Membersihkan W32/Smalltroj

Berikut 9 langkah untuk membersihkan W32/Smalltroj. VPCG yang diramu Vaksincom:
A. Persiapan
  1. Nonaktifkan System Restore selama proses pembersihan berlangsung.
  2. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet.
  3. Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.
  4. Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD. (http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html) guna menghentikan file rootkit yang menyamar sebagai services dan driver. Hasil download kemudian di burn ke cd untuk booting.
B. Dengan Mini PE Live CD
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut.
Hapus beberapa file iduk virus dengan cara:

Klik menu [Mini PE2XT]
Klik menu [Programs]
Klik menu [File Management]
Klik menu [Windows Explorer]

Kemudian hapus file berikut:
C:\Windows\System32
wmispqd.exe
Wmisrwt.exe
qxzv85.exe@
qxzv47.exe@
secupdat.dat
C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.

C:\windows\system32\drivers
Kernelx86.sys
%xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
Ndisvvan.sys
krndrv32.sys

C:\Documents and Settings\%user%\secupdat.dat
C:\Windows\inf
Netsf.inf
netsf_m.inf


C. Gunakan Avas Registry Editor
Hapus registri yang dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:

Klik menu [Mini PE2XT]
Klik menu [Programs]
Klik menu [Registry Tools]
Klik [Avast! Registry Editor]
Jika muncul layar konfirmasi kelik tombol "Load....."
Kemudain hapus registry : (lihat gambar 6)

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\\ctfmon.exe
HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx86
HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ctfmon.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

Ubah value pada string Userinit menjadi = userinit.exe,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
%windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
%windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
%windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%

Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]

D. Restart
Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

E. Bersihkan Temporary Internet File
Hapus file temporary dan temporary internet file.
Silahkan gunakan tools ATF-Cleaner.
Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe.

F. Mengembalikan Host File
Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster.
Silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html

Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.

G. Pasang Anti Virus
Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.

Komentar

Posting Komentar

Postingan populer dari blog ini

Activasi MS Windows XP

1. start 2. run 3. regedit 4. ok 5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurentVersion\WPAEvents 6. ganti String OOBETimer(apapun isinya) dengan 7. FF D5 71 D6 8B 6A 8D 6F D5 33 93 FD 8. OK 9.(MASIH DALAM REGEDIT) 10. klick Permission 11. klick System cek semua Deny 12 Restart
Baca selengkapnya

Blog Handphone Terbaru 2014

Selamat datang di blog Handphone Terbaru 2014 , dimana situs ini akan membahas seputar spesifikasi harga review dari handphone, smartphone, tablet dll. Mengulas berbagai jenis hp keluaran terbaru seperti Acer, Advan, Alcatel, Apple, Asiafone, Asus, Axioo, Beyond, BlackBerry, Cross, CSL-Blueberry, Dell, eTouch, Smartfren, HT Mobile, HTC, Huawei, IMO, K-Touch, Lenovo, LG, Maxtron, Micxon, Mito, Motorola, Nexian, Nokia, Oppo,, Pixcom, Polytron, Samsung, Sony, SpeedUp, Tabulet, Taxco, TiPhone, Venera, ViTell, ZTE dll. Semoga dengan adanya situs ini dapat membantu atau meringankan anda dalam mencari sebuah handphone yang anda inginkan sesuai pilihan anda, nantikan update terbaru dari kami selaku admin. Untuk info seputar harga mungkin akan kami update perbulan. Sekian dan terima kasih untuk anda yang telah membaca sebuah deskripsi yang mungkin tidak terlalu penting juga untuk dibaca.
Baca selengkapnya

Merawat Printer

Tulisan ini saya angkat dari permintaan teman-teman yang mengeluh atas printer tintanya sering bermasalah. Untuk menghindarinya supaya tidak sampai terjadi hal yang fatal adalah sebagi berikut : Gunakan printer secara berkala dan teratur. Jangan membiarkan printer pasip dalam waktu yang cukup lama.Minimal lakukan cek nozel. Hal ini bertujuan menjaga agar tinta pada seluruh Print Head tidak mengering/menggumpal. Segera isi Cartridge apabila tinta mulai habis. Dalam melakukan isi ulang khususnya saat melepas cartridge, jangan sampai menyentuh pin CMOS. Pin tersebut sangat sensitif (bisa rusak) akibat listrik statis yang berasal dari tubuh kita. Saat mencetak gunakan kertas yang bersih dan masih “layak” artinya tidak lusuh atau “lungset” karena kertas yang lusuh dapat menyebabkan macet/berhenti mencetak akibat kertas yang slip pada rol printer. Selain itu kertas yang berdebu dapat menyebabkan debu nempel ke Head Bersihkan printer yang kotor menggunakan kuas atau lap dengan kain. Untuk ...
Baca selengkapnya