Cara membasmi Virus Stuxnet (Winsta)

1.Menggunakan Dr, Web Curelt
Download Dr Web Curelt --->  Disini

2. Perbaiki Registri
Memperbaiki regitri Windows yang sudah dimodifikasi oleh virus.
Caranya, cukup salin script di bawah ini ke Notepat

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]
HKLM, SYSTEM\CurrentControlSet\Services\MRxCls
HKLM, SYSTEM\CurrentControlSet\Services\MRxNet
HKLM, SYSTEM\ControlSet001\Services\MRxCls
HKLM, SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET

Kemudian, simpan file dengan nama "repair.inf". (tanpa tanda petik). Rubah pilihan save type menjadi All file.  Lalu klik save.
Bersihkan temporary file, hal ini agar dapat mencegah sisa trojan yang mencoba aktif kembali. Gunakan tools seperti ATF Cleaner atau gunakan fitur Windows yaitu Disk Clean-Up.

3. Solusi Darurat
Selain itu, berikut adalah script darurat (Di Notepat dengan cara seperti yang sebelumnya) yang bisa digunakan untuk mencegah agar Winsta tidak kembali menginfeksi. Simpan script berikut dengan nama Winsta.bat

@echo off
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
del /f c:\windows\system32\drivers\mrxnet.sys
rem rd c:\windows\system32\drivers\mrxnet.sys
md c:\windows\system32\drivers\mrxnet.sys
del /f c:\windows\system32\drivers\mrxcls.sys
rem rd c:\windows\system32\drivers\mrxcls.sys
md c:\windows\system32\drivers\mrxcls.sys
attrib +r +h +s c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys

Setelah selesai, klik ganda file Winsta.bat yang dihasilkan. Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

More about → Cara membasmi Virus Stuxnet (Winsta)

Cara Membasmi Virus Conficker

Hai….Kali ini saya akan membahas cara membasmi virus conficker… yang sebenere ni virus ng’trend di tahun 2009..tapi ampe sekarang pun masih banyak komputer yang kena dan bikin kesel….
sebelumnya saya akan menjelaskan Gejala komputer yang terkena virus Conficker.. Cekidot..


Tidak bisa akses domain name web security & tidak
bisa update antivirus
Ini salah satu ciri khas dari conficker. Coba cek dengan akses pada beberapa web security semisal www.microsoft.com,
www.kaspersky.com dan www.norman.com. Bandingkan dengan akses melalui ip dari web
tsb, http://65.55.12.249 (microsoft), http://195.27.181.34 (kaspersky) dan http://87.238.48.130 (norman). Jika browser anda tidak bisa mengkases situs tersebut di atas dengan mengetikkan alamat situsnya tapi bisa diakses
jika mengetikkan alamat Ipnya, maka anda perlu yakin bahwa komptuernya terinfeksi Conficker..

Mematikan dan mendisabled beberapa Service Windows
Untuk memudahkan infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic Updates
(wuauserv), Background Intelligent Transfer Service (BITS), Error Reporting Service
(ERSvc), Help and Support (helpsvc), Security Center (wscsvc).

Membuat service baru dan berjalan dengan mendompleng svchost
Hal ini bertujuan agar mudah aktif dan menginfeksi komputer lain serta mendownload file
virus.

Membuat rule firewall baru
Hal ini digunakan agar conficker dapat keluar (menginfeksi
komputer lain) dan masuk (update virus baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. Jika port yang digunakan virus sama dengan program aplikasi kita, maka aplikasi tersebut akan terganggu.

Membuat scheduled task
Hal ini digunakan agar tetap running pada komputer yang
terinfeksi. Agar optimal, Conficker membuat beberapa
scheduled task agar running setiap saat.

