Tips & Trik 6 Langkah Membersihkan Varian Virus 'Perawan' Dewi Widya Ningrum - detikinet Jakarta - Virus Sang

Perawan alias Dinda Dewi menyebar dengan menginjeksi file gambar JPG. Virus ini menyebabkan komputer yang terinfeksi menjadi berat. Sang Perawan sudah menelurkan 2 varian. Varian pertama dikenali sebagai W32/Dewi.161081A, sedangkan varian keduanya dikenali sebagai VBTroj.GZH. Berikut langkah-langkah membersihkan varian virus Sang Perawan, dari keterangan tertulis yang diterima detikINET, Jumat (22/2/2008). 1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan. 2. Disable "System Restore" selama proses pembersihan. 3. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus, Anda dapat menggunakan tools "Process Explorer", yang dapat didownload di sini. Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG):

Startup.exe Svchost.exe Spoolsv.exe

4. Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

Klik kanan REPAIR.INF Klik Install

[Version] Signature="$Chicago$" Provider=Vaksincom

[DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1 [del] HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp 5. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

Menggunakan icon JPEG Image (JPG) Ukuran file 301 KB atau 96 (tergantung varian) Type File "Application"

Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi "Search". Caranya:

Klik "Start" menu Klik "Search" Klik "for files or folders" Pada layar "Search Results" klik "All files and Folders" Pada kolom "All or part of the file name" isi dengan *.EXE Pada kolom Look in, pastikan sudah di-set ke fix drive hard Disk Anda Klik "What Size is it?" - Pilih opsi Specify size (in KB) - Isi At Most - Isi 302

Lalu klik "Search"

Jika ditemukan, hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas. 6. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus, Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut per file karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan. Silahkan download tools Hex Editor di sini. Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut:

Klik menu "File" Klik "Open" Kemudian pilih salah satu file JPG yang akan di perbaiki Blok Script yang dimulai dari baris 00000000 00027530

Setelah script tersebut diblok, klik kanan dan pilih "CUT" Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF ().