13 Maret 2008

Menghapus virus dari flashdisk

Virus yang tertular dari flashdisk mmg nyebelin. Tp gw coba share cara ngatasin si virus yang bandel ini.

Bbrp virus yang pernah mampir di komputer saya: kavo, mahadewa

Theory:
Konsep penularan virus ini memanfaatkan fasilitas autorun bawaan windows (huh..!)
Bahasa pemrograman yang digunakan: windows scripting (biasanya extensi file vbs.dll)
Setiap flashdisk biasanya mempunyai file autorun.inf
Klo ada virus di flashdisk, maka ada beberapa file aplikasi .exe yang gak jelas (cth:g4p3s, p4b3)

Lebih baik file yg bukan milik Anda (yg berekstensi .exe) dihapus aja, krn sangat besar kemungkinan files tsb adalah virus.

Cara mengatasinya:
1. Langkah awal
Turn off system restore (Control Panel >> System >> Tab "System Restore" >> Turn off system restore on all drives)

End Task Tree wscript.exe (Ctrl + Alt + Del >> Processes >> End task tree pada wscript.exe)

Run >> msconfig >> Tab StartUp
Uncheck startup yg dicurigai sebagai virus (Cth virus yg pernah saya dpt)
kavo
winxp.vbs.dll
MaHaDewa
Lalu klik ok, dan exit without restart

2. Show hidden files
Virus di hidden (supaya gak kliatan lah..) namun, virus ini merubah registri value, sehingga option show hidden files pada windows explorer tidak berfungsi.
Copy beberapa baris dibawah ini, lalu save dgn nama file repair.inf pada textpad, save as all types (bukan .txt loh)

[Version]
Signature="$Chicago$"
Provider=zz

[DefaultInstall]
AddReg=edit
DelReg=hapus

[edit]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\,"CheckedValue",0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\,"DefaultValue",0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\,"CheckedValue",0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\,"DefaultValue",0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\,"CheckedValue",0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\,"DefaultValue",0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\,"UncheckedValue",0x00010001,1


Lalu klik kanan pada file tsb, kemudian pilih install. Maka menu show hidden files Anda sudah berfungsi.

3. Telusuri Semua Drive (C: D: E:) Termasuk flashdisk
Hapus file autorun.inf dan file yg dicurigai sbg virus (kavo.exe, mahadewa.dll.vbs, ms32dll.vbs, g2p3s.exe)
Hati hati dengan file system yang ada pada drive C: krn bila salah menghapus, windows tidak bisa di boot. Jgn menghapus file ndetect

4. Bersihkan Registry
misal virus yang ada di komputer anda adalah kavo.
Search registri dgn keyword kavo, lalu hapus key yang mengandung kata kavo atau nama virusnya. Cth search kavo, mahadewa

5. Reboot dan check ulang
Setelah 4 langkah tsb, cek ulang, apakah virus masi ada di startup (msconfig)
Jika masih ada, kemungkinan, ada step yang terlewat/belum mematikan system restore.


Tips mencegah penularan virus dari flashdisk:
- Turn off autorun
Start >> Run >> gpedit.msc
Turn off Autoplay on all drives (enabled)

-Dont run specified windows application

Dont run specified windows application (tambahkan file yg dicurigai sbg virus, misal kavo.exe, wscript.exe, winxp.vbs.dll, ms32.vbs.dll, dst...)

Tidak ada komentar: