Virus Yahoo Messenger dapat melakukan update layaknya program antivirus dengan mendownload beberapa file dari website yang telah ditentukan. Pusing pastinya, untuk menyingkirkannya pun terbilang sulit.
Baca di bawah ini 9 langkah untuk membersihkan virus paling ganas dan paling banyak mengganggu di awal tahun ini maupun pada tahun sebelumnya menurut analis virus dari Vaksincom, Adang Jauhar Taufik:
Cara membersihkan virus di Yahoo Messenger :
1. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet
2. Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.
3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus.
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [File Management]
d. Klik menu [Windows Explorer]
e. Kemudian hapus file berikut:
-. C:\Windows\System32
-. Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
-. %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
-. secupdat.dat
-. C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi).
-. C:\Windows\System32\drivers
-. Kernelx86.sys
-. %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
-. Ndisvvan.sys
-. krndrv32.sys
-. C:\Documents and Settings\%user%\secupdat.dat
-. C:\Windows\INF
-. netsf.inf
-. netsf_m.inf
4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [Registry Tools]
d. Klik [Avast! Registry Editor]
e. Jika muncul layar konfirmasi kelik tombol "Load....."
f. Kemudain hapus registry:
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentve rson\run\\ctfmon.exe
ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kerne lx86
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\k ernelx86
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\p assthru
ü LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§ Ubah value pada string Userinit menjadi = userinit.exe,
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§ Ubah value pada string Shell menjadi = Explorer.exe
ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\% xx%
ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\Shared Access\Parameters\FirewallPolicy\DomainProfile\Aut horizedApplications\List\\C:\windows\system32\%fil e_induk_virus%.exe (contoh: wmistpl.exe)
ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\Shared Access\Parameters\FirewallPolicy\StandardProfile\A uthorizedApplications\List\\C:\windows\system32\%f ile_induk_virus%.exe (contoh: wmistpl.exe)
Catatan: %xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfm on.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
6. Fix registry Windows untuk mengembalikan agar komputer dapat booting "safe mode with command prompt" dengan download file FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara:
o Klik menu [Start]
o Klik [Run]
o Ketik REGEDIT.EXE kemudian klik tombol [OK]
o Pada layar "Registry Editor", klik menu [File | Import]
o Tentukan file .REG yang baru anda buat
o Klik tombol [Open]
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di sini.
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut.
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini..
Baca di bawah ini 9 langkah untuk membersihkan virus paling ganas dan paling banyak mengganggu di awal tahun ini maupun pada tahun sebelumnya menurut analis virus dari Vaksincom, Adang Jauhar Taufik:
Cara membersihkan virus di Yahoo Messenger :
1. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet
2. Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.
3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus.
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [File Management]
d. Klik menu [Windows Explorer]
e. Kemudian hapus file berikut:
-. C:\Windows\System32
-. Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
-. %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
-. secupdat.dat
-. C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi).
-. C:\Windows\System32\drivers
-. Kernelx86.sys
-. %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
-. Ndisvvan.sys
-. krndrv32.sys
-. C:\Documents and Settings\%user%\secupdat.dat
-. C:\Windows\INF
-. netsf.inf
-. netsf_m.inf
4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [Registry Tools]
d. Klik [Avast! Registry Editor]
e. Jika muncul layar konfirmasi kelik tombol "Load....."
f. Kemudain hapus registry:
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentve rson\run\\ctfmon.exe
ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kerne lx86
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\k ernelx86
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\p assthru
ü LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§ Ubah value pada string Userinit menjadi = userinit.exe,
ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§ Ubah value pada string Shell menjadi = Explorer.exe
ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%
ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\% xx%
ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\Shared Access\Parameters\FirewallPolicy\DomainProfile\Aut horizedApplications\List\\C:\windows\system32\%fil e_induk_virus%.exe (contoh: wmistpl.exe)
ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\Shared Access\Parameters\FirewallPolicy\StandardProfile\A uthorizedApplications\List\\C:\windows\system32\%f ile_induk_virus%.exe (contoh: wmistpl.exe)
Catatan: %xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfm on.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
6. Fix registry Windows untuk mengembalikan agar komputer dapat booting "safe mode with command prompt" dengan download file FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara:
o Klik menu [Start]
o Klik [Run]
o Ketik REGEDIT.EXE kemudian klik tombol [OK]
o Pada layar "Registry Editor", klik menu [File | Import]
o Tentukan file .REG yang baru anda buat
o Klik tombol [Open]
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di sini.
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut.
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini..
Moga bermanfaat...
Sumber : dari berbagai sumber
0 comments: on "membersihkan virus di Yahoo Messenger | tips & trick"
Posting Komentar
Info Pilihan Identitas Jika Berkomentar: Google/Blogger : Khusus yang punya Account Blogger. Wordpress : Blog degan account wordpress Name/URL : Jika tidak punya account blogger namun punya alamat Blog atau Website. Anonymous : Jika tidak ingin mempublikasikan profile anda.
Jika teman-teman menyukai artikel-nya silahkan copy paste dan tinggalkan pesan disini....