Virus Virut
Hingga pagi sampai siang pekerjaan saya asik-asik saja sampai ada panggilan mendadak : ‘tolong dong .. komputer saya tidak bisa browsing’.. dan hari itu dalam waktu yg tidak terlalu lama, terjadi beberapa panggilan SOS dengan nada yang sama. (maklum dikantor kami menerapkan asas kekeluargaan yg kuat, satu komputer kena virus, yang lain ngikut)
Tidak bisa browsing artinya bisa konek.. cek setting IP, ping sana sini, semua sdh normal… lalu kenapa ga bisa browsing?? pikiran sudah langsung su’uzon sama virus dan Pencarian panjangpun dimulai ..
adapun hasil karya virus ini antara lain :
1. Mematikan windows firewall
2. Beberapa file aplikasi antivirus tidak bisa diupdate / dijalankan
3. Share folder tidak bisa dilakukan
4. merubah host file (C:\WINDOWS\system32\drivers\etc\host)
5. Menunda waktu makan siang saya
hampir terfikir untuk mengeluarkan jurus terakhir “instal ulang”… tapi ga ada salahnya untuk memanggil ‘mbah sakti’ untuk minta informasi.. maka sesajenpun disiapkan seperangkat laptop sehat, modem dan segelas kopi maka MBAH GOGEL pun dipanggil.. dan dari penilikan si mbah sesuai dengan ciri-ciri dan gejala sakit si komputer jaringan muncullah 1 tersangka kuat .. virus ini bernama Virut (kelakuan seburuk namanya ky hantu jeruk virut)
sekarang waktunya pembasmian
sebetulnya untuk si virut ini belum ada antivirus yg mampu membersihkan secara total, maksudnya registry, host file yg di rubah virus hrs dilakukan perbaikan manual.. sulit ?? hmm itu tergantung kemauan.
ok.. bisa dimulai ?
1. pertama matikan system restore.
2. sedot dulu removalnya di sini http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe untuk jaga jaga baiknya hasil donlot Norman tersebut extensi atau exe dibelakang titik diganti dengan com atau cmd (biar si virut tidak memblok aplikasi eksekusi si norman ini) lalu scan, setelah selesai dan induk virus berhasil di deleted sebaiknya restart komputer.
3. Copy script dibawah ini lalu buka notepad, paste, dan save as dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). letakkan dimana saja (misal di my documents) klik kanan Repair.inf klik instal.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
————————————–
4. Bila nantinya masih belum bisa terkoneksi dalam jaringan, copy dulu dari komputer yang belum terinfeksi –> file “ndis.sys” (179 kb) dan “TCPIP.SYS” (351 kb), File tersebut berada pada C:\WINDOWS\system32\driver lalu paste di komputer yang terkena virus pada alamat yang sama. Bila ada konfirmasi replace pilih yes.
5. copy juga file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi cari di C:\WINDOWS\system32\driver\etc. (biasanya file host yg sedah terinfeksi berukuran 22 kb) setelah itu replace pada alamat yg sama dikomputer yg bervirus. atau bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert” ambil di http://www.funkytoad.com/download/HostsXpert.zip Setelah berhasil di download, jalankan tools tersebut dan klik tombol Restore MS Host file dan agar tidak dirubah kembali oleh virus klik juga tombol Make Read Only?
Kemudian untuk baiknya agar tidak terulang, instal atau ganti antivirus anda dengan antivirus yang ter-update dan dapat mendeteksi serta membasmi virus ini dengan baik, saya sendiri menggunakan Avira Premium Security bisa anda cari di google (versi ini adalah versi berbayar) namun pada percobaan di komputer lain, setelah selesai pembersihan saya coba juga instal avira 9 yang versi free alias gratis boleh donlot di http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html, hasilnya ternyata asalkan telah update terbaru (Oktober 2009) dengan mudah dapat membersihkan sisa sisa kejayaan si hantu virut ini.
segitu aja …
Oi.. hampir lupa cara ini saya lakukan pada OS Windows XP (untuk vista mungkin bisa juga tapi saya belum pernah coba) untuk referensi tentang virus virut ini anda boleh gogling juga ke http://vaksin.com/2009/0909/virut/virut.htm
Salam…
Semoga bermanfaat
Boleh koment sekalian untuk masukkan …
Oktober 13, 2009 pukul 2:35 am
creative + cool.
hope you can help me to find & clean another virus.
thanks
Oktober 13, 2009 pukul 3:37 am
Sip Gan… thanks .. very helpfull
Oktober 15, 2009 pukul 3:23 am
It,s WORK…. Thanks … Great Post
Oktober 15, 2009 pukul 3:24 am
Ping-balik: Virus Sality « Zank is Me..