Cara Menghapus Virus pendekar blank

Menghapus Virus Pendekar Blank tanpa antivirus

Oleh Suharyadi

Published: Oktober 9, 2007

Print

Oleh : Suharyadi a.k.a YaDoY666

Hallo, jumpa lagi dengan saya Suharyadi a.k.a YaDoY666. Pada kesempatan kali ini saya akan mencoba membahas virus Pendekar Blank, sebuah virus local yang mempunyai misi untuk

" Memberantas virus-virus local yang beredar di Indonesia

" Mencoba mengamankan komputer anda dari serangan virus-virus local

" Mencoba untuk menghalangi anda untuk melakukan sesuatu yang tidak perlu dilakukan pada komputer anda

Semua misi virus ini dapat anda lihat pada File (Read Me)Pendekar Blank.txt yang terletak pada drive C:\ pada komputer yang telah terinfeksi virus ini. Kurang lebih screen shoot file (Read Me)Pendekar Blank.txt seperti terlihat pada gambar berikut



Gambar file (Read Me)Pendekar Blank.txt

Sebenarnya virus ini sudah cukup lawas dan sudah banyak antivirus local yang dapat mendeteksi keberadaan virus ini di dalam komputer. Namun banyak teman-teman yang saya jumpai pada forum-forum komputer masih melaporkan bahwa komputernya telah terserang virus ini. oleh Karena itu pada kesempatan kali ini saya mencoba untuk membatu teman-teman semua membasmi virus ini dengan cara manual. Tolls yang saya pergunakan adalah Proclister dapat di download di http://www.geocities.com/yadoy666/download Okeh mari kita mulai membasmi virus ini.

Pertama kali dieksekusi virus ini akan membuat sebuah folder dengan nama duplikat virus itu sendiri. Misalnya virus tersebut telah menyebar ke flashdisk anda dengan nama yadoy.exe, maka pada saat virus itu dieksekusi dengan segera ia akan membuat folder dengan nama yadoy dengan attribute super hidden ( +S +H) dan akan membuka folder tersebut. Langkah ini dilakukan virus tersebut dengan maksud membuat user tidak sadar bahwa yang dieksekusi bukanlah virus tetapi merupakan sebuah folder kosong. Ini merupakan cara yang cerdik untuk mengelabuhi user.

Selanjutnya virus ini akan menggandakan dirinya di

" c:\aut0exec.bat

" c:\windows\system32\dllcache\Regedit32.com

" c:\windows\system32\dllcache\Shell32.com

" c:\windows\system32\dllcache\rund1132.exe

" c:\windows\system32\dllchache.exe

" c:\windows\system32\M5VBVM60.exe

" c:\(Read Me)Pendekar Blank.txt

" c:\windows\system32\dllchache\blank.doc

" c:\windows\system32\dllchache\empty.jpg

" c:\windows\system32\dllchache\hole.zip

" c:\windows\system32\dllchache\msvbvm60.dll

" c:\windows\system32\dllchache\unoccupied.reg

" c:\windows\system32\dllchache\zero.txt

" c:\windows\system32.exe

virus ini juga akan mengacak-acak registry windows. Registry yang diacak-acak adalah

" HKCU\Software\Microsoft\Windows\CurrentVersion\run ==> Secure32

" HKCU\Software\Microsoft\Windows\CurrentVersion\run ==> Secure64

" HKLM\Software\Microsoft\Windows\CurrentVersion\Run ==> Blank Antiviri

" HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ==> userinit

" HKCR\comfile\shell\open\command ==> c:\windows\system32\run1123.exe

" HKLM\System\Currentcontrolset\control\safeboot ==> AlternateShell

" HKLM\System\Controlset001\control\safeboot ==> AlternateShell

Virus ini juga akan menyembunyikan semua isi flash disk dengan cara merubah attribute semua file menjadi super hidden dan mengkopikan dirinya ke flash disk dengan menggunakan nama-nama folder yang ada pada flash disk. Virus ini mempunyai ke unikan bila dibandingkan virus-virus local yang lain. Bisaanya virus-virus local akan memblokir akses Registry, Command Prompt, Msconfig dan Task Manager, tetapi virus ini beda.

Pada komputer yang telah terserang virus ini akses ke akses Registry, Command Prompt, Msconfig dan Task Manager tidak diblok, user tetap bisa membuka akses Registry, Command Prompt, Msconfig dan Task Manager. Saya tidak mengetahui apa maksud dari sang Virus Maker mengapa ia tidak memblok aplikasi-aplikasi tersebut, padahal aplikasi-aplikasi bawaan windows tersebut dapat dipergunakan untuk membasmi keberadaan virus tersebut. Kalau menurut pendapat saya alasan mengapa sang virus maker tidak memblok aplikasi-aplikasi tersebut adalah agar user tidak sadar bahwa komputernya telah terjangkit virus. Tapi motif yang sebenarnya hanya sang Virus Maker dan Tuhan lah yang tahu jawabannya. ;P

Lalu kita lanjutkan pada sesi pembasmian virus ini. Yang pertama kita lakukan adalah menghentikan proses virus yang berjalan pada memori. Tolls yang kita pergunakan adalah Proclister. Mungkin anda bertanya mengapa saya tidak menggunakan taskmanager bawaan windows saja, kan taskmanager tidak diblok oleh virus ini. Jawabannya adalah, prosses virus yang berjalan pada memori adalah blank.doc, empty.jpg, hole.zip, unoccupied.reg, zero.txt. Kesemua proses virus di memory tersebut akan salang mengecaek dan melindungi.

Apabila salah satu proses virus dimemory tersebut kita matikan maka proses virus yang lain akan berusahaa untuk menjalankannya kembali. Apabila kita menggunakan taskmanager kita tidak bisa mematikan semua proses virus, tetapi kita hanya dapat mematikan satu proses viru saja. Dengan menggunakan proclister kita dapat mematikan keseumua prosses virus di memory.



Proses virus di memory yang tertangkap proclister

Setelah semua proses virus dimemory perhasil dimatikan, langkah selanjutnya adalah menghapus semua duplikat virus di komputer. Duplikat virus ini berada di :

" c:\aut0exec.bat

" c:\windows\system32\dllcache\Regedit32.com

" c:\windows\system32\dllcache\Shell32.com

" c:\windows\system32\dllcache\rund1132.exe

" c:\windows\system32\dllchache.exe

" c:\windows\system32\M5VBVM60.exe

" c:\(Read Me)Pendekar Blank.txt

" c:\windows\system32\dllchache\blank.doc

" c:\windows\system32\dllchache\empty.jpg

" c:\windows\system32\dllchache\hole.zip

" c:\windows\system32\dllchache\msvbvm60.dll

" c:\windows\system32\dllchache\unoccupied.reg

" c:\windows\system32\dllchache\zero.txt

" c:\windows\system32.exe

untuk menghapus duplikat virus ini anda harus men set folder option agar menampilkan semua file yang dihidden dan menampilkan semua system file. Langkah ini harus dilakukan agar file duplikat virus yang terletak di c:\windows\system32\dllchache dapat terlihat, karena folder dllchache di set supper hidden oleh sang virus. Apabila anda tidak menset folder option seperti diatas maka folder dllchache tidak akan terlihat. Untuk menampilkan semua file anda yang dihidden pada flashdisk buka Command Prompt, masuk ke dalam drive flashdisk anda dan ketikan perintah attrib -s -h /s /d

Setelah menghapus semua duplikat virus langkah selanjutnya adalah membersihkan registry yang telah di acak-acak oleh sang virus. Untuk mudahnya silahkan kopi-paste script berikut ke notepad

=====================================[ Start Here]======================================

[Version]

Signature="$Chicago$"

Provider=yadoy666

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCR, comfile\shell\open\command,,,"""%1"" %*"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit.,0, "userinit.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure32

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure64

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Blank Antiviri

=======================================[Stop Here]=====================================

Simpan dengan nama "yadoy.inf" (tanpa tanda petik). Klik kanan pada file "yadoy.inf" lalu pilih install. Kemudian restart komputer anda. Maka komputer anda pun telah bersih dari pengaruh virus Pendekar Blank.

Greetz:

Pushm0v, DNA[Extr!M], Martincornellis, Mas_agung, X-Sari, Kurt_kabayan, Pak Indraya, Tom Gregory, Ale_Ardho, all my friends in Informatika Perbanas specially TI 2004 and all member of YogyaFree [specialy YF-Jakarta], Echo, Jasakom, Jambihackerlink.



