Virus MaxTrox (Maximum Troxer) yang dideteksi sebagai W32/Dloader.HFZC, mengubah wallpaper desktop di komputer menjadi gambar MaxTrox. Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember.
Untuk membersihkan virus MaxTrox, ikuti langkah-langkah berikut ini:
1. Sebaiknya lakukan pembersihan pada mode Safe Mode.
2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager yang dapat didownload di: http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html.
Lakukan kill process, pada file virus yang aktif yaitu:
• C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe (nama virus random/acak, semisal aizw.exe, scnp.exe, dll).
3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini:
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0
[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE
• Gunakan notepad, kemudian simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
• Jalankan repair.inf dengan klik kanan, kemudian pilih install.
• Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :
• Icon "WinRAR"
• Ekstensi *.exe, *.scr, *.msd, *.sysm
• Ukuran 77 KB
Catatan:
• Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
• Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
• Hapus file virus yang biasanya mempunyai date modified yang sama.
5. Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus).
6. Ubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat, misalnya Extention Renamer.
7. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang ter-update dan dapat mengenali virus tersebut untuk mempermudah penghapusan virus.
Sumber : http://www.detikinet.com/
Wed Aug 27, 2008 10:25 am