Disable Show Hidden File & System Restore & Disable System Restore

cara mengatasinya adalah dengan cara sbb:
1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman atau Norman Malware Cleaner untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs www.norman.com
3. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
4. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
5. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections
Gunakan notepad, kemudian simpan dengan nama ‘repair.inf’, lalu ‘Save As Type’ menjadi ‘All Files’ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.
6. Lalu periksa program yang berjalan pada saat start up..(pada msconfig dengan cara klik RUN atau langsung tekan tombol Windows+R lalu tulis msconfig klik OK) pilih pada Tab start up lalu hilangkan centang pada program yang aneh..(tidak biasanya)
Selamat Mencoba….

More about → Cara Membasmi Virus Conficker

Cara Menghapus Virus Recycler

Sebelumnya saya akan membicarakan apakah folder Recycler itu virus???? banyak orang yang mengatakan folder Recycler yang ber-attribut system (+s) dan hidden (+h) adalah virus… tetapi saya berpendapat semua itu salah.. saya luruskan bahwa keberadaan folder Recycler tersebut tidak lepas dari apa yang namanya Recycle Bin pada Windows. Kemungkinan besar Anda telah mengetahui bahwa ketika suatu file dihapus,, file tersebut tidak serta merta langsung di-delete melainkan akan dimasukkan ke suatu tempat pembuangan sementara yang bernama Recycle Bin. Ketika misalnya kemudian Anda menyadari bahwa ternyata file yang telah dihapus tersebut masih diperlukan, selama masih berada dalam Recycle Bin, file masih dapat dikembalikan ke lokasi sebelumnya dengan cara me-restore-nya.

Recycle Bin dan Folder Recycler
Suatu file yang dihapus dari suatu drive dan masuk ke Recycler Bin, pada struktur folder di drive tersebut sebenarnya disimpan pada suatu folder yang bernama Recycler. Folder ini akan dibuat secara otomatis oleh Windows dan memiliki attribut system (+s) dan hidden (+h), itu sebabnya sebagian dari Anda mungkin tidak akan melihat keberadaan folder Recycler ini. Folder ini akan terlihat jika melalui Tools – Folder Options – View Anda memilih Show hidden files and folders dan tidak memilih Hide protected operating system files.
Folder Recycler pada dasarnya akan dibuat pada setiap drive yang partisinya diformat sebagai sistem file NTFS. Untuk filesystem FAT atau FAT32, folder yang dibuat bernama Recycled.

Virus Recycler
Kembali ke pertanyaan semula, beberapa dari Anda mungkin akan bertanya-tanya mengenai keberadaan folder tersebut dan menyangka itu adalah akibat perilaku suatu virus komputer. Sesuai apa yang telah saya tulis di atas, saya katakan bahwa keberadaan folder tersebut merupakan bagian dari sistem yang diterapkan Windows, bukan virus.

Keadaan itu akan berbeda jika Anda mendapati suatu file yang nampak seperti folder Recycler tapi kenyataannya adalah file bernama Recycler.exe. Untuk memastikannya, Anda dapat megatur pada Tools – Folder Options – View dengan memilih Show hidden files and folders, serta tidak memilih Hide extensions for known file types dan  Hide protected operating system files. Jika ditemukan file Recycler.exe ada kemungkinan itu memang akibat virus yang berperiku membuat file sesuai nama folder yang ada dan menyamarkan diri sebagai folder itu sendiri. Apabila dilihat memang benar-benar folder bernama Recycler, dan sudah dilakukan scanning didalamnya tidak ditemukan file virus, kemungkinan besar tidak menjadi masalah.

More about → Cara Menghapus Virus Recycler

Cara Membasmi Virus New Heur Level (9)

Wah ni virus cukup membikin repot saya,,,saat laptop teman saya terkena virus ini…tapi akhirnya setelah cari2 dan semedi di kuburan buat bermaksut tanya cara mengatasinya..dan akhirnya mbah google menjawab Salitykiller…hahaha bercanda gan… Kali ini saya akan memberikan sedikit cara gimana cara membasmi virus New Level Heur Level (9) dengan menggunakan Salitykiller…
1. Download Salitykiller,,, monggo,,

