6 Langkah Membersihkan Varian Virus ‘Perawan’

Oleh: Dewi Widya Ningrum – detikinet

JakartaVirus Sang Perawan alias Dinda Dewi menyebar dengan menginjeksi file gambar JPG. Virus ini menyebabkan komputer yang terinfeksi menjadi berat.

Sang Perawan sudah menelurkan 2 varian. Varian pertama dikenali sebagai W32/Dewi.161081A, sedangkan varian keduanya dikenali sebagai VBTroj.GZH. Berikut langkah-langkah membersihkan varian virus Sang Perawan, dari keterangan tertulis yang diterima detikINET, Jumat (22/2/2008).

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable “System Restore” selama proses pembersihan.
3. Matikan proses virus yang aktif di memori.

Untuk mematikan proses virus, Anda dapat menggunakan tools “Process Explorer”, yang dapat di-download di sini.

bebas bayar, pembayaran mudah dan cepat, transaksi online, pembayaran tagihan dan tiket, transfer dana online
Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG):

  • Startup.exe
  • Svchost.exe
  • Spoolsv.exe

perawan14. Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

  • Klik kanan REPAIR.INF
  • Klik Install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

5. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)
  • Ukuran file 301 KB atau 96 (tergantung varian)
  • Type File “Application”

Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi “Search”. Caranya:

  • Klik “Start” menu
  • Klik “Search”
  • Klik “for files or folders”
  • Pada layar “Search Results” klik “All files and Folders”
  • Pada kolom “All or part of the file name” isi dengan *.EXE
  • Pada kolom Look in, pastikan sudah di-set ke fix drive hard Disk Anda
  • Klik “What Size is it?”

– Pilih opsi “Specify size (in KB)
– Isi At Most
– Isi 302

  • Lalu klik “Search”

Jika ditemukan, hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas.

6. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus, Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut per file karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan.

Silahkan download tools Hex Editor di sini.

Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut:

  • Klik menu “File”
  • Klik “Open”
  • Kemudian pilih salah satu file JPG yang akan di perbaiki
  • Blok Script yang dimulai dari baris 00000000 – 00027530

perawan2

  • Setelah script tersebut diblok, klik kanan dan pilih “CUT”
  • Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ÿ).

perawan3

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s