In a few words

Virus Virut

virutHingga pagi sampai siang pekerjaan saya asik-asik saja sampai ada panggilan mendadak :  ‘tolong dong .. komputer saya tidak bisa browsing’.. dan hari itu dalam waktu yg tidak terlalu lama, terjadi beberapa panggilan SOS dengan nada yang sama. (maklum dikantor kami menerapkan asas kekeluargaan yg kuat, satu komputer kena virus, yang lain ngikut)

Tidak bisa browsing artinya bisa konek.. cek setting IP, ping sana sini, semua sdh normal… lalu kenapa ga bisa browsing??  pikiran sudah langsung su’uzon sama virus dan Pencarian panjangpun dimulai ..

adapun hasil karya virus ini antara lain :

1. Mematikan windows firewall

2. Beberapa file aplikasi antivirus tidak bisa diupdate / dijalankan

3. Share folder tidak bisa dilakukan

4. merubah host file (C:\WINDOWS\system32\drivers\etc\host)

5. Menunda waktu makan siang saya

hampir terfikir untuk mengeluarkan jurus terakhir “instal ulang”… tapi ga ada salahnya untuk memanggil ‘mbah sakti’ untuk minta informasi.. maka sesajenpun disiapkan seperangkat laptop sehat, modem dan segelas kopi maka MBAH GOGEL pun dipanggil.. dan dari penilikan si mbah sesuai dengan ciri-ciri dan gejala sakit si komputer jaringan muncullah 1 tersangka kuat .. virus ini bernama Virut (kelakuan seburuk namanya ky hantu jeruk virut)

sekarang waktunya pembasmian

sebetulnya untuk si virut ini belum ada antivirus yg mampu membersihkan secara total,  maksudnya registry, host file yg di rubah virus hrs dilakukan perbaikan manual..  sulit ?? hmm itu tergantung kemauan.

ok.. bisa dimulai ?

1.   pertama matikan system restore.

2.   sedot dulu removalnya di sini      http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe untuk jaga jaga baiknya hasil donlot Norman tersebut extensi atau exe dibelakang titik diganti dengan com atau cmd (biar si virut tidak memblok aplikasi eksekusi si norman ini) lalu scan,  setelah selesai dan induk virus berhasil di deleted sebaiknya restart komputer.

3.   Copy script dibawah ini lalu buka notepad, paste, dan save as dengan nama  “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi        kesalahan). letakkan dimana saja (misal di my documents) klik kanan Repair.inf  klik instal.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Gendong Virut Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1

HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS

HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe

HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall

————————————–

4.   Bila nantinya masih belum bisa terkoneksi dalam jaringan, copy dulu dari komputer      yang belum terinfeksi –> file “ndis.sys” (179 kb) dan “TCPIP.SYS” (351 kb), File      tersebut berada pada C:\WINDOWS\system32\driver lalu paste di komputer yang      terkena virus pada alamat yang sama. Bila ada konfirmasi replace pilih yes.

5.   copy juga file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi cari       di C:\WINDOWS\system32\driver\etc. (biasanya file host yg sedah terinfeksi    berukuran 22 kb) setelah itu replace pada alamat yg sama dikomputer yg bervirus.       atau bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert” ambil di      http://www.funkytoad.com/download/HostsXpert.zip Setelah berhasil di download, jalankan tools tersebut dan klik tombol Restore MS Host file dan agar tidak dirubah kembali oleh virus klik juga tombol Make Read Only?

Kemudian untuk baiknya agar tidak terulang, instal atau ganti antivirus anda dengan antivirus yang ter-update dan dapat mendeteksi serta membasmi virus ini dengan baik, saya sendiri menggunakan Avira Premium Security bisa anda cari di google (versi ini adalah versi berbayar) namun pada percobaan di komputer lain, setelah selesai pembersihan saya coba juga instal avira 9 yang versi free alias gratis boleh donlot di http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html, hasilnya ternyata asalkan  telah update terbaru (Oktober 2009) dengan mudah dapat membersihkan sisa sisa kejayaan si hantu virut ini.

segitu aja …

Oi..  hampir lupa cara ini saya lakukan pada OS Windows XP (untuk vista mungkin bisa juga tapi saya belum pernah coba) untuk referensi tentang virus virut ini anda boleh gogling juga ke http://vaksin.com/2009/0909/virut/virut.htm

Salam…

Semoga bermanfaat

5 responses

  1. Boleh koment sekalian untuk masukkan …

    Oktober 13, 2009 pukul 2:35 am

  2. ronny

    creative + cool.
    hope you can help me to find & clean another virus.
    thanks

    Oktober 13, 2009 pukul 3:37 am

  3. ITmaksier

    Sip Gan… thanks .. very helpfull

    Oktober 15, 2009 pukul 3:23 am

  4. eMptySoul

    It,s WORK…. Thanks … Great Post

    Oktober 15, 2009 pukul 3:24 am

  5. Ping-balik: Virus Sality « Zank is Me..

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s