9 Langkah Mengusir Pengeksploitasi Google
9 Langkah Mengusir Pengeksploitasi Google
Ilustrasi (Ist.)
<a href='http://openx.detik.com/delivery/ck.php?
n=ad79472d&cb=INSERT_RANDOM_NUMBER_HERE' target='_blank'><img
src='http://openx.detik.com/delivery/avw.php?
zoneid=45&cb=INSERT_RANDOM_NUMBER_HERE&n=ad79472d' border='0'
alt='' /></a>
Jakarta - Sudah tak terhitung sudah berapa banyak virus yang dihasilkan sepanjang bulan
November-Desember 2009. Rata-rata mempunyai daya sebar yang sangat cepat dan cukup
merepotkan.
Virus W32/Smalltroj. VPCG menjadi salah satu program jahat yang wara-wiri di akhir tahun ini.
Virus ini akan memblok akses ke beberapa website sekuriti dan website lain yang telah
ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik
Google.
Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website
security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website
www.google.com.
4. Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD. Hal ini
disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan driver sulit untuk
dihentikan. Silahkan download software tersebut di alamat http://soft-
rapidshare.com/2009/11/10/minipe-xt-v2k50903.html
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah
itu hapus beberapa file iduk virus dengan cara:
o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh:
rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh:
mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf
5. Hapus registri yang dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image
File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai
ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
6. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut
pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan
cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
CheckedValue,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner.
Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe.
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan
tools Hoster, silahkan download di alamat berikut
http://www.softpedia.com/progDownload/Hoster-Download-27041.html
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-
date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware
Cleaner, silahkan download di alamat berikut
http://www.norman.com/support/support_tools/58732/en.