Rontokkan virus PRCSYS (W32.SillyDC)

Sebelumnya salam kenal dari black_spider. . Berawal dari keluhan teman ku yang kompienya kena virus. Katanya, aku dah scan pake avast tapi ga kedetek, gimana nech…!?!?! Artikel ini bukan dimaksudkan untuk menggurui tetapi hanya sebatas berbagi pengalaman yang aku alami dan juga ditujukan buat temen-temen newbie ( seperti aku juga ) yang haus akan ilmu dan bagi yang udah expert mohon pencerahannya atas kesalahan dan kekurangan. Nama W32.SillyDC dideteksi sama Yahoo Virus Scan.OK. Mulai… ( banyak omong lo ah… : p )

Ciri-cirinya kayak gini:
Ga bisa klik kanan pada taskbar n desktop, mematikan process explorer, hijackfree dimatiin juga, disable taskmanager, run, regedit, control panel, cmd, search, folder option. Membuat file di tiap folder dengan nama folder tersebut tapi ejaannya dibalik( misalnya folder “SYSTEM” jadi “METSYS”). Pada directory c:\windows virus tersebut membuat folder prcsys, prcsys2, prcsys3, pusat2, pusat, menggunakan icon folder dan ukuran filenya 354 KB. Apabila kita mo ngapus file dengan menekan tombol del pada keyboard, otomatis virus akan mematikan konfirmasi hapus.Persiapan sebelum kita mulai merontokkan virus ini.

  1. Process Explorer (http://www.sysinternals.com/) (Lo… Katanya bisa dimatiin sama virus, kok di pake juga? Ya mo gimana lagi, aku ga tau mo pake apa lagi.)
  2. Virus Fighter (Cari aja pake bantuan om google)
  3. Kesabaran secukupnya.

Langkah-langkah

1. Restart komputer, tekan f8 kemudian pilih safe mode. 2. Jalankan virus fighter, pada menu windows pilih rename msvbvm60.dll. (kali aja virusnya dibuat pake VB, seperti tutorial yang pernah aku baca )

3. Jalankan processexp.
· Waktu pertama menjalankan processxp, otomatis akan ditutup oleh virus. Coba jalankan lagi, tapi kalo masih ditutup juga dicoba aja ampe bisa. Kalo tetap ga bisa juga, hanya Tuhan yang tau 4. Kalo aku sih saat menjalankan ProcessXP yang kedua kalinya langsung bisa.(selama beberapa kali percobaan berhasil dan ada juga yang gagal menjalankan processXP trus aku coba restart untuk mencobanya lagi langkah 1 dan 2 ternyata bisa jalan) OK Lanjut…

5. Proses yang sedang berjalan terlihat pada processxp (virus yang menggunakan icon folder).

6. Klik kanan program yang iconnya folder, tapi jangan di KILL dulu, coz virus tersebut otomatis akan menjalankan file virus yang lainnya. 7. Sekarang pilih suspend semua virus yang aktif setelah itu KILL TREE dech semuanya…!

8. Ok, sekarang virusnya dah gak aktif.
9. Kembali lagi ke Program Virus fighter. pilih semua checkbox pada menu windows untuk mengaktifkan fitur windows yang dinonaktifkan oleh virus.

10. Hapus file virus pada directory : · c:\prcs · C:\windows
( prcsys, prcsys2, prcsys3, pusat, pusat2 )

· Cari semua file aplikasi yang menggunakan icon folder (jangan mengunakan fungsii SEARCH atau SCAN FOR VIRUS Pada menu klik kanan DRIVE coz akan menjalankan viruz).
Perhatiaaaaaaaaaaaaaaaaaannnn………..!!!!!!!!!!!!!!!

Cari dan hapus semua string yang valuenya mengakses program-program yang namanya prcs, prcsys, prcsys2, prcsys3, pusat, pusat2. Yang ada pada registry editor Registry yang di rubah oleh virus ini :

HKCR\folder\*\shell\scan for virus\command dan HKCR\folder\shell\scan for virus\command >> Mengelabui user dengan menambahkan pilihan SCAN FOR VIRUS dan pilihan SEARCH pada menu klik kanan drive dan klik kanan folder

HKLM\software\microsoft\windows\currentversion\run

HKLM\system\controlset001\control\safeboot

HKLM\system\controlset002\control\safeboot

HKCU\sofware\microsoft\windows\currentversion\policies\explorer rubah Noviewcontextmenu jadi 0, notraycontextmenu “0”, kamu bisa cari sendiri yang pengen kamu rubah, sesuai kebutuhan.

HKLM\software\microsoft\windowsNT\currentversion\winlogon ganti value pada string shell menjadi explorer.exe

Sebenarnya masih banyak yang dapat dilakuin, mohon untuk cari sendiri.

Segitu aja dulu, dah malem ni…. Sebenarnya sampel virus mau disertakan, karena kedetek sama yahoo jadinya ga bisa.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s


%d blogger menyukai ini: