Tips Pembersihan Virus “ARP” (Microsoft VBS/BAT)
- Disconnect komputer yang terinfeksi dari jaringan lokal/internet.
- Matikan proses virus. Gunakan tools pengganti Task Manager seperti Security Task Manager.
- Lakukan Delete/Remove (Move By Quarantine) pada proses yang mencurigakan (yang biasanya menggunakan icon Internet Explorer dan berextension *.dll).
- Lakukan Delete/Remove (Move By Quarantine) pada file virus yaitu Desktopwin.dll/Jview.dll dan ThunderAdvise.dll.
- Lakukan Delete/Remove (Move By Quarantine) pada AppInit_DLLs (yang dijadikan tempat persinggahan virus).
- Normalkan kembali host file. Gunakan tools pembuka host yang terkunci dan yang telah diubah oleh virus, dalam hal ini gunakan HijackThis.
- Jalankan Hijackthis, Pilih Open the Misc Tools section.
- Kemudian pada System tools, pilih Open hosts file manager.
- Selanjutnya lakukan Delete line(s), setelah baris Localhost (127.0.0.1). Blok seluruh line setelah localhost (127.0.0.1), kemudian Delete line(s).
- Setelah selesai, Pilih Open in Notepad untuk memastikan host sudah normal, kemudian save file tsb.
- Hapus file temporary dan temporary internet files, gunakan tools pengganti Disk Cleanup agar mempermudah proses penghapusan, dalam hal ini gunakan ATF Cleaner/CCleaner. Pastikan untuk menghapus temporary, history, cookies dan java cache.
- Repair registry yang terinfeksi oleh virus. Buat script pada notepad dengan isi sebagai berikut :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, “”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Object
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, DesktopWin
1)Simpan dengan nama “repair.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.
- Lakukan pencegahan dari infeksi virus dengan men-disable default share. Buat script pada notepad dengan isi sebagai berikut :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0×00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0×00010001,0
- Simpan dengan nama “repair-share.inf” (gunakan Save As Type menjadi All Files).
- Jalankan dengan klik kanan, kemudian pilih Install.
Agar dapat langsung aktif, buat script dengan notepad dengan isi sebagai berikut :
CD C:\
NET STOP SERVER /Y
NET START SERVER /Y
NET SHARE
EXIT
- Simpan dengan nama “aktif-share.bat” (gunakan Save As Type menjadi All Files).
- Jalankan dengan men-dobel klik file tsb.
- Matikan Autoplay Windows, untuk mencegah penyebaran virus melalui media USB/Removable Drive.
Buat script pada notepad dengan isi sebagai berikut :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
Cat: kode ini bagian HKCU dan HKLM buat dalam 1 baris
- Simpan dengan nama “disable-autoplay.inf” (gunakan Save As Type menjadi All Files).
- Jalankan dengan klik kanan, kemudian pilih Install.
- Buat file/folder dummy, untuk mencoba memanipulasi virus. Beberapa file tsb diantaranya sebagai berikut :
- MicroSoft.pif, MicroSoft.bat, MicroSoft.vbs (pada drive C:\).
- Jview.dll, DesktopWin.dll (pada C:\WINDOWS\AppPatch).
Rubah attribut file dummy tsb menjadi file system. Gunakan fungsi attrib untuk merubah file dummy menjadi file system.
Berikut script membuat file dummy dengan menggunakan notepad :
CD C:\
del microsoft.bat
md microsoft.bat
attrib +s +h +r microsoft.batdel microsoft.pif
md microsoft.pif
attrib +s +h +r microsoft.pifdel microsoft.vbs
md microsoft.vbs
attrib +s +h +r microsoft.vbsCD C:\WINDOWS\AppPatch
del jview.dll
md Jview.dll
attrib +s +h +r Jview.dlldel desktopwin.dll
md DesktopWin.dll
attrib +s +h +r DesktopWin.dllEXIT
- Simpan dengan nama “dummy-file.bat” (gunakan Save As Type menjadi All Files).
- Jalankan dengan men-dobel klik file tsb.
- Scan dengan menggunakan antivirus yang terupdate dan dapat mendeteksi virus tsb. Dapat pula menggunakan Norman Malware Cleaner. (dapat di download pada http://download.norman.no/public/Norman_Malware_Cleaner.exe ).
Note :
Anda bisa menambahkan 1 solusi pencegahan dengan memproteksi PC tsb agar tidak terinfeksi yaitu dengan memproteksi pada ARP (address resolution protocol). Dengan memberikan perintah pada command prompt:
arp –s *ipaddressgateway *macaddressgateway
*ipaddressgateway : merupakan IP Address Gateway jaringan.
*macaddressgateway : merupakan MAC Address Gateway jaringan.
Contoh :
arp –s 192.168.1.1 01-20-E3-44-12-4C
Seperti di ambil dari forum vaksin.com
0 komentar:
Posting Komentar