Saturday, January 19, 2008

Ketika System Restore mati (in-active)

Pengalaman kemarin nih 8-Jan-2008 tapi gw ga begitu yakin nama virusnya, cm salah satu hasil google menyebutkan kalo ciri2 berikut adalah virus aksaka, yang penting perhatiin cirinya aja bos..

Ciri-ciri infeksi:
1. Komputer lamban
2. Ctrl + Alt + Del ga bisa dipake
3. System Restore ga bisa di disable, jadi tiap file yg dicurigai sbg virus trus di-delete akan balik lg setelah re-start, cape khan...
4. Regedit ga bisa dipake
5. Antivirus yg udah ada ga bisa dipake
6. Kalo di browse di C: ada file "Windows.exe" 0 Kb tapi sm windows dibaca sbg folder.
7. s/w utk kill proses seperti "killbox.exe" ga bisa dipake

Langkah diagnosa:
1. Colokin flash-disk di PC yg sakit, tunggu beberapa detik, biar virusnya nempel dulu :D
2. Pindahin flash-disk, colok di PC sehat yg ada antivirus ter-update-nya, kebetulan gw pake avast
3. Scan flash-disk, catet file-file yg terdetek sbg virus. Salah satu file yg menonjol "msvbvm60.dll"
4. Google-ing dgn keywords nama2 file di atas.

Langkah penyembuhan:
Singkat cerita, gw udah dapet info tentang si virus berikut obatnya, thanks to google.
Jadi virus ini adalah virus lokal yg dibuat pake VBScript, core nya adalah file "msvbvm60.dll". So file tersebut harus di delete, tapi gmn ya.. setelah re-start pasti nongol lg dan selama virus msh aktif kita ga bs install antivirus, karena semua window dgn title "sav" akan di close sm dia.. hehe.. menarik jg nih..
Dari hasil google gw dapet s/w ansav dan pcmav

Ok sekarang time to attack !!
1. Dari paket ansav.zip ada file .bat yg berfungsi ngembaliin setingan registry.
2. Pada poin ini ctrl+alt+del, regedit dan disable sys-restore udah bisa.
3. Disable sys-restore nya bos.. biar enak :D
4. Kill proses win32.exe dari task mgr.
5. Hapus entry registri yang mengandung nama2 file yg terdeteksi sbg virus di bagian "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" dan "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
6. Re-start PC, boot pake disket biar bisa masuk ke DOS murni.
7. Jalanin NC (Norton Commander) buat hapus file msvbvm60.dll, windows.exe dan file2 mencurigakan lainnya.
Kenapa NC? Biar inget masa2 di lab pembajak :D , file2 virus itu di hide, kl kita liat dari windows sm sekali ga kliatan padahal udh show hiden file.. aneh..
8. Re-start PC, boot pake HD, jalanin ansav, clean all file yg dibuat sm si virus.
9. Kalo misalnya window ansav msh langsung di close sm virus (kemaren gw gitu soalnya) pake trik aja, jadi buka ansav.zip dari winzip / winrar trus jalanin ansav.exe dari situ, hehehe.. kena tipu tuh si virus.
10. Selesai.

I Love My Computer.

sumber: pengalaman pribadi
Posted by at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)