Warisan2u.Com Enterprise

Bukan bulu sembarang bulu, bukan donal sembarang donal, tapi sebuah virus yang rajin menyerang komputer-komputer teman-teman ku beberapa minggu ini. Beberapa orang teman yang komputernya yang sempat saya bersihkan secara manual dari virus berukuran 53 kb ini minta diajari. Bukan pelit, namun saya paling gak bisa ngajarin orang. Susah mengungkapkan isi otak lewat kata-kata, mungkin dengan tulisan ini bisa sedikit menyalurkan tips-tips yang mungkin nyangkut dan tak tersalurkan oleh mulut saya dan bisa dijadikan bahan pelajaran untuk yang ingin belajar.

Beberapa bagian dari tulisan ini saya comot dari Kaskus, dan sedikit tambahan redaksi dari saya untuk hal-hal yang dianggap perlu. Dan langkah dibawah bisa juga diterapkan untuk memberantas virus-virus serupa, namun diperlukan sedikit improvisasi dalam memodifikasi langkah-langkah dibawah sesuai dengan karakteristik virus yang akan dibersihkan. Misalnya dalam penentuan ukuran file yang akan di search dan delete, nama dan lokasi file induk virus dan sebagainya,

Virus Donal Bebek dibuat menggunakan bahasa pemrograman Visual Basic dan terdeteksi sebagai VbWorm.QXE. Salah satu ciri khas virus ini adalah mengandung kata “Bulu Bebek”. Bulu Bebek menyembunyikan folder/subfolder pada flash disk dan membut file duplikat sesuai dengan nama folder/subfolder tersebut untuk mengelabui user. Untuk membersihkannya, simak langkah berikut ini:

1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke Local Are Network/LAN).

2. Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP).

3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools pengganti taks manager seperti process explorer, kemudian matikan proses virus yang mempunyai icon “Folder”. Klik kanan process yang ingin dimatikan, dan klik kill process tree . Proccess Explorer dapat di download DISINI

4. Repair registry Windows yang sudah diubah oleh virus. Untuk mempercepat proses tersebut bisa digunakan plugin dari ANSAV. ANSAV BETA bisa didonlot disini, setelah diekstrak buka program ansav.exe lalu klik menu plugin. buka plugin yang bernama FXregistry dan aktifkan seluruh option box yang ada untuk mengembalikan fungsi windows yang dikacaukan oleh virus. lalu klik OK.

Atau setelah registry (run - regedit) bisa diakses, pastikan string registry dibawah ini telah terhapus:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt

- CheckedValue=2

- DefaultValue = 2

- UncheckedValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

- CheckedValue= 0

- DefaultValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

- CheckedValue= 2

- DefaultValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath

- CheckedValue= 0

- DefaultValue = 0

- UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress

- CheckedValue= 0

- DefaultValue = 0

- UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden

- CheckedValue= 2

- DefaultValue = 2

- UncheckedValue = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

- CheckedValue= 1

- DefaultValue = 1

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden

- CheckedValue= 0

- DefaultValue = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFolderOptions

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- Hidden = 2

- HideFileExt = 1

- ShowSuperHidden = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

• AutoRun = exit

HKEY_CURRENT_USER\Software\Microsoft\Command Processor

• AutoRun = exit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE

• debugger = TAI BEBEK

5. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan.

Jika Folder Option belum muncul, sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersembunyi. Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri:

* Menggunakan icon Folder
* Ukuran file 53 KB
* Ekstensi EXE
* Type File “Application”

Ulangi pencarian untuk ekstensi *.inf (ukuran 1 kb) dan *.ini (ukuran 53 kb), dan pastikan file induk terhapus. Lokasinya adalah sbb:

• C:\Windows\Script.exe

• C:\Windows\LSASS.exe

• C:\Documents and Settings\%user%\autorun.inf

• C:\Documents and Settings\%user%\bulubebek.ini

• C:\bulubebek.ini

• c:\autorun.inf

6. Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan, Anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB.

Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB:

* Klik “Start”
* Klik “Run”
* Ketik “CMD”, kemudian tekan tombol “Enter”
* Pindahkan posisi kursor ke drive Flash Disk (misal FD berada di drive F: ketikkan cd f: dan tekan ENTER)
* Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”
lakukan hal yang sama untuk drive-drive lainnya.

Pengembalian attribut file dapat juga dengan menggunakan salah satu plugin ANSAV yaitu Hidden Revealer.

7. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.

SELAMAT BERJUANG!!!

(sebagian gambar dan langkah dalam tutorial ini bersumber dari www.vaksin.com dan www.kaskus.us)