anda harus menghapus script tersebut per file karena saat ini masih     belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara     keseluruhan.
Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan    lakukan langkah berikut:

  • Klik menu File
  • Klik Open
  • pilih salah satu file JPG yang akan di perbaiki
  • Blok Script yang dimulai dari baris 00000000 – 00027530

Hex Editor

  • Setelah script tersebut diblok, klik kanan dan pilih “CUT”
  • Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ÿ).

hexa editor

(dikutip dari Detik.net)