Jumat, 22 Juli 2011

Cara menghapus Virus Shortcut

 Virus yang banyak dikenal sebagai W32/Ramnit (Win32.Siggen.8) ini cukup merepotkan banyak pengguna Windows, karena walaupun komputer telah terinstal anti virus yang mumpuni-dan terupdate pula, si virus Ramnit akan terus kembali menghantui sistem. Bila antivirus mendeteksi si Ramnit ini dan segera menghapusnya dari sistem, saat itu pula si Ramnit kembali lagi!
Bagaimana mengenyahkan si Ramnit secara total dari sistem Windows anda? Berikut ulasan singkatnya untuk anda.

Software yang dibutuhkan:
1. Process Explorer: Pengganti Task Manager Windows yang loyo itu,
2. Unlocker: Berguna untuk menghapus file yang super bandel-yang sulit dihapus oleh fitur standar Windows,
3. Registry Editor: Sudah built in di Windows
4. Security Policy: Atau disebut juga SECPOL.msc. Akan saya terangkan nanti. Utiliti ini juga sudah ada di Windows.

Langkah-langkah pembasmian:

- Boot Windows di Safe Mode
1. Seperti lazimnya cecunguk-cecunguk virus lainnya di Windows, periksalah entri-entri startup Windows melalui MSconfig, periksa dari entri yang tidak biasa yang potensial sebagai jalan masuk virus. Kalau anda sudah hapal jeroannya Windows, pasti anda akan hapal bila ada yang tidak biasa di entri startup Msconfig ini. Bila anda masih awam, anda bisa lewati poin pertama ini, atau silakan mencari artikel-artikel di Blog ini yang berhubungan dengan virus.
2. W32/Ramnit memasuki sistem Windows sejak pertama kali user login, oleh karena itu, bukalah Registry Editor untuk melihat entri registri. Klik Start-Run-Regedit-Enter, dan lihat pada hirarki
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


Seperti yang terlihat pada gambar, entri Userinit standar Windows seharusnya hanya C:Windows\System32\Userinit.exe. Bila ada entri tambahan seperti diatas, itu adalah cecunguknya! Jadi pada saat user login seharusnya hanya memanggil userinit.exe saja, tapi dengan adanya tambahan entri di Userinit, maka file virus yang berlokasi di C:\Program Files\xxx\xxx.exe ikut terpanggil juga.
Contoh entri tambahan pada entri Userinit diatas bisa jadi berbeda dengan virus Ramnit yang menginfeksi komputer anda, karena sifatnya yang membuat nama folder dan nama file acak.
3. Lokasikan entri file tambahan yang terdapat pada entri Userinit diatas:

Seperti gambar diatas, sudah jelas file iyayctib.exe diatas adalah virusnya, karena saya yakin anda tidak punya folder dan nama file acak kan? Windows juga begitu.
Jangan terburu nafsu menghapus file .exe diatas, karena sudah pasti file .exe tersebut masih aktif di sistem, dan sudah pasti akan sulit menghapusnya.
4. Pastikan utiliti Unlocker sudah terinstal, klik kanan pada file .exe yang dicurigai sebagai cecunguknya, klik unlocker

Bagusnya Unlocker, setelah anda klik Unlocker, dia akan memberitahukan proses mana yang aktif terkait dengan file .exe tersebut. Pada contoh kasus saya, file iyayctib.exe berkaitan dengan proses Firefox.exe, yang artinya virus tersebut aktif dengan cara mengelabui user dan sistem, bahwa ada browser Mozilla Firefox sedang berjalan, padahal saya sendiri tidak sedang menjalankan browser Mozilla, saya sedang menjalankan browser Chrome!
5. Aktifkan ProceXp, matikan proses Firefox.exe dengan cara klik kanan entri Firefox.exe dan klik End Process Tree.

6. Kembali ke folder lokasi virus kita, sekarang sudah aman untuk menghapusnya dari harddisk. Gunakan fungsi Delete biasa, atau gunakan fitur Force Delete dari Unlocker. Klik kanan file virusnya, pilih Unlocker, pilih drop down menu delete lalu OK.
7. Normalkan entri Userinit di registri dengan menghapus entri tambahan dibelakang userinit.exe

8. Scan keseluruhan sistem dengan antivirus favorit anda, apa saja boleh, yang penting database virusnya up to date!
9. Restart ke normal mode, dan periksa sekali lagi seperti langkah-langkah diatas, apakah si Ramnit masih kembali lagi? Moga moga tidak ya
Diposting oleh di Tidak ada komentar:

Minggu, 10 Juli 2011

VIRUS WATERMARK

Cara menghapus Watermark.exe.
  1. Buka “Task Manager” dengan cara menekan “Ctrl+Alt+Del”
  2. Pada Tab “Process” cari “svchost.exe” yang usernamenya nama komputer anda, bukan svchost LOCAL SERVICE, SYSTEM atau NOTWORK SERVICE. Kalo ga salah svchost dengan username komputer anda ada 2, lalu 22 nya di “End Process” satu per satu.
  3. Biarkan “Task Manager” terbuka (jangan di close dulu)
  4. Kemudian buka “cmd”, START-ALL PROGRAMS-ACCESSORIES-COMMAND PROMPT, atau START-RUN lalu ketik “cmd” dan tekan “enter”
  5. Semua tanda kutip tidak dipakai, Pada Command Prompt ketik: “CD..” lalu enter, ketik lagi “CD..” lalu enter lagi hingga pada Command Prompt tinggal terlihat “C:/” saja.
  6. Kemudian ketik “cd program files/microsoft” lalu tekan enter
  7. Kemudian ketik “del WaterMark.exe /a /s” lalu tekan enter
  8. Masih di C:/Program Files/Microsoft, ketik “md watermark.exe”, lalu tekan enter.
  9. Kemudian ketik “cd watermark.exe” dan tekan enter
  10. Lalu ketik “md con\\” lalu tekan enter
  11. Restart windows
  12. Buka Registry Editor, START – RUN, lalu ketik “regedit” dan tekan enter
  13. Pada Registry editor, Cari “Userinit” di [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], scroll bar nya di drag ke bawah… soalnya userinit nya ada di bawah.
  14. Klik 2 kali pada “Userinit” itu, lihat value Data nya “c:\windows\system32\userinit.exe, c:\program files\microsoft\WaterMark.exe” ganti dengan “c:\windows\system32\userinit.exe” atau hapus text dibelakang tulisan tersebut.
  15. Represh Registry Editor, lalu lihat pakah userinitnya berubah lagi atau tidak?
  16. Jika value data dari userinit ini tidak berubah… berarti virus WaterMark.exe sudah tidak berfungsi karena sudah diganti dengan folder watermark.exe
  17. Selamat bergembira.
Pada initinya proses diatas adalah mengganti file watermark.exe (Virus) dengan folder watermark.exe (Hanya folder biasa) yang tidak bisa di hapus.
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)