Sumber

Cara Menghapus Virus PServerMouse (Win2K/XP)

• Klik Start
• Pilih Run
• Ketik msconfig, lalu enter
• Pilih Startup (kiri atas)
• Uncheck PServerMouse Option
• Restart PC
• Masuk ke Safe Mode
• Masuk ke Windows Explorer. Klik C:/Directory
• Hapus Icon PServerMouse (biasanya tanpa ada icon) dan autorun
• Restart PC
• Masuk ke Windows
• Klik Start
• Pilih Run
• Ketik Regedit untuk masuk ke registry windows
• Lakukan Find File (PServerMouse) kemudian hapus registry yang mengandung PServerMouse
• Find Next dapat dilakukan dengan menekan tombol F3
• Jika telah selesai. Restart PC atau lakukan Log Off Windows.
• Mudah-mudahn berhasil... Amien

Sumber

Cara Menghapus Virus RunOnce

Baru baru ini saya baru mengalami suatu kejadian yang mungkin merupakan kejadian yang sangat dihindari dan dibenci oleh para pengguna Personal Computer. ya, yaitu virus. kurang lebih dua hari lalu saya terkena virus Trojan Win.32 Runonce. virus ini akan menyerang komputer kita dengan merusak software yang sudah terinstall dalam PC.Kelihatannya Runonce pengen mengikuti jejak sality, alman dan lain-lainnya, suka menginfeksi file-file “.exe”. Virus ini cukup terkenal sebenarnya dan hampir semua AV impor sudah bisa mendeteksi virus ini sekaligus file-file terinfeksinya. Namun sayang, tidak semua antivirus lokal bisa mendetek virus ini.

Runonce sendiri begitu dieksekusi akan menginfeksi hampir semua file “.exe” seberapa ia sanggup.
Lalu mendrop induknya ke folder “system32”. Kemudian yang paling menarik lagi si Runonce menyebarkan file-file email ke setiap folder. berikut hal-hal yang ditimbulkan oleh virus ini :

- menginfeksi semua file yang bertipe *.exe sehingga semua aplikasi tidak dapat dijalankan
- menginfeksi semua gile yang bertipe *.html
- menyebarkan file-file email ke setiap folder. padahal file tersebut merupakan virus

virus ini cukup membuat saya kesal karena hampir semua software yang saya install tidak bisa dijalankan. dan ketika di install ulang, virus ini sering keluar lagi. tapi tenang! setelah saya bereksperimen, akhirnya saya bisa mengatasi virus tersebut. namun ada beberapa aplikasi yang harus saya install ulang. berikut cara-caranya:

1. Karena Virus ini meng-infeksi segala lini, harap melepas kabel LAN dari komputer. bila komputer adalah komputer jaringan.Sehingga tidak tertular lagi dari komputer lain.

2. Matikan System RESTORE , karena system restore bisa dimanfaatkan Virus untuk kembali meng-infeksi komputer.

3. Hapus atau rename file yang bernama “runouce.exe” yang berada di “C:\WINDOWS\SYSTEM\runouce.exe”

4. Masuk registry dengan cara ketik regedit di menu Run , lalu cari registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Runonce” = “C:\WINDOWS\SYSTEM\runouce.exe” bila sudah ketemu silakan dihapus registry ini. atau bisa gunakan msconfig ataupun tool seperti hijack this.

5. terakhir, berikan tugas kepada antivirus anda untuk membersihkan bekas-bekas file yang terkena virus tersebut. maka PC anda akan normal seperti biasa.

TIPS untuk terhindar dari virus Win32.runonce

1. Karena Virus ini adalah jenis infektor file ( .htm , .html , .exe , scr ) , jika komputer anda ada tanda-tanda terinfeksi Virus ini ( ada file readme.eml yang ber-icon amplop ber ukuran 15 kb ) harap jangan membuka file dokumen seperti Word dokumen ataupun excel . Karena bila anda membuka , maka file dokumen anda akan terinfeksi dan menjadi rusak…. dan yang pasti anda akan kehilangan data anda..

2. backup semua master software kedalam bentuk .rar atau .zip karena virus ini tidak bisa menginfeksi file dengan tipe tersebut

3. untuk antivirus, sebaiknya gunakan antivirus Morphost. untuk mendownload, link nya disedikan di akhir artikel

4. untuk anda para programmer ada source code untuk mendeteksi virus tersebut. berikut source codenya:

Option Explicit
Dim NamaVirus as String

Function DetectRunonce(lpFileName as string) as boolean
Dim filedata as string
Dim Malscr as string
Dim IsExe as string
Open lpfilename For Binary As #1
filedata = Space$(2)
Get #1, , filedata
Close#1

If ucase(filedata) = “MZ” then
Isexe = “1”
Elseif ucase(filedata) = “HE” then
Isexe = “2”
End if

If isexe = 1 then
If FileLen(lpfilename) > 1750 Then
If WatchString(lpfilename, 1750, 100, “IMISSYOU”) Then
Detectrunonce = true
Namavirus = “Terinfeksi: Runonce”
End If
End If
Elseif isexe = 2 then
MalScr = UCase(FileTeks(filename))
If InStr(MalScr, “IMISSYOU”) > 0 Then
Detectrunonce=true
Namavirus= “Fake Email”
End If
End if

End function
Function FileTeks(Where As String) As String
Dim BinTeks, Temp As String

Open Where For Input As #6
On Error Resume Next
Do While Not (EOF(6))
Input #6, Temp
BinTeks = BinTeks & Temp
Loop
Close #6
FileTeks = BinTeks

End Function

Function WatchString(AlamaT As String, mulai As Long, banyaknya As Integer, apaygdicari As String) As Boolean
Dim bin() As Byte
Dim filedata As String
WatchString = False

Open AlamaT For Binary As #8
filedata = Space$(banyaknya)
Get #8, FileLen(AlamaT) – mulai, filedata
Close #8

If InStr(UCase(filedata), apaygdicari) > 0 Then WatchString = True
End Function

program tersebut merupakan program dengan bahasa pemrograman VBS

6. gunakan registry cleaner untuk menghapus setipa registry yang dianggap aneh oleh PC. untuk registry cleaner yang free, saya sarankan gunakan CC cleaner. untuk link download saya sediakan dibawah.

sekian dari saya, moga-moga kasus yang saya alami ini tidak terjadi pada anda dan semoga tips dari saya bisa bermanfaat.

Sumber

Cara Menghapus Virus Aang.vbs

Cara Mudah Menghapus Virus Aang.vbs :

Ikuti langkah-langkah dibawah ini :

1. Buka Explorer (Klik kanan pada start kemudian explorer)
2. Setelah explorer kebuka, buka direktori C:\WINDOWS\system32\RemovableCache
3. Itu adalah direktori tempat penyimpanan file-file yang telah dipindahkan oleh virus tersebut dari media penyimpanan seperti flashdisk.(kalo anda tidak bisa membukanya berarti anda blm kena VIRUS ini)
   
4. Setelah itu jalankan RUN (Start-RUN) kemudian ketik CMD untuk masuk ke dos mode. kemudian masuk ke direktori C:\WINDOWS\system32\
5. Apabila anda berada di direktori C:\Documents and settings\users anda bisa keluar dulu dengan cara mengetikan “cd..” tanpa kutip sebanyak 2x kemudian masuk ke direktori tadi dengan cara mengetik “cd windows” kemudian “cd system32” tanpa tanda kutip.
6. Setelah sampai pada tahapan itu, biarkan sementara. Kemudian anda buka task manager (Ctrl+Alt+del) kemudian ke proses lalu destroy/end process “wbscript.exe”
7. Setelah di end process maka kita kembali ke DOS Prompt kemudian ketikan “del aang.vbs” tanpa tanda kutip.
8. Maka virus tersebut telah terhapus….
9. Cukup mudah kan..
10. Selamat mencoba.

JIKA ANDA BLM KENA VIRUS INI SARAN SAYA SEGERA CEGAK KOMPUTER ANDA DENGAN MEMATIKAN FASILITAS AUTORUN KOMPUTER ANDA

caranya:
1. download software TWEAK-UI dan bisa didownload di >>> http://download.cnet.com/Tweak-UI/3000-2072_4-10002117.html
2. Install tu software
3. pilih pilih MY COMPUTER - AUTOPLAY-DRIVE
4. maka akan muncul DRiVE A: - DRIVE Z:
5. Matikan semua centengan A-Z lalu Apply
6. Maka fasilitas Autorun anda akan mati.

