Re: [ITCENTER] Repair & Remove virus W32/IRCBOT.AQF......?

Tue, 05 Sep 2006 03:07:02 -0700 

  Cara mengatasi W32/IRCbot.AQF 
   
  1.    Disconnect komputer yang terhubung ke jaringan
  2.    Jika menggunakan windows XP, matikan [system restore] selama proses 
pembersihan
  3.    Matikan proses virus yang sedang aktif di memori, untuk membersihkan 
proses virus yang sedang aktif  anda dapat menggunakan tools  pengganti “task 
manager”, tetapi ada satu hal yang perlu diperhatikan yakni jika anda mencoba 
untuk mematikan proses dari virus tersebut, maka ia akan melakukan restart 
komputer sehingga akan terjadi kegagalan pada waktu mematikan proses tersebut. 
   
  Ada satu trik yang dapat digunakan agar pada waktu anda mematikan proses dari 
virus tersebut komputer tidak melakukan restart yakni dengan mematikan 
sekaligus 2 proses virus yang sedang aktif dimemori dengan nama :
  o       Microsoft Word Documents
  o       Microsoft Word Documents
   
                                                    
  Dengan tools Security Taks Manager proses virus IRCbot dapat dimatikan 
   
  Jangan sampai terjadi kesalahan pada saat mematikan  file tersebut, cari file 
yang mempunyai ciri-ciri sbb:
  -          Icon ms.word
  -          Lokasi C:\windows
   
  Untuk mengatasi hal ini anda dapat menggunakan tools pengganti task manager 
yakni “Security taks manager”. Tools ini dapat didownload di alamat:
   
  http://www.neuber.com/taskmanager/
   
  4.    Setelah proses virus tersebut berhasil dimatikan, hapus file induk dari 
virus ini yang berada didirektori dibawah ini, tetapi sebelumnya pastikan anda 
sudah menampilkan semua file yang disembuyikan
   
  §         C:\Surat_Buat_Presiden.exe
  §         C:\Surat_Buat_Presiden.zip
  §         C:\Windows\Surat_Buat_Presiden.zip
  §         C:\Windows\Surat.doc
  §         Database.txt
  §         Documents.exe
  §         SVCH0ST.exe
  §         SVCHOST.exe
  §         Winl0g0n.exe
   
  Catatan:
  Jika komputer anda mempunyai lebih dari satu partisi Hard Disk [contoh: C:\ 
dan D:\], hapus juga file yang dengan nama Surat_Buat_Presiden.exe dan 
Surat_Buat_Presiden.zip
   
  5.    Hapus Direktori C:\!Submit
   
  6.    Hapus string yang dibuat oleh virus pada registry editor, yakni :
  o       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
  §         Hapus key [yang berbetuk folder] dengan nama  srservice
   
  o       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  §         Hapus key [yang berbetuk folder] dengan nama  srservice
   
  o       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
  §         Ubah value yang ada pada string AlternateShell menjadi cmd.exe, 
contoh : AlternateShell = cmd.exe
  o       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
  §         Ubah value yang ada pada string AlternateShell menjadi cmd.exe, 
contoh : AlternateShell = cmd.exe
   
  Untuk lebih cepat dalam penghapusan registry tersebut, copy script dibawah 
ini pada program notepad, kemudian simpan menjadi repair.inf dan jalankan file 
tersebut dengan cara:
  §         Klik kanan repair.inf
  §         Klik [install]
   
  Berikut script yang dapat anda copy:
   
  [Version]
  Signature="$Chicago$"
  Provider=Vaksincom
   
  [DefaultInstall]
  AddReg=UnhookRegKey
  DelReg=del
   
  [UnhookRegKey]
  HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
  HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
  HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
  HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
  HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
  HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
  HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
  HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
   
  [del]
  HKLM, SYSTEM\CurrentControlSet\Services\srservice
  HKLM, SYSTEM\ControlSet001\Services\srservice
   
  
   Matikan option      “Microsoft Office” pada menu startup [msconfig]
   
     
   
  
   Hapus file duplikat      yang dibuat oleh virus pada folder dan dubfolder 
dengan ciri-ciri:
   
  o       Menggunakan icon MS.WORD
  o       Ukuran file 32 KB
  o       Ext. EXE
  o       Type file “application”
   
  Catatan: Biasanya virus ini hanya akan membuat file duplikat pada media 
Disekt/USB
   
  
   Untuk pembersihan      optimal silahkan gunakan antivirus yang sudah 
mengenali virus ini dengan      baik.
  Catatan:
  Sebagai informasi virus ini akan menghapus data yang ada di USB/Disket dan 
untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file 
yang dihapus tetapi dengan ext EXE dan mempunyai ukuran 32 KB, perhatikan 
gambar dibawah ini:
   
     
  File duplikat yang diubah virus
   
  
                
---------------------------------
Talk is cheap. Use Yahoo! Messenger to make PC-to-Phone calls.  Great rates 
starting at 1¢/min.

[Non-text portions of this message have been removed]






-- 
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia 
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] 
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: 
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$

[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id 

 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/ITCENTER/

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/

Kirim email ke