Mengetahui adanya virus pada kompi

CIRI KOMPI TERKENA VIRUS YAITU
tidak bisa menjalankan Regedit, TaskManager dan Menu Folder Option tidak muncul
Buat beberapa ujian ringkas:
1. takan Alt + Ctrl + Deler bersamaan jika muncul (Your Task manager has been disable by administrator). Bisa jadi PC anda terkena virus.
2. Buka My Computer klik tool (menu “Folder Option” Tidak ada), walau pun kita memunculkan Folder Options dalam Toolbars melalui Customize Toolbars dan meng addnya tetep kita tidak bisa Mengkliknya.
3. Klik start > run > taipkan msconfig dan tekan enter. Kalau msconfig tidak muncul, virus sudah menyekatnya.
4. Klik start > run > ketik regedit dan tekan enter. Kalau dialog Registry Editor tidak muncul artinya komputer/laptop anda telah terinfeksi dengan virus berkenaan.
Apa yang dibuat oleh worm ini?
Worm akan bersembunyi di dalam fail berikut:
%System%\RVHOST.exe
Worm akan mencipta folder baru dengan extension (new folder.exe):
%System%\new folder.exe
Worm akan mencipta tugasan berrikut di dalam Windows job e%Windir%\Tasks\At1.job
Worm akan mencipta fail registry berikut dan menjalankannya setiap kali windows dibuka.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = “Explorer.exe ” RVHOST.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”Yahoo Messengger” = “%System%\RVHOST.exe”
Seterusnya mencipta fail dalam registry dengan laluan berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\”shared” = “[SHARED DRIVE]\New Folder.exe”
Worm akan mengubahsuai registry entries untuk disable Task Manager dan Registry Editor:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableRegistryTools” = “1″
Worm juga mengubahsuai entri registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”NofolderOptions” = “1″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\”AtTaskMaxHours” = “0″
Worm akan deletes registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\”Run” = “BkavFw”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\”Run” = “IEProtection”
Ada beberapa cara untuk memulihkannya, hapus value “DisableRegistryTools” atau ubah nilainya menjadi 0 dengan menggunakan Command Prompt dengan cara :
Jalankan cmd.exe dari menu RUN kemudian ketik:
REG QUERY HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Tekan Enter
Untuk melihat daftar key dan value, gunakan perintah REG QUERY lokasikey, jika sudah terlihat ada value “DisableRegistryTools” hapus dengan mengetik :
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V DisableRegistryTools
Tekan Enter
Coba periksa apakah masih ada value “DisableRegistryTools” di registry dengan mengetik
REG QUERY HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 Pengalaman pribadai, karna saya tidak bisa menemukan “DisableRegistryTools” saya mengulanginya lagi seperti cara diatas tapi langsung mengetik
REG DELETE HKCU\Software\Microsoft\Windows\CurrentV¬ersion\Policies\Explorer /V DisableRegistryTools
Lalu tekan Enter.
Dan ternyata bisa dengan cara demikian, tapi saya sarankan pake dulu cara yang diatas.
Jika sudah tidak ada restart computer anda.
Jalankan kembali Menu Run ketik REGEDIT, menu registry akan kembali tampil seperti dulu sebelum terkena virus dan Menu Folder Option muncul.
Jangan lupa untuk selalu mengupdate anti virus ( tong hilap ngaupdateukun anti virusna ameh heunteu kena dai ku virus…)
Jika TaskManager belum juga bisa dijalankan saya sarakan pake app lain Untuk menjalankan task manager saya menggunakan aplikasi Process Explorer-Sysinternals
dari sysinternal.com silahkan download
Process Explorer menampilkan informasi tentang apa yang menangani dan DLL proses yang dibuka atau dimuat.
Proses Explorer menampilkan terdiri dari dua sub-jendela. Bagian atas jendela selalu menampilkan daftar proses yang sedang aktif, termasuk nama-nama mereka memiliki account, sedangkan informasi yang ditampilkan di bagian bawah jendela tergantung pada modus yang sedang dalam Proses Explorer: jika berada dalam modus menangani Anda akan melihat menangani proses yang dipilih di bagian atas jendela yang terbuka, jika Proses Explorer dalam modus DLL Anda akan melihat dan memori DLL-file yang dipetakan proses telah dimuat. Proses Explorer juga memiliki kemampuan pencarian yang akan segera menunjukkan ada proses yang khusus menangani dibuka atau DLL dimuat.
Yang unik dari kemampuan Proses Explorer membuatnya berguna untuk pelacakan bawah DLL-versi atau menangani masalah kebocoran, dan dapat memberikan informasi tentang cara kerja dan aplikasi Windows.

By: TRI RAGA MUKTI


Comments (0)

Posting Komentar