Mulai sekarang setiap kali menggunakan USB scan dahulu dengan antivirus.

Sumber

Cara Menghapus Virus vmx / worm conficker jwgkvsq.vmx dan Recycler

Pernah menemukan file autorun.inf dan folder RECYCLER di USB flashdisk?
Kemudian lihat file jwgkvsq.vmx di dalam folder2 RECYCLER?
hahaha… itu namanya worm conficker (microsoft yang beri nama). korban-korban yang saya saksikan secara langsung adalah jaringan internet FT UI, jaringan rektorat, jaringan pusgiwa, jaringan PKM, dan saya yakin di luar sana banyak lagi. silakan cek link di bawah tentang peta penyebaran conficker di dunia.
ini nama lain yang didapat dari beberapa antivirus:

• W32/Confi
• W32/Conficker.worm!inf
• Win32/Conficker.B – CA
• Worm:W32/Downadup.AL
• Net-Worm.Win32.Kido
• W32/Conficker.worm.gen
• Kido

sy sendiri sebut nih virus vmx atau virus conficker (walaupun sy belakangan taw cm worm)
Keliatannya sich g berbahaya, tapi hasil pengamatan sy nih, conficker nyebelin bgd dah:
• menyebar via USB flashdisk dan jaringan lokal komputer (shit!!! kalo km terhubung LAN dan di jaringan ada PC yang udah terjangkit, kena dah. serius! conficker menyebar lewat LAN dan saya sendiri sudah membuktikannya)
• mudah menyebar dari USB flashdisk karena memakai tampilan autorun mirip sekali dengan Open this folder to view files liat gambar di bawah
• mendisable fungsi hidden file
• g kedetek sebagian besar antivirus, krn jalan di service svchost.exe
• beberapa waktu conficker akan aktif utk meng-update diri (WTF!! worm ini bisa mengupdate diri sendiri), nah saat2 itu PC mu akan lelet bgd karena svchost.exe 99% kerjanya di CPU
• kalo svchost.exe yang 99% itu berhasil di-kill proccess di task manager, windows audio service akan berhenti dan sound card PC mu tidak berfungsi
• memblok akses ke beberapa situs penting, misal alamat update antivirus
• memperlambat jaringan komputer sehingga akses internet di jaringanmu akan sangat lambat (kerasa bgd di jaringan saya)
• silakan ditambahin sendiri

Cara mendeteksi :
• cek apakah show hidden file berfungsi
• buka regedit, search “.vmx” kalo ada hasilnya berarti kamu beruntung (telah memiliki conficker ^^)
• hitung jumlah service svchost.exe yang berjalan di taskman, normalnya 6 pada windows xp. lebih dari itu berarti …. (congratz, u have conficker inside)

silakan download ini Symantec W32.Downadup Removal Tool

Sumber

Cara Menghapus Virus Cinta

Tips jitu menghapus virus 'folder cinta' dari komputer - Sebagaimana yang telah diketahui, virus folder cinta ini sudah menyebar luas di Indonesia. Bagi anda yang belum tahu bagaimana ciri-ciri dan gejala komputer yang sudah terinfeksi olehvirus tersebut, anda bisa baca disini. Virus folder cinta ini akan menginfeksi komputerdan menimbulkan efek yang tidak disukai. Meski disisi lain ia tetap membawa-bawa cinta dalam penyebarannya. Nah bagi anda yang komputernya sudah terinfeksi sama virus ini, simak langkah-langkah manual berikut yang bisa dilakukan untuk menghilangkan virus folder cinta tersebut:

1. Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.

2. Disable/matikan System Restore selama proses pembersihan virus.

3. Gunakan Task Manager untuk mematikan proses virus yang aktif. Kemungkinan besar dengan nama 'csrsc.exe'. Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.

4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb. Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive. Jangan lupa untuk menampilkan attribute 'Show hidden file...' dan menghilangkan attribute 'Hide protected operating...' pada Folder Options.

5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0,
Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Gunakan notepad, kemudian simpan dengan nama 'repair.inf'. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih [install].

6. Untuk pembersihan secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik.

Semoga bermanfaat.

Sumber

Cara Menghapus Virus Deadlock

Virus deadlock terbilang ganas. Jika komputer anda sudah terinfeksi. Siap-siap aja pada tanggal 12 13 data-data komputer anda dilumat habis, termasuk harddisk, flash disk, dan windows pun menampilkan pesan NTLDR is missing. Berikut cara singkat menghapusnya:

1. Matikan system restore
2. Matikan virus yang aktif dimemori di task manager. Yang mempunyai nama mysql.exe dan apache.exe
3. Hapus string registry yang diubah oleh virus
4. Hapus file induk di c:/windows/system32/ mysql.exe dan c:/windows/system32/apache. exe
5. Dan selesai! Jangan lupa pakai deep freeze atau antivirus

Sumber

Cara Menghapus Virus setuup.exe(*.exe)

Sebenarnya virus ini bekerja menggunakan sistem autorun. Tapi yang membuat aneh adalah virus ini hanya menginfeksi hardisk(internal dan eksternal).
Langkah yang mesti dilakukan adalah:1. Lihat penyusun file virus tersebut. Biasanya virus ini terdiri atas 2 file yaitu file *.exe dan autorun.inf.
2. Edit atau rubah script autorun.inf tersebut Akan terlihat bahwa script itu akan menjalankan setup.exe(nama virus) pada setiap kali autorun.
3. Jika file autorun.inf tersebut tidak bisa dirubah maka kita buat script dengan nama yang sama namun tanpa isi. Copy file autorun.inf yang baru ke setiap drive yang terinfeksi virus.
Lho tapi kok komputer saya masih terkena virus?? Ini menjadi pertanyaan besar?? Cara termudah adalah melihat properties dari virus tersebut. Ternyata virus memiliki file pendukung lain yaitu ctfmon.exe(saya kurang tahu apakah file ini merupakan file system atau file buatan virus, memang beginilah perkembangan virus jaman sekarang,susah ditebak).
ctfmon.exe terletak pada system32. Selain itu dapat juga dilihat melalui registry. Yang membuat saya berfikir bahwa virus ini mengenai registry adalah virus ini selalu berjalan setiap kali booting. Lihat saja pada [HKEY_CURRENT_USER > Software > Microsoft > Windows > Current Version > Run].
Disana akan terlihat ada value data bernama ctfmon.exe. Hapus saja value data tersebut beserta ctmon.exe yang berada pada system32.

Sumber

Cara Menghapus Virus Yuyun Cantix

Walaupun enggak begitu ganas, alias biasa-biasa saja, virus yang katanya buatan orang lokal, tetap saja mengganggu.

Ciri kehadiran virus ini, yaitu dengan adanya shortcut Harry Potter di dalam folder, dan Yuyun_cantix di dekstop, dsb. Sehingga computer akan terasa lambat. Dan tanda-tanda inilah yang banyak sekali ditemui di beberapa PC yang terhubung ke LAN, di kantor saya.

Cara kerjanya, ia membuat file auto.exe yang berisi script untuk autorun.inf, thumb.db, microsoft.lnk, dan new folder.lk. yang selanjutnya dicopykan ke setiap folder di computer target, termasuk removable drive. Dan dengan cara yang sama, virus ini membuat file induk kembali pada shortcut di direktory document yang juga berisi autorun.inf, thumb.db dan membuat file database.mdb. Selanjutnya membuat shorcut kembali tetapi dengan nama sesuai nama direktori yang ada didirektori Mydocument.

Jadi virus ini akan :

1. Membuat seluruh folder menjadi shortcut Ada beberapa nama shortcut yang dimunculkan Yuyun.vbs, di antaranya: New Harry Potter, New Folder, SuratQ, Game, Download, dsb.

2. Membuat folder di desktop dengan nama: Yuyun_cantix, yang tidak bisa dihapus.

Penyebaran virus ini ternyata cukup luas di Indonesia. Tetapi cukup gampang juga memusnahkannya. Beberapa di antaranya dengan menggunakan SMADAV, ANSAV dan juga PCMAV. Sedangkan penggunaan Norton 2009 ternyata tidak begitu manjur, tidak terdeteksi.

Semula saya sempat terkecoh juga dengan keberadaan file thumbs.db ini. Setahu saya file ini digunakan Windows sebagai cache informasi file gambar pada direktory yang mempunyai gambar tersebut. Enggak tahunya itu adalah file virus.

Berikut caranya, matikan lebih dulu file wscript.exe yang sedang running. File ini adalah compiler windows yang digunakan untuk menjalankan script. Caranya yaitu tekan tombol ctrl+alt+del berbarengan sehingga masuk ke Task Manager, cari file wscript.exe, pilih end proses.

