Rabu, 29 Februari 2012

Trik Cara Menghapus Virus Trojan Terbaru

Disini saya akan memberikan sebuah trik baru dalam menghapus virus trojan W32/VBTroj.VNE ini dengan mengedit regestry windows.
Cirri-ciri virus Trojan W32/VBTroj.VNE:
Ciri utama virus Trojan W32/VBTroj.VNE (Rieysha) ini adalah dia akan  menampilkan pesan notepad dengan nama file “system32pesan_dari_rieysha.txt” sebagai berikut
    sayang kapan kamu kembali ke indonesia?
    apa kamu kembali dengan hatimu yang dulu?
    by:rieysha
Begitu pula pesan tersebut muncul di file MS Word anda dengan nama “system32pesan.doc” dengan pesan:
    yanx kapan kamu balik?
    aku sudah kangen berat nih
    kenapa sih mesti pergi jauh dariku
    apa kamu kembali dengan hatimu yang dulu
    apa aku akan merasakan kehangatan cinta yang dulu

Ciri-Ciri komputer yang terinfeksi virus Trojan W32/VBTroj.VNE (Rieysha)

    Mengganti tampilan walpaper/desktop: Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
    Merubah format penanggalan dari PM/AM menjadi [Rieysha]
    Merubah nama Organisasi dan pemilik OS menjadi
        RegisteredOrganization = kamu kembali
        RegisteredOwner = sayang kapan
    Disable beberapa fungsi Windows seperti
        Disable Task Manager
        Menyembunyikan menu ShutDown komputer
        Menyembunyikan Drive
        Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
        Menyembunyikan fungsi pencarian file/folder [Search]
        Menyembunyikan [Folder Options]
        Menyembunyikan [Run]
        Menyembunyikan [Start Menu Programs]

Cara membersihkan W32/VBTroj.VNE ((Rieysha)

Cara menghapus Virus Trojan: W32/VBTroj.VNE (Rieysha)

sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?

Cirri-ciri virus: Trojan: W32/VBTroj.VNE (Rieysha)
Di komputer anda menampilkan pesan notepad dengan nama file “system32pesan_dari_rieysha.txt” sebagai berikut

    sayang kapan kamu kembali ke indonesia?
    apa kamu kembali dengan hatimu yang dulu?
    by:rieysha

Begitu pula pesan tersebut muncul di file MS Word anda dengan nama “system32pesan.doc” dengan pesan:

    yanx kapan kamu balik?
    aku sudah kangen berat nih
    kenapa sih mesti pergi jauh dariku
    apa kamu kembali dengan hatimu yang dulu
    apa aku akan merasakan kehangatan cinta yang dulu

Virus Trojan W32/VBTroj.VNE (Rieysha) ini juga membuat icon gambar dengan rupa seorang gadis bersanggul Icon yang akan menyertai file virus

Ciri-Ciri komputer yang terinfeksi Trojan W32/VBTroj.VNE (Rieysha)

    Mengganti tampilan walpaper/desktop
        Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
    Merubah format penanggalan dari PM/AM menjadi [Rieysha]
    Merubah nama Organisasi dan pemilik OS menjadi
        RegisteredOrganization = kamu kembali
        RegisteredOwner = sayang kapan
    Disable beberapa fungsi Windows seperti
    Disable Task Manager
    Menyembunyikan menu ShutDown komputer
    Menyembunyikan Drive
    Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
    Menyembunyikan fungsi pencarian file/folder [Search]
    Menyembunyikan [Folder Options]
    Menyembunyikan [Run]
    Menyembunyikan [Start Menu Programs]

Cara membersihkan Virus W32/VBTroj.VNE ((Rieysha)

Untuk pembersihan Virus W32/VBTroj.VNE ((Rieysha) kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.

1.  Hapus file virus di drive

Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.

    Klik [miniPE2XT]
    Klik [Programs]
    Klik [File Management]
    Klik [Windows Explorer]

Kemudian hapus file berikut:

    [C:\] atau Drive lain termasuk Flash disk
    C:\Windows
    C:\Windows\system32
    C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
        [Contoh: Application Data90Admin.exe]
    C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
        [Contoh: Application Data90r13y5h4ku.exe]
    C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe [Contoh: Startup90AVG Test Center.exe] 26 files
    C:\Documents and Settings\win321.exe
    C:\WINDOWS\Web\Printers\Write.exe
    C:\WINDOWS\Web\download.exe
    C:\Windows\Cursors\newCursor.exe
    C:\Windows\Debug\adminMode.exe
    C:\Windows\Font\rieyshaTrueType.exe
    C:\Windows\Help\userhelping.exe
    C:\Windows\java\packet.exe
    C:\Windows\Media\newmedia.exe
    C:\Windows\msagent\agentkvr.exe
    C:\Windows\registration\registy.exe
    C:\Windows\repair\setup.exe
    C:\windows\tasks\newScedule.exe
    C:\windows\system32\win34.exe
    C:\WINDOWS\system\oeminfo.exe
    C:\Windows\softwaredistribution\downloads.exe
    C:\Program Files\Internet Explorer
    hacker.exe
    IEfree.exe

