Cara Mengatasi Virus Winsta.

exe
By admin at 6 August, 2010, 8:53 pm

Pada awal bulan juli 2010, muncul virus yang menyerang file winsta.exe atau Stuxnet pada
direktori c:windowssystem32, akibat dari serangan virus winsta ini kapasitas drive c menjadi
penuh.

Berikut cara mengatasi virus winsta.exe :

1. Menggunakan Dr Web CureIt

korban Winsta alias Stuxnet itu untuk mengunduh piranti lunak penghapus virus. Removal Tools
winsta.exe bernama Dr.Web CureIt itu bisa diunduh dari situs FreeDrWeb.com

2. Perbaiki Registri

perbaikan pada regitri Windows yang sudah dimodifikasi oleh virus winsta. Caranya, pertama-
tama, salin script di bawah ini ke file Wordpad.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced,
ShowSuperHidden,0×00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced,
SuperHidden,0×00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced,
HideFileExt,0×00010001,0
HKLM, SOFTWARECLASSESbatfileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWARECLASSEScomfileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWARECLASSESexefileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWARECLASSESpiffileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWARECLASSESregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”

[del]
HKLM, SYSTEMCurrentControlSetServicesMRxCls
HKLM, SYSTEMCurrentControlSetServicesMRxNet
HKLM, SYSTEMControlSet001ServicesMRxCls
HKLM, SYSTEMControlSet002ServicesMRxNet
HKLM, SYSTEMCurrentControlSetServicesEnumRootLEGACY_MRXClS
HKLM, SYSTEMCurrentControlSetServicesEnumRootLEGACY_MRXNET
HKLM, SYSTEMControlSet001ServicesEnumRootLEGACY_MRXClS
HKLM, SYSTEMControlSet002ServicesEnumRootLEGACY_MRXNET

Kemudian, simpan file dengan nama ‘repair.inf’. Gunakan pilihan Save as type menjadi Text
Document agar tidak terjadi kesalahan. Lalu, klik kanan file ‘repair.inf’, pilih ‘Install’ dan restart
komputer.

“Bersihkan temporary file, hal ini agar dapat mencegah sisa trojan yang mencoba aktif kembali.
Gunakan tools seperti ATF Cleaner atau gunakan fitur Windows yaitu Disk Clean-Up,” tulis
Adi.

3. Solusi Darurat

Selain itu, berikut adalah script darurat yang bisa digunakan untuk mencegah agar Winsta tidak
kembali menginfeksi. Simpan script berikut dengan nama Winsta.bat (tipe file: Text)

@echo off
del /f c:windowssystem32winsta.exe
rem rd c:windowssystem32winsta.exe
md c:windowssystem32winsta.exe
del /f c:windowssystem32driversmrxnet.sys
rem rd c:windowssystem32driversmrxnet.sys
md c:windowssystem32driversmrxnet.sys
del /f c:windowssystem32driversmrxcls.sys
rem rd c:windowssystem32driversmrxcls.sys
md c:windowssystem32driversmrxcls.sys
attrib +r +h +s c:windowssystem32winsta.exe
attrib +r +h +s c:windowssystem32driversmrxnet.sys
attrib +r +h +s c:windowssystem32driversmrxnet.sys

Semoga cara tersebut bisa membantu membersihkan virus winsta

Please contact  Microsoft for this issue-Symantec

Try this batch file, I have stopped winsta.exe through this batch file.
 

 
@echo off
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\winsta.exe
Winsta.exe nongkrong di C:\Windows\System32. Kalo gw liat, dia barengan ama winsta.dll (tapi bukan
ini yang bermasalah).
Winsta.exe bakal ngabisin size yg tersisa di drive C(atau drive yang ada windowsnya) CMIIW

Ada 2 cara buat ngehapusnya, itupun tergantung seberapa besar sisa hardisk kita. Yang pasti gw selalu
nyiapin ini dulu sebelum melakukan pembasmian :

1. Download PCMAV terbaru(kalo bisa di combine ama clamav)

2. AV yang dah ada ini kompie harus di update dulu(gw pake avira free)
3. Matiin System Restore nya gan...jangan lupa ya.

Cara #1
Harddisk masih ada sisa (disini itungannya dalam mb)
Langsung aja kita masuk ke C:\Windows\System32 cari Winsta.exe terus delete permanen (shift+del)
Abis itu scan pake PCMAV+Avira(optional, bisa aja KAV, NAV dll)

Cara #2
Harddisk tidak bersisa sama sekali
Restart windows terus masuk ke safemode(jangan lupa matiin system restorenya)
Abis itu cari Winsta.exe di C:\Windows\System32
Delete permanen file winsta.exe (shift+del)
Abis itu scan pake PCMAV+AV

Selama ini sih, yang ke detect ama PCMAV di kompie yang terinfeksi winsta "hanya" conficker. Gak tau
ada hubungannya atau enggak, tapi sampai hari ini sang winsta.exe tidak kembali lagi.

Pakai taskmanager tidak keliatan process yang sedang jalan dan makan resource.
Pakai ProcessExplorer jugak tidak nampak aplikasi yang sedang pakai resource tinggi.
Trus pakai Process Monitor, untuk memonitor aktivitas registry, aktivitas file, dan aktivitas aplikasi.

Ternyata ada satu proses spoolsv.exe yang terus-terusan mengupdate file

c:\windows\system32\winsta.exe

File winsta.exe tidak dapat dihapus dengan windows exoplorer maupun comman prompt. File tersebut
bisa dihapus setelah proses spoolsv.exe di "kill"

Sampai saat ini, belum muncul lagi file winsta.exe tersebut.

Belum bisa juga mensimulasikan lagi, kenapa bisa sampai terjadi.

Update ditunggu.
sama gan, compie ane juga kena ama winsta.exe yang gede itu per 1juli kemarin, disini kita akalin
winsta.exe yg gede itu ane delete terus buat file winsta.exe dan di readonly gan (kalau winsta.exenya ga
ada pasti akan muncul lagi). sama symantex/microsoft di kenalnya virus stuxnet tapi masalahnya
registrynya ga mau ilang tuh yang pasti akan muncul lagi jika file winsta.exe tidak ada di folder
c:\windows\system32 makanya ane buat file boongan winsta.exe di readonly.

buat bat file

@echo off
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\winsta.exe
terus save, lalu jalankan