Link Download

2. Matikan/Disable terlebih dahulu AV yang aktif
3. Klik 2x file SalityKiller.exe, setelah itu proses scan & fix seluruh drive akan dimulai.
Tunggu hingga proses scan & fix selesai, jika sudah selesai namun masih ada tuh virus, coba lakukan scan lagi dengan cara berikut :
1. Buka command promt terlebih dahulu. (start –> all programs –> accesories –> command prompt) atau (start –> run –> ketik cmd, lalu enter)
2. Setelah tampilan command prompt muncul, arahkan ke folder tempat anda menyimpan salitykiller. misal, disimpan di my documents, maka setelah tampilan command prompt muncul, berurutan diketik :
ketik “cd My Documents” (tanpa kutip), lalu enter
ketik “cd Sality” (tanpa kutip), lalu enter
Lalu terakhir ketik “salitykiller.exe ” (tanpa kutip), lalu enter.
3. Command “cd” berfungsi sebagai perintah buka folder, dilanjutkan dengan nama folder.
4. Untuk berpindah ke folder di local disk lain, cukup dengan mengetik nama disk, misal : ketik “d:” (tanpa kutip), maka tamipilan akan berganti menjadi “D:\” selanjutnya ketik “dir” (tanpa kutip) untuk melihat isi local disk d:, lalu lakukan seperti langkah 2. misal : ketik cd ….dst… maka tampilan akan menjadi D:\
5. Daftar perintah manual :
- salitykiller.exe –help <—- untuk help/melihat list commmand
- salitykiller.exe -p c: <—- untuk melakukan scan terhada drive c: saja
- salitykiller.exe -p d: <—- untuk melakukan scan terhadap drive d: saja, tinggal ganti nama drive untuk drive selanjutnya.
- salitykiller.exe -r <—- untuk scan removable disk

NB: untuk scan yang lebih efektif lakukan pada DOS atau pada safe mode…

More about → Cara Membasmi Virus New Heur Level (9)

Cara Membasmi Virus Shortcut

Berikut cara menghapus virus shortcut yang dapat menghilangkan folder asli dan mengganti dengan folder bershortcut… sebenarnya folder tersebut tidaklah hilang..hanya saja itu perbuatan virus yang menghidden dan menggantinya dengan shortcut2… langsung aja….

1. Nonaktifkan ‘System Restore’ untuk sementara selama proses pembersihan.
2. Putuskan komputer yang akan dibersihkan dari jaringan.
3. Matikan proses virus yang aktif di memori dengan menggunakan tools ‘Ice Sword’. Setelah tools tersebut terinstal, pilih file yang mempunyai icon ‘Microsoft Visual Basic Project’ kemudian klik ‘Terminate Process’. Silahkan download tools tersebut di http://icesword.en.softonic.com/
4. Hapus registri yang sudah dibuat oleh virus dengan cara:
-. Klik menu [Start]
-. Klik [Run]
-. Ketik REGEDIT.exe, kemudian klik tombol [OK]
-. Pada aplikasi Registry Editor, telusuri key [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
-. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%].
5. Disable autoplay/autorun Windows. Copy script di bawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara: Klik kanan REPAIR.INF –> INSTALL
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
6. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di flash disk. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi ‘Search’. Sebelum melakukan pencarian sebaiknya tampilkan semua file yang tersembunyi dengan mengubah pada setting Folder Options.
Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus. Lalu hapus file induk virus yang mempunyai ciri-ciri:
a. Icon ‘Microsoft Visual Basic Project’.
b. Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang
bervariasi)
c. Ekstesi file ‘.EXE’ atau ‘.SCR’.
d. Type file ‘Application’ atau ‘Screen Saver’.
Kemudian hapus File duplikat shortcut yang mempunyai ciri-ciri:
a. Icon Folder atau icon
b. Ekstensi .LNK
c. Type File ‘Shortcut’
d. Ukuran file 1 KB
Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di flash disk atau folder yang di-share. Sementara untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK).

setelah itu gunakan antivirus yang up to date…agar lebih aman..( emank maling kali pakai kata lebih aman???) hahahay

More about → Cara Membasmi Virus Shortcut