Virus Name : w32.Gavgent.

B
CRC32 : F7FE9AAA
Jenis : WORM
Ukuran File : 96kb
Untuk pertama kalinya di dunia cyber indonesia, dipusingkan lagi dengan virus gavgent. Virus ini menendang user ketika
user melakukan login ingin masuk ke Windows. Kiblatnya tetap sama yaitu brontok, yang melakukan pengiriman mass
email besar2an melalui SMTP. Dan tetep mengunci registry juga.
CIRI - CIRI VIRUS
Ciri - ciri virus tersebut yaitu:
1. Seluruh folder anda ada file 'data namadirektori.scr' , maksudnya misalnya anda mempunyai folder bernama lynda,
otomatis di dalam folder lynda akan ada file virus bernama 'data lynda.scr' (tanpa tanda petik). Dan file scr tersebut
mempunyai icon berwarna kuning dan berukuran 96kb.
2. Anda tidak dapat masuk ke WindowsXP, pasalnya (halah...apa coba),...pasalnya si virus ini selalu menendang kita
ketika kita melakukan login ke windows. perumpamaannya seperti ketika anda ingin masuk ke rumah pacar anda, tetapi
di depan pintu rumah ada mertua galak, yang selalu menendang orang yang ingin masuk ke rumah. Nah otomatis ketika
anda ingin masuk ke rumah pacar anda gak bisa kan....yaitu karena ditendang keluar oleh mertua galak tadi. Sama
seperti virus ini, selalu menendang user yang akan melakukan login.
3. Yang jelas komputer anda lambat karena dipenuhi oleh data scr tersebut.
FILE INDUK
File induk virus berada di dua direktori:
1. File IDTemplate.exe ada di direktori
%s\Documents and Settings\user\Local Settings\Application Data\
%s adalah direktori dimana windows terinstall
2. CVT.exe ada di direktori:
%s\Windows\PIF\
%s adalah direktori dimana windows terinstall
3. Empty.pif ada di direktori
%s\Documments and Settings\user\Local Settings\Application Data
%s adalah direktori dimana windows terinstall

MANIPULASI REGISTRY
Virus ini menulisi registry windows di alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SystemGent, "C:\Windows\PIF\CVT.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, IDTemplates, "D:\Documents and
Settings\user\Local Settings\Application Data\IDTemplate.exe"
HKLMSoftware\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden
PENANGGULANGAN
1. Cari CD Bootable Windows XP
2. Booting memakai Bootable Windows Xp
3. Pilih Repair in console, dengan menekan tombol 'R' di keyboard.
4. Jika sudah masuk ke console pilih direktori di mana windows terinstall, misalnya anda menginstall 2 system operasi
yaitu win 2000 di drive c: dan win xp di drive d:, maka tampilan console ketika sudah masuk adalah :
1:c:\windows (win 2000)
2:d:\Windows (win xp)
pilih angkanya, yaitu '2'
5. Masukkan password user Administrator, jika tidak ada password tekan enter saja.
6. masuk ke direktori C:\Windows\System32, kemudian cari file utama vb yaitu msvbvm60.dll
7. Ganti nama file tersebut, misalnya menjadi msvb60x.old perintahnya:
ren [spasi] msvbvm60.dll [spasi] msvb60x.old
8. Restart dengan mengetikkan 'exit' (tanpa tanda petik), kemudian tekan enter. Nah anda akan bisa login sekarang
karena file msvbvm60.dll tersebut diperlukan si virus untuk menjalankan aksinya.
Jika belum bisa masuk maka anda harus merepair windows anda (BUKAN MENGINSTALL ULANG YAH):
1. Booting dengan WinXP bootable.
2. Pilih Install Windows dan tekan f8 untuk agree
3. PILIH REPAIR WINDOWS, Jadi jangan melakukan penginstalan ulang
4. Tunggu sebentar tinggal next - next - next ajah...
5. lakukan langkah di atas sebelum masuk windows (hal ini penting untuk mencegah virus bekerja sebelum booting
windows)
MENGHAPUS FILE VIRUS
1. Donlot showkill process dan WAV 2005 di www.virologi.info/download
2. Kill process dengan nama:
IDTemplate.exe
CVT.exe
Smss.exe
Csrss.exe
Svchost.exe
Winlogon.exe
Empty.pif
3. Jalankan WAV 2005 dengan update terbaru, kalau belum update ya diupdate dulu do di
www.virologi.info/download/signatures.db
4. Cek file virus yang ada di tiap tiap folder, terutama di folder C:\windows dan C:\Documents and Settings\
5. Hapus semua registry yang ada di alamat berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SystemGent, "C:\Windows\PIF\CVT.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, IDTemplates, "D:\Documents and
Settings\user\Local Settings\Application Data\IDTemplate.exe"
HKLMSoftware\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden
6. Buka msconfig dengan klik start -> run-> ketik msconfig tanpa tanda petik kemudian tekan enter.
7. Hilangkan tanda centang pada nilai
Empty = %s\Documents and Settings\%u\Documments and Settings\user\Local Settings\Application Data\Empty.pif
%s adalah drive di mana windows terinstall
%u adlaha nama user
8. Untuk lebih yakin, cari file dengan ukuran 96 kb dengan ekstensi .scr dan mempunyai folder direktori berwarna kuning.
Kemudian hapus
10. Hapus file induk dengan nama
IDTemplate.exe ada di direktori
%s\Documents and Settings\user\Local Settings\Application Data\
%s adalah direktori dimana windows terinstall
CVT.exe ada di direktori:
%s\Windows\PIF\
%s adalah direktori dimana windows terinstall
Empty.pif ada di direktori
%s\Documments and Settings\user\Local Settings\Application Data
%s adalah direktori dimana windows terinstall
atau pindahkan ke direktori lain kemudian hapus