Sedangkan untuk menghapus shortcut Yuyun_cantix itu, hapus keynya di regiter editor, klik HKEY_CLASSES_ROOT, cari CLSID, cari lagi yang namanya {111111-2222….}, sampai ketemu yuyun_cantix, hapus keynya. Selanjutnya bisa dihapus shortcut tersebut.

Sumber

Cara Menghapus Virus mc~.vbe

Virus ini banyak menyebar di kampus saya, bagaimana tidak, komputer kampus tempat mahasiswa biasa mengambil data kuliah sudah terinfeksi virus ini ;p. Beberapa orang teman sempat meminta bantuan untuk menghapus virus ini. Sayang PCMAV yang saya banggakan pun tak dapat membasmi virus ini. Alhasil instal ulang pun dilakukan, pekerjaan yang paling malas saya lakukan. Setelah mencari-cari akhirnya saya dapatkan cara untuk menghapus virus ini secara manual. Silahkan simak triknya disini.


Sebelum memulai, di artikel ini saya tidak menuliskan cara menggunakan tool/aplikasi yang digunakan dalam membantu menghapus virus ini. Saya hanya menuliskan apa saja yang harus dilakukan terhadap data-data virus ini. Menurut saya tidak efektif dan terlalu berbelit-belit bila di jelaskan, Anda dapat menggunakan penalaran sendiri atau menggunakan aplikasi lain yang kira-kira bisa digunakan membantu Anda.

Download Aplikasi yang di butuhkan :

1. XPsyspad Portable
2. GASAK
3. TuneUp Portable
TuneUppart1 (1,39 MB)
TuneUppart2 (1,39 MB)
TuneUppart3 (1,39 MB)
TuneUppart4 (1,39 MB)
TuneUppart5 (1,39 MB)
TuneUppart6 (1,39 MB)
TuneUppart7 (1,39 MB)
TuneUppart8 (1,39 MB)


Pertama, virus akan mengcopykan file prnjobt.vbe pada direktori c:\windows\system32.Anda hanya dapat melihatnya apabila pada folder options komputer Anda tidak di checklist hide protecting operating system files. Anda tidak dapat meng-unchecklistnya secara manual, karena saat di apply akan selalu kembali pada settingan folder options semula. Untuk itu saya menggunakan TuneUp Repair Wizard yang ada pada aplikasi TuneUp Portable untuk memperbaikinya, kemudian baru bisa di unchecklist hide protecting operating system files pada folder options Anda.

Setelah itu Anda masuk ke direktori c:\windows\system32 dan temukan file prnjobt.vbe, Anda dapat mendeletenya sekarang. Namun ada sedikit masalah, file prnjobt.vbe biasanya tidak bisa di delete begitu saja. Anda perlu mematikan prosesnya yang sedang bejalan terlebih dahulu. Saya menggunakan TuneUp Process Manager pada TuneUp Portable untuk menghentikan prosesnya. Pada proses akan terlihat file Microsoft (r) Windows Based Script Host sedang berjalan. Klik kanan dan terminate prosesnya. Sekarang baru Anda dapat men-delete prnjobt.vbe pada direktori c:\windows\system32.

Di setiap root driver Anda, misalnya c:, d:, e: dst. virus akan mengcopykan file autorun.inf dan mc~.vbe. Untuk itu Anda perlu menghapusnya dengan membuka my computer, kemudian klik folder yang ada pada navigasi atas my computer. Sekarang buka drive Anda satu persatu lewat root dari folder yang terbuka disebelah kiri, jangan membuka drive dengan meng klik langsung dari drive yang ada di sebelah kanan. Cari file autorun.inf dan mc~.vbe. Kemudian delete kedua file tersebut di setiap root drive Anda.


Sekarang induk virus sudah kita tidak ada lagi. Namun masih ada satu masalah, yaitu registry. Saat menginfeksi komputer, virus menambah beberapa perintah registry sehingga biasanya komputer akan tidak terlihat fitur run dan control panel pada start up windows, tidak bisa klik kanan pada ikon windows, tidak bisa mengklik drive dari my computer, mendisable task manager, hingga tidak bisa copy-paste

Fiuh,,,kayanya pekerjaannya banyak sekali,,,..!!!, tapi tidak masalah daripada harus menginstal ulang.

Untuk mengatasi masalah registry, kita perlu meng-enable kan kembali fitur run, saya menggunakan GASAK untuk mengatasi masalah ini, klik tulisan "Gasak Mas" kemudian setelah selesai restart komputer Anda.
Setelah di restart, fitur run masih tidak dapat Anda jalankan, karena itu saya menggunakan run program yang ada pada XPsyspad Portable. Kemudian ketikkan "regedit", dan muncullah si Registry Editor. ;)

Lalu Anda cari ke direktori di bawah ini

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SearchHidden (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SearchSystemDirs (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
StartMenuAdmindTools (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Start_ShowControlPanel (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbe\OpenWithProgids
VBEFile (jangan dihapus, cukup ubah valuenya menjadi 0)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden
0 (jangan dihapus, cukup ubah valuenya menjadi 0)

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
ThumbnailSize (hapus bila terlihat)
64

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallpaper (jangan dihapus, cukup ubah valuenya menjadi 0)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Disabled (jangan dihapus, cukup ubah valuenya menjadi 0)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HideRunAsVerb (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFileMenu (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoRun (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoSaveSetting (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
NoDiscCPL (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
NoRealMode (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoFolderOptions (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
WinOldApp (hapus bila terlihat)
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
noAdminpage (hapus bila terlihat)
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
system (hapus bila terlihat)
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt (hapus bila terlihat)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden (hapus bila terlihat)
0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden (hapus bila terlihat)
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden (hapus bila terlihat)
0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs (hapus bila terlihat)
0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
ThumbnailSize (hapus bila terlihat)
64

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vr64 (hapus bila terlihat)
\prnjobt.vbe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Disabled (hapus bila terlihat)
1

Registry juga di ubah pada direktori berikut. :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\--> (hapus semua registry key, kecuali defaultnya)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ ---> (hapus semua registry key, kecuali defaultnya)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\ -->(hapus semua registry key, kecuali defaultnya)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ --> (hapus semua registry key, kecuali defaultnya)


Selamat mencoba.

Sumber

Cara Menghapus Virus Blu3d3m0n5

1. Matikan System restore [ Ikon My Computer diklik kanan - Pilih Properties - Cari Tab System Restore - [check] Turn off system restore on all drives
2. Matikan Auto runs pada semua drive [Klik Start - Run - [ketik] gpedit.msc - Klik User Configuration - Klik Administrative Templates - Klik System - Cari Turn off Autoplay - [check] Enable - Pilih All Drive pada opsi Turn off Autoplay on..]
3. Pada Folder Option aktifkan Show hidden files and folder [Klik explorer - Tools - Folder options - View - [check] Show hidden files and folders

virus ini tidak merusak file dokumen hanya menampilkan arogansi si pembuat saja di aplikasi browser i.e dengan menambahkan title pada bar i.e “

1. Klik Start - Run - [ketik] regedit - cari HKEY_CURRENT_USER_Software_ Microsoft_Internet Explorer_Main - [hapus] value yang bertuliskan MAAFIN ANE YEE / Atau manfaatkan modus find pada regedit ketik MAAFIN ANE YEE
2. Klik Start - Run - [ketik] msconfig - cari Tab Services - [uncheck] komponen yang bertuliskan blu3d3m0n5
3. Klik Explorer - Cari partisi C:\ - [HAPUS PERMANEN (jangan masuk recycle bin)] file blu3d3m0n5.vbs
4. Masih di Partisi C:\ - Klik folder Windows - [HAPUS PERMANEN (jangan masuk recycle bin)] file blu3d3m0n5.vbs

* Virus ini tidak terdeteksi oleh Symantec Antivirus for Corporate Edition
* Virus ini bermacam variasinya, intinya hanya menambahkan tulisan sesuatu pada title bar i.e, namun langkah2x menghapus virus tsb tidak jauh berbeda dengan Experience Cyd ini.
* Jika PC sudah terinfeksi virus ini, flashdisk yang tercolok akan mudah terinfeksi dan akan membuat file autoruns pada flashdisk tsb untuk kemudian akan menyebar ke PC lain seiring tercoloknya flashdisk yg sudah terinfeksi tsb ke PC lain.

