08 June 2008

Menghapus Virus Hokage

Salah satu ciri virus Hokage dari diduga berasal dari Sampit adalah mengubah icon Flash Disk menjadi icon Winamp. Virus ini sebenarnya masih mudah untuk dibasmi.

Berikut cara membasmi virus Sampit yang juga dikenal dengan VBWorm.Gen16, yang dikutip detikINET dari keterangan resmi Vaksincom, Kamis (10/4/2008):

1. Matikan “System Restore” selama proses pembersihan (jika menggunakan Windows XP)
2. Matikan proses virus (gunakan currprocess).
Setelah menjalankan tools “Currprocess”, pilih file semua file yang mempuyai icon winamp (Rin.exe, Obito.exe, KakashiHatake.exe dan Hokage4.exe).




3. Hapus registri yang dibuat oleh VBWorm.gen16. Untuk mempermudah proses penghapusan, salin script dibawah ini pada program Notepad lalu simpan dengan nama repair.inf. Jalankan file repair..inf dengan cara:
• Klik kanan repair.inf
• Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Naruto
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1?” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1?”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1?” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hokage 4
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kakashi Hatake
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Obito Uchiha
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rin
4. Cari dan hapus file yang sudah dibuat oleh virus. Untuk mempercepat proses pencarian penghapusan, gunakan fitur “Search Windows”. Sebelum melakukan pencarian dan penghapusan file virus, tampilkan terlebih dahulu file yang tersembunyi agar pencarian lebih maksimal. Untuk menampilkan file yang tersembunyi lakukan langkah berkut:
- Buka Windows Explorer
- Klik menu “Tools”, kemudian klik “Folder Options”
- Pada layar “Folder Options”, klik tabulasi “View”
- Pada folder “Hidden files and folders”, hilangkan tanda centang pada opsi “Hide extensions for known file types” dan “Hide protected operating system files (recomended)”
- Klik tombol “Ok”
Untuk mencari dan menghapus file virus, lakukan langkah berikut:
- Klik “Start” menu
- Klik “Search”, kemudian klik “For Files or Folders”
- Setelah muncul layar “Search Result”, klik menu “All files and folders”
- Kemudian pada kolom “All or part of the file name” isi dengan ekstensi *.EXE
- Pada kolom “Look in”, pastikan sudah menuju ke lokasi Drive yang akan diperiksa termasuk ke lokasi Flash Disk.
- Klik menu “What size is it”, kemudian pilih opsi “Specify size (in KB)
• Pilih “at most”
• Isi dengan ukuran “42?
- Klik menu “More Advanced option”, kemudian pilih opsi
• Searh system folders
• Search hidden files and folders
• Search subfolders
- Kemudian klik tombol “Search” untuk memulai proses pencarian
- Hapus file virus disemua drive termasuk flash disk yang mempunyai ciri-ciri: icon winamp, ukuran 42 KB, type file “Application”, ekstensi .EXE
5. Hapus juga file desktop.ini, folder.htt, Autorun.inf dan anbu.txt di flash disk.
6. Untuk pembersihan maksimal dan mencegah infeksi ulang, scan dengan anti virus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
7. Untuk mencegah agar virus tidak otomatis aktif pada saat akses ke suatu drive sebaiknya Anda matikan fungsi autoplay.
8. Untuk antisipasi agar virus ini tidak kembali menginfeksi komputer anda selain dengan menginstall antivirus yang up-to-date, juga dapat membuat script sederhana untuk mematikan proses virus ini jika berusaha aktif di memori caranya, salin script dibawah ini pada program notepad kemudian simpan dengan nama RemoveHokage.reg. Kemudian jalankan file tersebut (klik 2x), klik “Yes” jika terdapat konfirmasi untuk menambahkan registri tersebut.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe]
“Debugger”=”cmd.exe /c del”

No comments: