0
21
Oct
Share

Bagaimana membersihkan virus W32/SmallTroj.PUDN

Ini kali ke dua virus yang akan mempermainkan CDROM setelah kemunculan virus lainnya yakni [SmallTroj.QFBU]. Perbedaan yang mencolok adalah pada script yang dibuat untuk membuka CDROM. Pada virus SmallTroj.QFBU, script untuk membuka CDROM berada pada tubuh virus itu sendiri hal ini memberikan keuntungan yakni selama virus ini masih akif dimemori maka ia akan dengan leluasa untuk selalu membuka CD ROM tersebut, berbeda dengan virus SmallTroj.PUDN ini yang akan mengandalkan file lain dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] dan tidak tergantung pada file induk untuk membuka CD ROM tersebut, tetapi dari hasil pengetesan hal ini tidak berjalan sesuai dengan yang diharapkan karena file script tersebut membutuhkan file pemicu lain untuk menjalankankan isi dari script tersebut, file pemicu inilah yang “mungkin” terlupakan atau dilupakan oleh sang pembuat virus. Apapun yang dilakukan oleh kedua virus ini yang jelas perbuatan ini sangat merugikan pengguna komputer apalagi bagi mereka yang awam. Ingin tahu apalagi yang akan dilakukan oleh virus SmallTroj.

Media Penyebaran

Flash Disk masih menjadi “primadona” untuk menyebarkan dirinya, begitupun yang dilakukan oleh SmallTroj dengan cara menyembunyikan file yang mempunyai ekstensi TXT dan DOC dan membuat file duplikat dengan ciri-ciri:

  • Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus
  • Mempunyai ekstensi TXT.exe [jika file yang disembunyikan mempunyai ekstensi TXT] dan DOC.exe [jika file yang disembunyikan mempunyai ekstensi DOC], ekstensi EXE ini akan disembunyikan
  • Mempunyai ukuran 41 KB

Cara membasmi SmallTroj.PUDN

  1. Nontaktifkan “System Restore” selama proses pembersihan
  2. Matikan proses virus yang aktif dimemori, untuk mempermudah dalam mematikan proses virus tersebut gunakan tools pengganti task manager seperti ProceeXP atau CurrProses.

Silahkan download tools CurrProses di alamat  berikut:
http://www.brothersoft.com/currprocess-download-32083.html

Setelah di download jalankan tools tersebut kemudian cari dan matikan proses virus yang aktif di memori. Matikan proses virus yang mempunyai icon TXT

  1. Fix registry Windows yang telah diubah/dibuat oleh SmallTroj.PUDN. Untuk mempercepat proses perbaikan ini silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
    1. Klik kanan [repair.inf]
    2. Klik [Install]

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0×00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0×00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0×00010001,2

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,1

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0×00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0×00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page

HKCU, Software\Microsoft\Internet Explorer\Main, Local Page

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, wmdrtl32_

HKCU, software\microsoft\windows\shellnoroam\MUICache, wmdrtl32_

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, NOHIDDEN

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, SHOWALL

  1. Hapus file virus yang mempunyai ciri-ciri
    1. Icon TXT
    2. Ukuran file 41 KB
    3. Ekstensi .TXT.EXE dan DOC.exe

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan perubahan pada Folder Options

Hapus juga file berikut:

  • c:\windows\wmdrtl32_.exe
  • c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak
  • c:\wmdrtl32_.vbs [semua drive]
  • C:\Windows\system32\wmdrtl32_.vbs
  • C:\autorun.inf [semua drive]
  • C:\Windows\System32\autorun.inf
  • C:\a_Video Hot.exe [semua drive]

Tampilkan file dengan ekstensi TXT dan DOC yang disembunyikan dengan cara : (lihat gambar 13)

  1. Klik menu [Start]
  2. Klik menu [Run]
  3. Pada dialog box RUN, ketik CMD
  4. Pada dos prompt, pindahkan kursor ke lokasi yang akan periksa, contohnya [C:\]
  5. Kemudian ketik perintah ATTRIB –s –h –r *.TXT /s /d [untuk menampilkan file txt] dan  ATTRIB –s –h –r *.DOC /s /d [Untuk menampilkan file dengan ekstensi *.DOC]

[Panduan oleh PT. Vaksincom]

Tags: , , , ,

Leave a Reply