Sumber

Cara Menghapus Virus Brontok

1. Siapkan program editor registry atau dari start->run ketik regedit
2. Restart komputer, masuk SAFE MODE.
3. Hapus item BRONTOK di registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit.
4. Hapus Empty.pif (biasanya di C:\)
5. Hapus item BRONTOK di Task Scheduler
6. Restart komputer, masuk Windows normal.
7. Hapus file-file tipuan yang masih tersisa.

Cara ini tentunya bukan cara yang praktis, tapi … yah setidaknya bisa keliatan sedikit lebih keren , bisa hapus BRONTOK secara manual. Lagi pula secara umum, dari beberapa kasus worm yang saya temui, proses hapus worm dari sistem windows kurang lebih sama. Jadi, kalau Anda bisa terbiasa dengan cara ini, kalau suatu saat Anda menemui worm lain, Anda bisa coba untuk menghapusnya secara manual, tidak perlu repot-repot cari update anti virus baru.

Sumber

Cara Menghapus Virus Win32.runonce Atau Win32.chirB

Baru baru ini saya baru mengalami suatu kejadian yang mungkin merupakan kejadian yang sangat dihindari dan dibenci oleh para pengguna Personal Computer. ya, yaitu virus. kurang lebih dua hari lalu saya terkena virus Trojan Win.32 Runonce. virus ini akan menyerang komputer kita dengan merusak software yang sudah terinstall dalam PC.Kelihatannya Runonce pengen mengikuti jejak sality, alman dan lain-lainnya, suka menginfeksi file-file “.exe”. Virus ini cukup terkenal sebenarnya dan hampir semua AV impor sudah bisa mendeteksi virus ini sekaligus file-file terinfeksinya. Namun sayang, tidak semua antivirus lokal bisa mendetek virus ini.

Runonce sendiri begitu dieksekusi akan menginfeksi hampir semua file “.exe” seberapa ia sanggup.
Lalu mendrop induknya ke folder “system32”. Kemudian yang paling menarik lagi si Runonce menyebarkan file-file email ke setiap folder. berikut hal-hal yang ditimbulkan oleh virus ini :

- menginfeksi semua file yang bertipe *.exe sehingga semua aplikasi tidak dapat dijalankan
- menginfeksi semua gile yang bertipe *.html
- menyebarkan file-file email ke setiap folder. padahal file tersebut merupakan virus

virus ini cukup membuat saya kesal karena hampir semua software yang saya install tidak bisa dijalankan. dan ketika di install ulang, virus ini sering keluar lagi. tapi tenang! setelah saya bereksperimen, akhirnya saya bisa mengatasi virus tersebut. namun ada beberapa aplikasi yang harus saya install ulang. berikut cara-caranya:

1. Karena Virus ini meng-infeksi segala lini, harap melepas kabel LAN dari komputer. bila komputer adalah komputer jaringan.Sehingga tidak tertular lagi dari komputer lain.

2. Matikan System RESTORE , karena system restore bisa dimanfaatkan Virus untuk kembali meng-infeksi komputer.

3. Hapus atau rename file yang bernama “runouce.exe” yang berada di “C:\WINDOWS\SYSTEM\runouce.exe”

4. Masuk registry dengan cara ketik regedit di menu Run , lalu cari registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Runonce” = “C:\WINDOWS\SYSTEM\runouce.exe” bila sudah ketemu silakan dihapus registry ini. atau bisa gunakan msconfig ataupun tool seperti hijack this.

5. terakhir, berikan tugas kepada antivirus anda untuk membersihkan bekas-bekas file yang terkena virus tersebut. maka PC anda akan normal seperti biasa.

TIPS untuk terhindar dari virus Win32.runonce

1. Karena Virus ini adalah jenis infektor file ( .htm , .html , .exe , scr ) , jika komputer anda ada tanda-tanda terinfeksi Virus ini ( ada file readme.eml yang ber-icon amplop ber ukuran 15 kb ) harap jangan membuka file dokumen seperti Word dokumen ataupun excel . Karena bila anda membuka , maka file dokumen anda akan terinfeksi dan menjadi rusak…. dan yang pasti anda akan kehilangan data anda..

2. backup semua master software kedalam bentuk .rar atau .zip karena virus ini tidak bisa menginfeksi file dengan tipe tersebut

3. untuk antivirus, sebaiknya gunakan antivirus Morphost. untuk mendownload, link nya disedikan di akhir artikel

4. untuk anda para programmer ada source code untuk mendeteksi virus tersebut. berikut source codenya:

Option Explicit
Dim NamaVirus as String

Function DetectRunonce(lpFileName as string) as boolean
Dim filedata as string
Dim Malscr as string
Dim IsExe as string
Open lpfilename For Binary As #1
filedata = Space$(2)
Get #1, , filedata
Close#1

If ucase(filedata) = “MZ” then
Isexe = “1”
Elseif ucase(filedata) = “HE” then
Isexe = “2”
End if

If isexe = 1 then
If FileLen(lpfilename) > 1750 Then
If WatchString(lpfilename, 1750, 100, “IMISSYOU”) Then
Detectrunonce = true
Namavirus = “Terinfeksi: Runonce”
End If
End If
Elseif isexe = 2 then
MalScr = UCase(FileTeks(filename))
If InStr(MalScr, “IMISSYOU”) > 0 Then
Detectrunonce=true
Namavirus= “Fake Email”
End If
End if

End function
Function FileTeks(Where As String) As String
Dim BinTeks, Temp As String

Open Where For Input As #6
On Error Resume Next
Do While Not (EOF(6))
Input #6, Temp
BinTeks = BinTeks & Temp
Loop
Close #6
FileTeks = BinTeks

End Function

Function WatchString(AlamaT As String, mulai As Long, banyaknya As Integer, apaygdicari As String) As Boolean
Dim bin() As Byte
Dim filedata As String
WatchString = False

Open AlamaT For Binary As #8
filedata = Space$(banyaknya)
Get #8, FileLen(AlamaT) – mulai, filedata
Close #8

If InStr(UCase(filedata), apaygdicari) > 0 Then WatchString = True
End Function

program tersebut merupakan program dengan bahasa pemrograman VBS

6. gunakan registry cleaner untuk menghapus setipa registry yang dianggap aneh oleh PC. untuk registry cleaner yang free, saya sarankan gunakan CC cleaner. untuk link download saya sediakan dibawah.

sekian dari saya, moga-moga kasus yang saya alami ini tidak terjadi pada anda dan semoga tips dari saya bisa bermanfaat

thanks regards


link download : download Morphost AntiVirus
link download : download CC cleaner

Sumber

Cara Menghapus Virus Worm Conficker jwgkvsq.vmx

Pernah menemukan file autorun.inf dan folder RECYCLER di USB flashdisk?

Kemudian lihat file jwgkvsq.vmx di dalam folder2 RECYCLER?

hahaha… itu namanya worm conficker (microsoft yang beri nama). korban-korban yang saya saksikan secara langsung adalah jaringan internet FT UI, jaringan rektorat, jaringan pusgiwa, jaringan PKM, dan saya yakin di luar sana banyak lagi. silakan cek link di bawah tentang peta penyebaran conficker di dunia.

ini nama lain yang didapat dari beberapa antivirus:

• W32/Confi
• W32/Conficker.worm!inf
• Win32/Conficker.B – CA
• Worm:W32/Downadup.AL
• Net-Worm.Win32.Kido
• W32/Conficker.worm.gen
• Kido

*sy sendiri sebut nih virus vmx atau virus conficker (walaupun sy belakangan taw cm worm)

Keliatannya sich g berbahaya, tapi hasil pengamatan sy nih, conficker nyebelin bgd dah:

• menyebar via USB flashdisk dan jaringan lokal komputer (shit!!! kalo km terhubung LAN dan di jaringan ada PC yang udah terjangkit, kena dah. serius! conficker menyebar lewat LAN dan saya sendiri sudah membuktikannya)
• mudah menyebar dari USB flashdisk karena memakai tampilan autorun mirip sekali dengan Open this folder to view files liat gambar di bawah
• mendisable fungsi hidden file
• g kedetek sebagian besar antivirus, krn jalan di service svchost.exe
• beberapa waktu conficker akan aktif utk meng-update diri (WTF!! worm ini bisa mengupdate diri sendiri), nah saat2 itu PC mu akan lelet bgd karena svchost.exe 99% kerjanya di CPU
• kalo svchost.exe yang 99% itu berhasil di-kill proccess di task manager, windows audio service akan berhenti dan sound card PC mu tidak berfungsi
• memblok akses ke beberapa situs penting, misal alamat update antivirus
• memperlambat jaringan komputer sehingga akses internet di jaringanmu akan sangat lambat (kerasa bgd di jaringan saya)
• silakan ditambahin sendiri