Note: Hal yang perlu diperhatikan saat mmembersihkan komputer dari Virus Trojan: W32/VBTroj.VNE (Rieysha)

Hapus file virus yang mempunyai ciri-ciri:

    Menggunakan icon
    Ukuran 228 KB
    Type file “Application”
    Ekstensi EXE

Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], Caranya:

    Buka [Windows Explorer]
    Klik tombol [Search]
    Pada kolom “Search for files or folders names” isi dengan format *.exe
    Pada kolom “Look in:” pilih drive yang akan di periksa
    Klik opsi [Search Options >>]
    Pilih opsi “Size”
        Pilih “At most”
        Isi 229
    Klik opsi “Advanced Options”
        Pilih opsi “Search System folders”
        Pilih opsi “Search hidden files and folders”
        Pilih opsi “Search subfolders”
    Klik tombol “Search Now” untuk memulai pencarian
    Kemudian hapus file virus yang berhasil ditemukan sesuai dengan ciri-ciri yang telah disebutkan di atas.

Hapus juga file berikut:

    C:\CeweNakal.scr
    C:\Windows
        Oemlogo.pif
        TAKSMAN.com
        system32folder.htt
        system32desktop.ini
        system32pesan_dari_rieysha.txt
        system32pesan.doc
        system32Autorun.inf
        system32pesanku.bat
        system32pesanQ.htm
        system32klikAku.bat
        system32klik2kali.bat
        system32rieysha.jpg
    D:\Puisi.txt

2.  Hapus/edit kembali registry yang sudah diubah virus

Masih di Mini PE, klik

    Klik MiniPE2XT]
    Klik [Programs]
    Klik [Avast! Registry Editor]
    Klik [Registry Editor]
    Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK] (lihat gambar) o Kemudian cari dan ubah registry berikut:
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
            Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]
            Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]

Catatan:
%system% ini berbeda-beda:

    [C:\Windows\system32] ? Windows XP/2003
    [C:\Winnt\system32] ? Windows 2000
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
            Hapus string [r13y5h4.exe]
        _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
            Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
        _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
            Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
        _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
            Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:
            Explorer
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
            NoClose
            NoDrives
            NoDriveTypeAutoRun
            NoFind
            NoFolderOptions
            NoRun
            NoStarMenuMorePrograms
            NoViewOnDrive
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
            DisableCMD
            DisableRegistryTools
            DisableTaskMgr
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
            NoCLose
            NoControlPanel
            NoDrives
            NoFind
            NoFolderOptions
            NoLOgoff
            NoRun
            NoSetFolders
            NoTrayContextMenu
            NoViewOnDrive
            NoWindowsUpdate
            StartMenuLogOff
        _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
            NoDispCPL
            DisableRegistryTools
            DisableTaskMgr
        _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
            Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
            Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
        _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
            Hapus string [r13y5h4.exe]
        _User_%user%\Software\Microsoft\Internet Explorer\Main
            Pada string [Start Page] ubah “string value data” menjadi [about:blank]
        _User_%user%\Control Panel\International
            Pada string [s1159] ubah “String value data” menjadi [AM]
            Pada string [s2359] ubah “string value data” menjadi [PM]

3. Restart komputer

4. Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf

    Catatan:
    Jalankan file repair.inf ini setelah komputer restart

Berikut script yang harus di copy:

    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee

    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del

    [UnhookRegKey]
    HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
    HKCU, Control Panel\Desktop, Wallpaper,0,
    HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
    HKCU, Control Panel\International, s1159,0, “AM”
    HKCU, Control Panel\International, s2359,0, “PM”
    HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
    HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
    HKLM, SOFTWARE\Classes\exefile,,,application
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
    [del]
    HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
    HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
    HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
    HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
    HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
    HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

5.  Restart komputer, kemudian login tanpa menggunakan CD Mini PE

6. Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:

    Klik kanan repair.inf
    Klik Install

7.  Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang up-to-date atau dengan menggunakan removal tools.


Description: Trik Cara Menghapus Virus Trojan Terbaru Rating: 4.5 Reviewer: dhanu - ItemReviewed: Trik Cara Menghapus Virus Trojan Terbaru

5 komentar:

Next previous home