Scribd Logo
Unggah

Selamat datang di Scribd!

  • Manual Pembersihan VBS Cantix

    Diunggah oleh

    Neru Al Farisi
    48 tayangan6 halaman

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    48 tayangan6 halaman

    Manual Pembersihan VBS Cantix

    Diunggah oleh

    Neru Al Farisi

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 6

    Manual pemberihan VBS/Cantix 1. Putuskan komputer yang akan di bersihkan dari koneksi internet dan intranet 2.

    Nonaktifkan System Restore selama proses pembersihan 3. Matikan proses dengan nama WSCRIPT.EXE yang aktif di memory. Untuk memudahkan dalam mematikan proses tersebut, Anda dapat menggunakan tools Process Explorer, silahkan download tools tersebut di website (lihat gambar 18) http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

    Gambar 18, Mematikan proses virus dengan Process Explorer

    4. Fix Registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses penghapusan,
    silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara: a. Klik REPAIR.INF b. Klik INSTALL Berikut script yang harus di copy [Version] Signature="$Chicago$" Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255 HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00 010001,1 HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x000100 01,1 HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

    HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

    [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Df5serv HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Svchost HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, WarningIfNotDefault HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder HKCU, Software\Microsoft\Internet Explorer\Main,Start Page

    5. Gunakan fitur Software Restriction Policies untuk restrict/blok agar file induk virus tidak dapat
    dijalankan/dieksekusi. Fitur ini hanya terdapat pada System Operasi Windows XP Professional/Vista/7/2003/2008. Sebelum melakukan penghapusan tampilkan terlebih dahulu semua file yang tersembunyi dengan melakukan perubahan konfigurasi pada Folder Options dengan acara: Buka [Windows Explorer] Klik menu [Tools] Klik [Folder Options] Pada layar [Folder Options], klik tabulasi [View] Pilih opsi Show hidden files and folders Hilangkan tanda checklist pada opsi Hide extensions for known file types dan Hide protected operating system files (Recommended) g. Kemudian klik tombol [Apply] dan [Ok] (lihat gambar 19)

    a. b. c. d. e. f.

    Gambar 19, Menampilkan file yang tersembunyi

    Setelah berhasil menampilkan file/folder yang tersembunyi, kemudian daftarkan file induk virus [dekstop.ini] dengan cara berikut: Klik menu [Start] Klik [Run] Pada dialog box RUN ketik SECPOL.MSC kemudian klik tombol [OK] (lihat gambar 20)

    Gambar 20, RUN Program

    Kemudian akan muncul layar Local Security Settings Klik kanan Software Restriction Policies, klik Create new policies, kemudian akan muncul 2 (dua) menu baru yakni Security Level dan Additional Rules Klik kanan pada Additional Rules, kemudian klik New Hash Rule... (lihat gambar 21)

    Gambar 21, Local Security Settings

    Pada kolom File hash, klik tombol [Browse] kemudian arahkan ke file [dekstop.ini] yang mempunyai ukuran 16 KB. (lihat gambar 22)

    Gambar 22, Menentukan file virus (Dekstop.ini)

    Pada kolom Security level pilih Disallowed Pada kolom Description isi deskripsi dari nama file tersebut (bebas) (lihat gambar 23)

    Gambar 23, Setting Hash Rule

    Klik tombol [Apply] Klik tombol [OK] kemudian restart komputer.

    Catatan: Pada saat user menjalankan salah satu file duplikat (shortcut) maka akan muncul pesan peringatan berikut: (lihat gambar 24)

    Gambar 24, Pesan error saat menjalankan file shortcut

    6. Hapus file induk dan file duplikat yang dibuat oleh virus.
    o Hapus file induk VBS/Cantix C:\WINDOWS\:Microsoft Office Update for Windows XP.sys C:\Documents and Settings\%user%\My Documents\df5srvc.bfe C:\Documents and Settings\%user&\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini C:\WINDOWS\system32\serviks.sys C:\windows\svchost.exe C:\windows\tasks\autorun.inf C:\windows\tasks\dekstop.ini C:\windows\tasks\Folder.lnk C:\windows\system32\auto.exe C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp) Hapus file duplikat yang dibuat oleh VBS/Cantix. Untuk mempercepat proses pencarian, Anda dapat menggunakan fungsi Search Windows (lihat gambar 23) Catatan: Pada kolom [All or part of the file name], isi dekstop.ini,autorun.inf,*.lnk Pada kolom [Look in:], isi lokasi Drive yang akan diperiksa Pada menu [More advanced options], pilih opsi Search system folders Search hidden files and f olders Search subfolders (lihat gambar 25)

    Gambar 25, Mencari file induk dan file duplikat virus

    Jangan sampai terjadi kesalahan pada saat menghapus file yang dibuat oleh VBS/Cantix, hapus file virus yang mempunyai ciri-ciri berikut: Hapus file yang mempunyai nama o Autorun.inf ukuran file 1 KB o Dekstop.ini ukuran file 16 KB (lihat gambar 26)

    Gambar 26, File virus VBS/Cantix

    Hapus file duplikat dengan ciri-ciri o Icon Folder o Ekstensi file adalah LNK o Type file adalah Shortcut o Ukuran file 1 KB

    Gambar 27, File duplikat virus VBS/Cantix

    7. Copy file MSVBVM60.DLL dari komputer lain yang belum terinfeksi dengan OS yang sama,
    kemudian simpan file tersebut ke direktori [C:\Windows\System32]

    8. Untuk pembersihan optimal, instal dan scan dengan menggunakan antivirus yang up-to-date.
    Anda juga dapat menggunakan Norman (http://www.norman.com/support/support_tools/58732/en) atau (http://www.freedrweb.com/cureit/?lng=en) (lihat gambar 28 dan 29) Malware Dr.Web Cleaner CureIT

    Gambar 28, Hasil deteksi Norman Malware Cleaner

    Gambar 29, Hasil deteksi Dr.Web Anti-virus

    Anda mungkin juga menyukai