Perbedaan dengan yang asli adalah “Publisher not specified”

Cara mendeteksi :

• cek apakah show hidden file berfungsi
• buka regedit, search “.vmx” kalo ada hasilnya berarti kamu beruntung (telah memiliki conficker ^^)
• hitung jumlah service svchost.exe yang berjalan di taskman, normalnya 6 pada windows xp. lebih dari itu berarti …. (congratz, u have conficker inside)

Cara remove :

• silakan download ini Symantec W32.Downadup Removal Tool atau silakan pakai alternatif link
• jalankan program removal itu sampai selesai. akan ada laporan jumlah virus yang dibersihkan di akhir
• bersihkan semua data di regedit yang mengandung “jwgkvsq.vmx“
• restart
• install SP3 kalo maw
• install security patch dari microsoft MS08-067 tergantung versi windows anda (jika sudah menginstall SP3, maka pakai security patch khusus SP3)
• hentikan cara penyebaran conficker melalui Group Policy Object (GPO) baca disini

Alternatif tools removal khusus conficker (pada beberapa kasus, conficker benar-benar memblok akses kamu ke situs antivirus dibawah ini untuk mendownload remover, saya sediakan link alternatif buat masing-masing) :

• McAfee Stinger (download link) atau alternatif link
• ESet EConfickerRemover (download link)
• F-Secure F-Downadup, FSMRT, more tools
• BitDefender single PC and network removal tools atau alternatif link
• Kaspersky KKiller (download link) atau alternatif link
• Trend Micro (download link)

Sumber

Cara Menghapus Virus VBQ (Shortcut)

PERINGATAN

Semua tulisan yang terdapat di Blog ini telah melalui uji coba dibeberapa komputer kami dan pada waktu pengujian tidak terjadi masalah, Apabila terjadi kerusakan Alat-alat, software, kehilangan data atau apapun sewaktu mempraktekkan isi dari Blog ini, dengan segala hormat penulis tidak bertanggung jawab dan tidak berhak dituntut untuk mengganti atas kerusakan tersebut, maka dari itu sangat disarankan terutama bagi pemula untuk berkonsultasi terlebih dulu dengan rekan Anda yang lebih berpengalaman dalam berkomputer. Atau demi kenyamanan Anda, kami sarankan untuk tidak mempraktekkan tulisan yang ada dalam blog ini sama sekali atau silahkan backup data penting dikomputer Anda sebelum mempraktekkan tulisan ini. Jika Anda berada di Semarang bisa datang langsung ke tempat saya dengan konfirmasi terlebih dulu ke 085727528266.

Sebenarnya Virus ini sudah menyebar di Indonesia mulai awal tahun 2010 (setahu saya), tapi akhir-akhir ini menyebar secara luas di Indonesia, seperti yang diberitakan detik.net : http://www.detikinet.com/read/2010/10/11/165556/1461434/323/dampak-virus-shortcut-pada-komputer :http://www.detikinet.com/read/2010/10/11/150746/1461310/323/waspadai-virus-shortcut-kenali-filenya/
sebelumnya saya juga tidak peduli dengan penyebaran virus ini karena tidak mempan dikomputer saya karena saya pakainya OS Linux, tapi berhubung kasihan juga sama temen-temen, terutama mereka yang sedang menuntut Ilmu jadi tergangggu dengan penyebaran Virus ini.

Untuk menghapus Virus ini sebenarnya sangat mudah, tapi harus teliti dan sabar, karena virus ini tidak hanya berjalan di System saja tapi menyebar hampir keseluruh partisi hardisk ataupun Device yang terpasang di Komputer, kesimpulannya walaupun komputer Anda sudah di Install Ulang tapi virus yang menyebar di Partisi maupun Device penyimpan data masih ada secara otomatis dengan sangat cepat akan menyebar lagi. dalam gambar terlihat walaupun Folder Option Masih ada setiap Anda Klik Show hidden files and folder maka jika Virus ini sudah menyebar luas secara otomatis komputer Anda akan restart.

Komputer yang terjangkit Virus

Oke deh langsung aja ke pokok maslah, Pertama Booting Komputer Anda dengan OS Linux, jika belum punya komputer yang ada OS Linux bisa menggunakan Live CD Linux, misalnya pakai: Distro Debian, Ubuntu, Linux Mint, OpenSuse, Mandriva, dll, dalam contoh tulisan ini saya menggunakan Distro Linux ME (Sabily) 10.04, untuk penggunaan Distro lainnya tinggal menyesuaikan saja tidak jauh berbeda koq.

Mount Drive yang ingin Anda hapus virus tersebut begini caranya : Klik place > New Volume

Cari File bernama dengan nama belakang .Ink, contoh file virus tersebut biasanya bernama : Aplikasi.Ink, Microsoft.Ink, Music.Ink, Dekstop.Ini, Lirik rtf, autorun.inf dan semua File yang bernama belakang .Ink, bila sudah ketemu hapus saja dengan cara manual (khusus Dekstop.ini jangan sampai keliru dengan Desktop.ini, kalau keliru komputer Anda bisa tambah bermasalah) jika semua sudah selesai segera Repair atau Install ulang W******S yang Anda miliki, pesan saya untuk menghindari masalah Virus segera beralih ke OS Open Source Linux.... Salam sukses selalu

Lihat gambar dibawah ini untuk lebih jelasnya :

Anda bisa menggunakan Search for File Untuk memudahkan Pencarian, caranya : Klik Place > Search for File, pada Name contains tulis nama File yang ingin Anda Cari, di tab Look in Folder cari Drive tempat File tersebut.... terus bla...bla..........

Aplikasi.Ink

Microsoft.Ink

Music.Ink

Dekstop.Ini

Jika Anda klik Langsung File Dekstop.Ini maka akan terbuka Scrip Virus Tidak beraturan seperti dalam gambar dibawah ini :

Scrip Dekstop.ini dibuka dengan gedit text editor

Untuk melihat Tulisan yang ada dalam Dekstop.ini, Klik kanan File tersebut >Open white OpenOffice.org word Proscessor > jika keluar perintah ASCII Filter Options klik saja Oke maka akan terbuka isi Dekstop.ini seperti gambar dibawah ini :

Cari juga File bernama autorun.inf, jika anda buka file ini maka akan keluar scrip seperti dibawah ini:

File autorun.inf

Untuk melihat isi pesan dari sang pembuat virus Cari File dengan nama Lirik.rtf, biasanya File ini disimpan didalam Sub Folder, dan disetiap Sub Folder Komputer yang terinfeksi virus ini saya temukan File ini

didalam File Lirik.Rtf terdapat sebuah puisi dari sang Pembuat Virus tersebut isinya seperti ini :

Orang Bodoh Cari Jodoh  Dahulu terasa indah Tak ada yang mau dan menginginkan aku Karna cuma diriku yang tak laku-laku  Tiada yang salah Hanya aku manusia bodoh Yang biarkan semua ini permainkanku Berulang ulang ulang kali  Pengumuman-pengumuman Siapa yang mau bantu Tolong aku kasihani aku Tolong carikan diriku kekasih hatiku Siapa yang mau  Mencoba bertahan sekuat hati Layaknya karang yang Dihempas sang ombak Jalani hidup dalam buai belaka Serahkan cinta tulus di dalam takdir  Hanya kepedihan Yang s'lalu datang menertawakanku Engkau belahan jiwa Tega menari indah di atas tangisanku  Tapi sampai kapankah ku harus Menanggungnya kutukan cinta ini Bersemayam dalam kalbu  www.bendot.co.nr

Dari isi puisi tersebut bisa disimpulkan kalau sang pembuat Virus adalah orang yang Jomblo atau dirinya pernah ditolak orang yang pernah dia sukai..... mungkin juga si Pembuat Virus terinpirasi dengan lagu Mencari Jodoh dari group Band Wali....disini juga terdapat Web dari pembuat Virus, tapi sewaktu saya mencoba untuk buka alamat web tersebut tidak bisa di akses lagi

Komputer yang sudah dibersihkan dari Virus

Dibawah ini adalah Virus Sejenis yang saya temukan tapi sudah di Modifikasi

Diary Angel Cute  Rasa jatuh cinta memang aneh rasanya  Q kenal fandy lewat no.Hp nyasar, 

dari perkenalan itu Q agak jual mahal ke dy 

(maklum cwe).

