Virus MaxTrox (Maximum Troxer) yang dideteksi sebagai W32/Dloader.HFZC, mengubah wallpaper desktop di komputer menjadi gambar MaxTrox. Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember.
Untuk membersihkan virus MaxTrox, ikuti langkah-langkah berikut ini:
1. Sebaiknya lakukan pembersihan pada mode Safe Mode.
2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager yang dapat didownload di: http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html.
Lakukan kill process, pada file virus yang aktif yaitu:
* C:Documents and Settings%user%Application DataMicrosoft%dsh%.exe (nama virus random/acak, semisal aizw.exe, scnp.exe, dll).
3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini:
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWAREClassesbatfileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWAREClassescomfileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWAREClassesexefileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWAREClassespiffileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWAREClassesregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SOFTWAREClassesscrfileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMControlSet002ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMControlSet003ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, “cmd.exe”
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, ShowSuperHidden, 0×00010001,1
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden, CheckedValue, 0×00010001,0
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden, DefaultValue, 0×00010001,0
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderShowFullPath, DefaultValue, 0×00010001,0
[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWAREClassesexefile, NeverShowExt
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, VisualStyle
HKCU, Control PanelDesktop, SCRNSAVE.EXE
* Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
* Jalankan repair.inf dengan klik kanan, kemudian pilih install.
* Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.
4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :
* Icon “WinRAR”
* Ekstensi *.exe, *.scr, *.msd, *.sysm
* Ukuran 77 KB
Catatan:
* Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
* Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
* Hapus file virus yang biasanya mempunyai date modified yang sama.
5. Hapus file duplikasi virus pada folder C:Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus).
6. Ubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat, misalnya Extention Renamer.
7. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang ter-update dan dapat mengenali virus tersebut untuk mempermudah penghapusan virus.
Sumber :http://www.detikinet.com/read/2008/08/22/180209/992858/510/7-langkah-membantai-virus-maxtrox
Recent Comments