| |
Rontokkan virus PRCSYS (W32.SillyDC)
Oleh BLACK_SPIDER
Published: Februari 21, 2008
Print
Sebelumnya salam kenal dari black_spider. . Berawal dari keluhan teman ku yang kompienya kena virus. Katanya, aku dah scan pake avast tapi ga kedetek, gimana nech...!?!?! Artikel ini bukan dimaksudkan untuk menggurui tetapi hanya sebatas berbagi pengalaman yang aku alami dan juga ditujukan buat temen-temen newbie ( seperti aku juga ) yang haus akan ilmu dan bagi yang udah expert mohon pencerahannya atas kesalahan dan kekurangan. Nama W32.SillyDC dideteksi sama Yahoo Virus Scan.
OK. Mulai... ( banyak omong lo ah... : p )
Ciri-cirinya kayak gini:
Ga bisa klik kanan pada taskbar n desktop, mematikan process explorer, hijackfree dimatiin juga, disable taskmanager, run, regedit, control panel, cmd, search, folder option. Membuat file di tiap folder dengan nama folder tersebut tapi ejaannya dibalik( misalnya folder “SYSTEM” jadi “METSYS”). Pada directory c:windows virus tersebut membuat folder prcsys, prcsys2, prcsys3, pusat2, pusat, menggunakan icon folder dan ukuran filenya 354 KB. Apabila kita mo ngapus file dengan menekan tombol del pada keyboard, otomatis virus akan mematikan konfirmasi hapus.
Persiapan sebelum kita mulai merontokkan virus ini.
1. Process Explorer (http://www.sysinternals.com/) (Lo… Katanya bisa dimatiin sama virus, kok di pake juga? Ya mo gimana lagi, aku ga tau mo pake apa lagi.)
2. Virus Fighter (Cari aja pake bantuan om google)
3. Kesabaran secukupnya.
Langkah-langkah
1. Restart komputer, tekan f8 kemudian pilih safe mode.
2. Jalankan virus fighter, pada menu windows pilih rename msvbvm60.dll. (kali aja virusnya dibuat pake VB, seperti tutorial yang pernah aku baca )
3. Jalankan processexp.
· Waktu pertama menjalankan processxp, otomatis akan ditutup oleh virus. Coba jalankan lagi, tapi kalo masih ditutup juga dicoba aja ampe bisa. Kalo tetap ga bisa juga, hanya Tuhan yang tau
4. Kalo aku sih saat menjalankan ProcessXP yang kedua kalinya langsung bisa.(selama beberapa kali percobaan berhasil dan ada juga yang gagal menjalankan processXP trus aku coba restart untuk mencobanya lagi langkah 1 dan 2 ternyata bisa jalan) OK Lanjut...
5. Proses yang sedang berjalan terlihat pada processxp (virus yang menggunakan icon folder).
6. Klik kanan program yang iconnya folder, tapi jangan di KILL dulu, coz virus tersebut otomatis akan menjalankan file virus yang lainnya.
7. Sekarang pilih suspend semua virus yang aktif setelah itu KILL TREE dech semuanya...!
8. Ok, sekarang virusnya dah gak aktif. 9. Kembali lagi ke Program Virus fighter. pilih semua checkbox pada menu windows untuk mengaktifkan fitur windows yang dinonaktifkan oleh virus.
10. Hapus file virus pada directory : · c:prcs
· C:windows
( prcsys, prcsys2, prcsys3, pusat, pusat2 )
· Cari semua file aplikasi yang menggunakan icon folder (jangan mengunakan fungsii SEARCH atau SCAN FOR VIRUS Pada menu klik kanan DRIVE coz akan menjalankan viruz).
Perhatiaaaaaaaaaaaaaaaaaannnn...........!!!!!!!!!!!!!!!
Cari dan hapus semua string yang valuenya mengakses program-program yang namanya prcs, prcsys, prcsys2, prcsys3, pusat, pusat2. Yang ada pada registry editor
Registry yang di rubah oleh virus ini :
HKCRfolder*shellscan for viruscommand dan HKCRfoldershellscan for viruscommand
>> Mengelabui user dengan menambahkan pilihan SCAN FOR VIRUS dan pilihan SEARCH pada menu klik kanan drive dan klik kanan folder
HKLMsoftwaremicrosoftwindowscurrentversionrun
HKLMsystemcontrolset001controlsafeboot
HKLMsystemcontrolset002controlsafeboot
HKCUsofwaremicrosoftwindowscurrentversionpoliciesexplorer
rubah Noviewcontextmenu jadi 0, notraycontextmenu "0", kamu bisa cari sendiri yang pengen kamu rubah, sesuai kebutuhan.
HKLMsoftwaremicrosoftwindowsNTcurrentversionwinlogon ganti value pada string shell menjadi explorer.exe
Sebenarnya masih banyak yang dapat dilakuin, mohon untuk cari sendiri.
Segitu aja dulu, dah malem ni.... Sebenarnya sampel virus mau disertakan, karena kedetek sama yahoo jadinya ga bisa.
Shoutz to : Allah SWT, Nabi Muhammad SAW, MOM, DAD, my Brother, my Syster, My Sweatheart, My Computer (SEXY PINK).
Greetz to :
Jasakom.com atas artikel-artikelnya.
Om S’to atas buku-bukunya yang keren abiezzz (aku ga bisa ketinggalan tuh beli bukunya)
Semua Elite Hacker ( yang membuatku lebih banyak tau duania IT dengan artikel-artikelnya yang keren-keren abizzz).
Temen-temen seperjuangan (m4no3, !mo3t, N-Dr03, Be-D05, M4m3T, Y0uN6,.... Semuanya deh).
Penjaga kost 444, Sory telat bayar listriknya.
Gak lupa buat yang di SETELUK CITY, NTB.
Segala cacian, pujian, hadiah, rayuan, kritik, saran send to aron_cmx[at]yahoo.com
..SEMOGA BERMANFAAT..
|
|