 Hari berganti hari Q mulai penasaran ma dy,

rasanya hatiku telah di kuasai oleh dy.

Q dan dy sepakat untuk ketemuan di kampusQ, 

dy pun datang pakai jaket hitam dengan 

motor warna hitam pula.

Alangkah terkejutnya, Q diajak dy kerumahnya. Kita ngobrol tentang pekerjaan dy, 

dy jg banyak tanya tentang Q di kampus.  Waktu pun cepat berlalu, 

karena asik ngobrol tak terasa hari sudah sore.

Q pun minta di antar pulang, Q bonce
Q dan dy sepakat untuk ketemuan di kampusQ,

dy pun datang pakai jaket hitam dengan 

motor warna hitam pula.

 Alangkah terkejutnya, Q diajak dy kerumahnya. Kita ngobrol tentang pekerjaan dy, dy jg banyak tanya tentang Q di kampus.  Waktu pun cepat berlalu, karena asik ngobrol tak terasa hari sudah sore. 

Q pun minta di antar pulang, Q boncengan ma dy seolah-olah kt sudah pacaran. Hujan pun datang disaat kt dalam perjalanan pulang, rasa dingin menyelimuti tubuhku ini. Dengan gagahnya dy memberi Q jaket yg dy pakai, hujan pun makin deras dan cuaca semakin dingin. Rasa sayang ini semakin menguasai pikiranku, ingin rasanya Q peluk dy.

 Setelah Q sampai di rumah, dy terburu-buru pulang karena hujan makin deras. Satu jam setelah dy pulang,  dy kasih kabar kalau sudah sampai rumah  dengan selamet. Yang bikin Q bingung, 

perasaan tadi dy pulang sendiri? Kenapa dy pulang dengan selamet, 

siapakah selamet?
 
Cerita ini sebagian adalah kisah nyata, tapi karena

terbatas oleh waktu. Maka cukup sekian dan terimakasih.  (www.bendot.co.nr)

Jika Komputer Anda sudah terinfeksi Virus ini dan juga terkena Virus Ranmit maka Flashdisk Anda akan rusak/Terprotec dan tidak bisa di Format ulang. Virus ini memang bisa merusak Hardware.... walaupun secara logika Virus gak bisa merusak Hardware tapi kenyataan ini bisa terjadi.... saya bahkan sama temen-temen pernah bongkar FD/HD yang terprotek dan ada sebagian Komponen di dalamnya udah gosong, kasus ini terjadi kalau pemilik komputer menggunakan Anti Virus AVG/AVIRA untuk menyecan FD/HD terkena Virus yang menggandakan Folder dan terkena Virus Ranmit, pada saat melakukan scan komputer secara otomatis akan restart sendiri, saya sendiri belum tahu mengapa Virus ini bisa berjalan bareng, virus Ranmit tidak hanya menggandakan data yang ada di komputer tapi Virus yang ada di komputerpun ikut digandakan...... bahkan kalau kita memakai Anti Virus Smadav Folder segitiga yang di Buat Smadav-pun sudah di manipulasi isinya yang katanya untuk Protec Dokumen penting malah dibuat untuk Protec virus tersebut.

Sumber

Cara Menghapus Virus Komputer Infeksi Seperti Pros!

Apakah Anda tahu bahwa Anda tidak harus profesional terlatih, dengan tahun pengalaman dalam rangka untuk menghapus virus, trojan atau jenis lain malware dari komputer Anda? Dengan mengikuti dibuktikan, langkah demi langkah rincian, Anda sebenarnya dapat menghapus perangkat lunak berbahaya dari komputer Anda, gratis!
Jika Anda dapat terhubung ke internet, browsing internet, file download dan ikuti instruksi sederhana dalam format garis besar, Anda juga dapat belajar bagaimana menghapus virus dan tidak pernah membayar sebuah lengan dan kaki untuk menghilangkan virus. Mari kita mulai!

1) Siapkan komputer untuk pemindaian..

Putus dari internet. Malware dapat terhubung ke internet, update sendiri bila diperlukan, download perangkat lunak berbahaya lebih dari internet, meng-upload data sensitif ke internet dan banyak lagi. Selalu lepaskan internet sebagai langkah pertama dalam memindai komputer yang terinfeksi dengan virus!

2.) Membuat arus Restore Point.

Buka "System Restore" (Protection System di Vista dan Windows 7). Buat restore point untuk hari di mana Anda melakukan penghapusan virus komputer.

3.) Keluarkan semua media yang dapat ditulis.

Lepaskan kartu memori semua, eksternal USB drive, dan perangkat penyimpanan lainnya dari komputer. Virus cenderung menyebar dengan mudah ke drive dan media yang terhubung ke komputer yang terinfeksi jadi yang terbaik untuk memutuskan apa pun untuk mencegah penyebaran virus.

4.) Periksa untuk perangkat lunak mencurigakan dalam program

Periksa perangkat lunak dengan nama yang aneh, atau program dengan karakter aneh dalam nama seperti: dll #*@#, Juga periksa untuk program-program yang tidak terlihat akrab seperti yang seharusnya malware.

5.) Periksa untuk program mencurigakan di menu start-up

Akses menu "startup" (msconfig) dan periksa di bawah tab "Startup" untuk program-program yang mencurigakan seperti disebutkan di atas. Carilah perangkat lunak yang tidak memiliki "penerbit" dan mencari perangkat lunak tanpa nama;
dan matikan mereka semua karena mereka adalah ancaman! Selalu mungkin untuk program ulang-periksa untuk startup dengan Windows jika diperlukan, karena mereka tidak dihapus.

6) Scan. Untuk ancaman menggunakan perangkat lunak antivirus

Download atau (masukkan disk) perangkat lunak antivirus favorit Anda. Salah satu rahasia bahwa penjual antivirus tidak ingin Anda ketahui adalah bahwa perangkat lunak antivirus gratis bekerja sama secara efektif atau lebih baik, dari beberapa "terkenal" merek untuk menghilangkan virus komputer! Instal perangkat lunak antivirus dan update untuk definisi virus terbaru (koneksi internet diperlukan). Scan komputer (semua removable disk) dengan menggunakan scan FULL pilihan (jika tersedia). Hapus semua malware yang ditemukan, dan reboot komputer atau membiarkannya reboot jika diminta.

7) Scan. Untuk ancaman menggunakan perangkat lunak anti-spyware

Download atau (masukkan disk) antispyware software favorit Anda. Instal perangkat lunak antispyware Anda dan memperbaruinya definisi ancaman yang paling terbaru (koneksi internet diperlukan). Memindai komputer (semua removable disk) dengan menggunakan scan FULL pilihan (jika tersedia). Hapus semua malware yang ditemukan, dan reboot komputer atau membiarkannya reboot jika diminta.

8.) Hapus file-file sementara

Hapus komputer sementara (Windows) file dengan menggunakan remover file temp, untuk menghapus file-file sementara seperti cookies internet, file pengguna lokal, riwayat browsing, dll Ada Penghilang temp file baik di luar sana, salah satu yang paling umum dan efektif yang CCleaner, merasa bebas untuk menemukannya di mesin pencari favorit Anda dan menginstalnya, atau lainnya yang Anda anggap efektif.

Scan komputer Anda dengan menggunakan pembersih temp file, dan memungkinkan untuk "bersih" atau menghapus temp file tersebut ditemukan. Ini dapat mengambil cukup lama, jadi bersabarlah. Selain itu, tergantung pada berapa lama telah sejak lagu komputer terakhir Anda-up, file dihapus bisa total dalam gigabyte! Hal ini akan membantu mempercepat kinerja komputer Anda secara keseluruhan, dan menghapus sisa-sisa sisa virus.

9) Bersihkan cache browser.

Bersihkan cache browser dari browser favorit Anda. Jika Anda tidak tahu bagaimana melakukan hal ini, pergi ke link Bantuan di browser Anda. Langkah ini mungkin tidak diperlukan jika Anda menggunakan pembersih file temp, butit baik untuk mengetahui cara menghapus cookie, file, dll sejarah, dari browser Anda untuk meningkatkan kinerja dan menghapus sisa-sisa malware setelah setiap penghapusan virus komputer.

10.) Re-scan komputer untuk infeksi virus dan ancaman lain

Re-scan untuk ancaman menggunakan antispyware dan software antivirus yang Anda gunakan pada awalnya, hanya untuk memastikan PC bersih. Jika tidak, ulangi langkah-langkah scanning seperti yang disorot di atas. Jangan scan menggunakan kedua program secara bersamaan, sebagai "false-positif" dapat terjadi, atau super lambat pemindaian dapat menghasilkan, sehingga mengambil jam untuk menyelesaikan pemindaian.

11.) Gunakan registry cleaner BAIK

Windows Registry sangat penting untuk komputer Anda berfungsi. Banyak jenis virus, Trojans dll, menyerang registri Windows. Hal ini dapat menyebabkan tidak dapat diandalkan, komputer yang lambat, program hilang dan file, dan bahkan kegagalan untuk boot komputer Anda. Menggunakan registry cleaner yang wajar dapat memperbaiki kesalahan yang terjadi secara teratur dalam Windows, serta memperbaiki kesalahan yang dapat menyebabkan beberapa masalah komputer.

Yang terbaik adalah sangat berhati-hati ketika menggunakan pembersih registri sebagai registry korup akan menjadi mantra akhir instalasi Windows Anda. Menggunakan registry cleaner untuk mengembalikan komputer setelah infeksi diperlukan.

Selanjutnya, restart PC Anda dan memeriksa perilaku abnormal (seperti yang dijelaskan dalam artikel terakhir)

Jika komputer bekerja dengan baik, tidak ada error, crash atau ancaman yang terdeteksi oleh perangkat lunak Anda, komputer Anda mungkin saja bersih!

Sumber

Cara Menghapus Virus 'Luna Maya'

Baru kemarin saya baca tentang artikel ini di Blog m-alwi.com. Tiba-tiba pagi ini seorang teman menyodorkan Lappynya untuk diperiksa yang ternyata mempunyai ciri yang sama dengan artikel yang saya baca tersebut. Adapun Screenshot yang muncul seperti gambar berikut :

Sreenshot Virus Luna Maya

Sebuah virus yang cukup menjengkelkan dengan julukan 'Luna Maya' telah menyebar di Indonesia. Virus ini menampilkan pesan yang agaknya meledek penggemar video porno di Indonesia, dengan menampilkan Pop Up bertuliskan "dasar!! otak bokep.."

Virus itu juga menimbulkan dampak-dampak yang cukup menjengkelkan. Misalnya, drive CD/DVD ROM akan terus terbuka meskipun sudah ditutup secara manual oleh pengguna.

Julukan 'Luna Maya' diberikan pada virus ini karena salah satu file penyebarannya memiliki nama LunaMaya.exe. Virus ini dideteksi sebagai Suspicious_Gen2.LBTU oleh Norman Security Suite.

Karena virus ini tergolong baru maka terpaksa saya browsing untuk mencari keterangan dan setelah beberapa lama, saya berhasil menemukan cara untuk menghapusnya.

Berikut beberapa penjelasan seperti disampaikan oleh Adi Saputra, analis antivirus dari Vaksincom tentang Virus Luna Maya dan Cara Menghapusnya yang saya Copas dari http://vaksin.com/2010/0610/lunamaya/lunamaya.htm

GEJALA & EFEK VIRUS

Jika anda termasuk penggemar artis “Luna Maya” atau anda mencari video hot artis “Luna Maya”, harap waspada jika anda menerima kiriman file atau mendownload file dan bermaksud menjalankan-nya atau membuka-nya.

Jika anda sudah terlanjur menjalankan file virus tersebut, maka virus akan langsung beraksi dengan menimbulkan gejala sebagai berikut :

• Memunculkan pop-up pemberitahuan kepada user yang telah menjalankan file virus. seperti gambar di atas.

• 
  
• Membuat drive CD/DVD-ROM selalu terbuka, meskipun sudah anda tutup kembali tetapi akan terbuka lagi.

• 
  
• Menu “Start” Windows yang bergerak bolak balik ke-kanan dan ke-kiri. Hal ini digunakan untuk mempersulit user mengklik tombol “Start”

• 
  
• Merubah fungsi klik pada “mouse” yaitu fungsi klik kiri menjadi klik kanan, dan sebaliknya serta memanipulasi key pada keyboard. Hal ini digunakan untuk mempersulit user menjalankan atau meng-eksekusi file.

• 
  
• Menyembunyikan dan mematikan fungsi Windows, seperti Task Manager dan Run.
• Membuat komputer menjadi lambat atau hang secara mendadak.

• 
  
• Menyembunyikan notifikasi jam/waktu yang ada pada taskbar.
• Membuat komputer menjadi mati atau shutdown secara tiba-tiba atau mendadak.
• Membuat USB flash atau removable drive anda menjadi tidak terbaca. Virus melakukan dengan menjalankan file virus “nt.bat” yang berisi script untuk melakukan format drive.
• Mematikan atau menutup beberapa aplikasi/program Windows seperti Notepad, Windows Media Player dan Internet Explorer.

FILE VIRUS

Virus “Luna Maya” merupakan virus lokal yang dibuat menggunakan bahasa Visual Basic. Ciri-ciri virus “Luna Maya” yaitu sebagai berikut :

• Memiliki ukuran 37 kb
• Memiliki type file “application” dan ber-ektensi “exe”.
• Menggunakan icon MS Word.

Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file virus sebagai berikut :

• C:\nt.bat
• C:\WINDOWS\system32\Amoumain.exe
• Love.exe (pada semua root drive)

File virus yaitu “Love.exe” akan terdapat pada setiap root drive termasuk pada mapping drive atau removable drive. Sedangkan file “nt.bat” merupakan script virus untuk melakukan format drive.

METODE PENYEBARAN VIRUS

Tidak jauh berbeda dengan varian virus lokal lainnya, virus “Luna Maya” juga otomatis dapat menginfeksi UFD / USB Flashdisk atau removable disk, virus akan membuat file virus dengan nama “Love.exe” baik penggunaan usb atau pun share jaringan yang full akses.

MODIFIKASI REGISTRY WINDOWS

Tidak banyak yang dilakukan oleh virus dalam perubahan pada registry. Beberapa modifikasi registry yang dilakukan oleh virus “Luna Maya” antara lain sebagai berikut :

• Menambah Registry

o Start-up

ü HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe C:\WINDOWS\system32\Amoumain.exe

o Blok Fungsi Windows

ü HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

DisableTaskMgr = 1

ü HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

NoRun = 1

PEMBERSIHAN VIRUS

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus ini adalah sebagai berikut :

1. Lakukan pembersihan virus pada mode “safe mode”.

• Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan.
• Pada menu Windows Advanced Options, anda dapat memilih mode “safe mode” atau dapat juga mode “safe mode with networking” dan “command prompt”. Agar lebih mudah pilih saja mode “safe mode”.
• Biarkan windows berjalan hingga muncul jendela konfirmasi penggunaan “safe mode”. (lihat gambar 12)
• Klik pilihan “Yes”, untuk menggunakan mode “safe mode” pada jendela konfirmasi tersebut.

2. Matikan proses virus yang aktif pada memory.

• Gunakan tools pengganti Task Manager dalam hal ini gunakan CurProcess. Download tools CurrProcess pada link berikut ini : http://www.nirsoft.net/utils/cprocess.zip
• Jalankan CurrProcess, kemudian cari file virus “Amoumain.exe”. Klik kiri file virus, kemudian pilih “Kill Selected Processes”. Jika file virus sudah hilang, maka tutup jendela CurrProcess.

3. Perbaiki registry windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :

a. Salin script dibawah ini menggunakan wordpad. Klik menu [Start] à [All Programs] à [Accessoris] à [Wordpad].

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun

b. Simpan file dengan nama “repair.inf”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.

c. Klik kanan file “repair.inf” kemudian pilih “Install”.

4. Hapus file virus “Luna Maya” dengan ciri-ciri sebagai berikut :

• Memiliki type file “Application”
• Memiliki ukuran file “37 kb”
• Memiliki icon file MS Word

Catatan :

• Untuk mempermudah pencarian sebaiknya gunakan fungsi Search Windows dengan menggunakan filter file *.exe dan *.inf dan berukuran 37 kb.
• Hapus file virus yang biasanya mempunyai date modified yang sama.
• Pastikan hapus file virus utama seperti : Amoumain.exe, Luna Maya.exe, Love.exe, dan nt.bat
• Log-off komputer, kemudian log-in kembali.

5. Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

6. Untuk USB flash atau removable drive yang sudah di rusak atau format oleh virus, sebaiknya gunakan software recovery untuk mengembalikan data yang hilang.

Dan setelah saya coba, ternyata screenshot tersebut benar-benar sudah terhapus.

Sumber