Cara menghilangkan Virus Trojan:VBS/Agent.T (Powerpoint STIKOM Bali)
Virus ini membolehkan autorun pada usb flash, ciri-cirinya:
* Autorun.inf
* Sexy_bo.vbs (PowerPoint icon)
* Permainan_ketangkasan.vbs (PowerPoint icon)
* Skripsi.vbs (PowerPoint icon)
* Stikom_Bali.vbs (PowerPoint icon)
* C:\Documents and Settings \%user%\Application Data\svchost.vbs
* C:\Documents and Settings \%user%\Desktop\STIKOM BALI.vbs
* C:\Documents and Settings \%user%\Favorites\svchost.lnk
Simptom:
* Disable fungsi find, run, folder options
* Disable System Restore
* Task Manager, Regedit, Msconfig bertukar notepad
Registry yang telah ditukar:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svchost = C:\Documents and Settings\%user%\Favorites\svchost.lnk
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFileAssociate=1
NoFind=1
NoFolderOptions=1
NoRun=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD=1
DisableRegedit=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden=0
HideFileExt=1
Start_ShowNetPlaces_ShouldShow=0
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableTaskMgr=1
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemRestoreDisableSR=1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Debugger = notepad.exe
Registry dibawah ditukarkan dari ikon vbs ke ikon powerpoint:
HKEY_CLASSES_ROOT\VBSFile
(Default)=Microsoft PowerPoint Presentation
FriendlyTypeName = Microsoft PowerPoint Presentation
NeverShowExt = 1
HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1
transfer function of the script:
HKEY_CLASSES_ROOT\inffile\shell\install\command
(Default) = logoff.exe
HKEY_CLASSES_ROOT\regfile\shell\open\command
(Default) = logoff.exe
HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
(Default) = logoff.exe
Cara menghilang kan virus:
* Cabut jaringan internet pada komputer
* Tutup proses yang aktif pada memori. Guna tools yang menggantikan Taskmanager iaitu IceSword untuk disable proses worm.
Anda dapat mendownload file tersebut pada link berikut : http://www.ziddu.com/download/7573258/STIKOMBALIPwrPoint.rar.html
Berikut langkah yang dilakukan :
- Explore file IceSword yang di compress, kemudian buka fail tersebut.
- Pada tab “Functions”, cari file wscript.exe.
- Klik kanan file wscript.exe, kemudian pilih Terminate Process
* Hapus string registry yang dibuat oleh virus. Dalam hal ini, kita masih menggunakan tools IceSword kerana worm telah mennonaktifkan fungsi perbaikan melalui script registry.
Berikut langkah yang dilakukan :
- Pada tab “Registry”, buang beberapa string berikut :
a. HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, hapus value “NeverShowExt”
b. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Pada jendela sebelah kanan, hapus value “svchost”
c. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, hapus value “Start_ShowNetPlaces_ShouldShow”
d. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Pada jendela sebelah kanan, hapus value “NoRun”, “NoFind”, “NoFolderOptions”, “NoFileAssociate”
e. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Pada jendela sebelah kanan, hapus value “DisableCMD”, “DisableRegedit”
f. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Pada jendela sebelah kanan, hapus value “DisableTaskMgr”
g. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Pada jendela sebelah kiri, expand dan hapus key “attrib.exe”, “cmd.exe”, “install.exe”, “msconfig.exe”, “regedit.exe”, “regedt32.exe”, “setup.exe”, “TaskMgr.exe”
h. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
Pada jendela sebelah kanan, hapus value “DisableSR”
- Pada tab “Registry”, rubah beberapa string berikut :
a. HKEY_CLASSES_ROOT\inffile\shell\Install\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\rundll32.exe”
b. HKEY_CLASSES_ROOT\regfile\shell\open\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “regedit.exe "%1"”
c. HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “VBScript Script File”
d. HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, rubah value “FriendlytypeName” menjadi “@%SystemRoot%\System32\wshext.dll,-4802”
e. HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\WScript.exe,2”
f. HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\Notepad.exe %1”
g. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, rubah value “Hidden” menjadi “1”
h. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, rubah value “HideFileExt” menjadi “0”
- Untuk melihat perubahan, sebaiknya logoff/restart komputer.
* Hapus file virus berikut :
- AutoRun.inf (pada semua root drive)
- sexy_bo.vbs (pada semua root drive)
- permainan_Ketangkasan.vbs (pada semua root drive)
- Presentasi.vbs (pada semua root folder)
- Skripsi.vbs (pada semua drive & folder)
- Stikom_Bali.vbs (pada semua drive & folder)
- C:\Documents and Settings\%user%\Application Data\svchost.vbs
- C:\ Documents and Settings\%user%\Desktop\STIKOM BALI.vbs
- C:\Documents and Settings\%user%\Favorites\svchost.lnk
Catatan
Untuk pembersihan virus secara optimal dan mencegah daripada berulang, sebaiknya gunakan antivirus yang terupdate dan mengenali virus ini dengan baik.
* Autorun.inf
* Sexy_bo.vbs (PowerPoint icon)
* Permainan_ketangkasan.vbs (PowerPoint icon)
* Skripsi.vbs (PowerPoint icon)
* Stikom_Bali.vbs (PowerPoint icon)
* C:\Documents and Settings \%user%\Application Data\svchost.vbs
* C:\Documents and Settings \%user%\Desktop\STIKOM BALI.vbs
* C:\Documents and Settings \%user%\Favorites\svchost.lnk
Simptom:
* Disable fungsi find, run, folder options
* Disable System Restore
* Task Manager, Regedit, Msconfig bertukar notepad
Registry yang telah ditukar:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svchost = C:\Documents and Settings\%user%\Favorites\svchost.lnk
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFileAssociate=1
NoFind=1
NoFolderOptions=1
NoRun=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD=1
DisableRegedit=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden=0
HideFileExt=1
Start_ShowNetPlaces_ShouldShow=0
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableTaskMgr=1
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemRestoreDisableSR=1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
Debugger = notepad.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Debugger = notepad.exe
Registry dibawah ditukarkan dari ikon vbs ke ikon powerpoint:
HKEY_CLASSES_ROOT\VBSFile
(Default)=Microsoft PowerPoint Presentation
FriendlyTypeName = Microsoft PowerPoint Presentation
NeverShowExt = 1
HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1
transfer function of the script:
HKEY_CLASSES_ROOT\inffile\shell\install\command
(Default) = logoff.exe
HKEY_CLASSES_ROOT\regfile\shell\open\command
(Default) = logoff.exe
HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
(Default) = logoff.exe
Cara menghilang kan virus:
* Cabut jaringan internet pada komputer
* Tutup proses yang aktif pada memori. Guna tools yang menggantikan Taskmanager iaitu IceSword untuk disable proses worm.
Anda dapat mendownload file tersebut pada link berikut : http://www.ziddu.com/download/7573258/STIKOMBALIPwrPoint.rar.html
Berikut langkah yang dilakukan :
- Explore file IceSword yang di compress, kemudian buka fail tersebut.
- Pada tab “Functions”, cari file wscript.exe.
- Klik kanan file wscript.exe, kemudian pilih Terminate Process
* Hapus string registry yang dibuat oleh virus. Dalam hal ini, kita masih menggunakan tools IceSword kerana worm telah mennonaktifkan fungsi perbaikan melalui script registry.
Berikut langkah yang dilakukan :
- Pada tab “Registry”, buang beberapa string berikut :
a. HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, hapus value “NeverShowExt”
b. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Pada jendela sebelah kanan, hapus value “svchost”
c. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, hapus value “Start_ShowNetPlaces_ShouldShow”
d. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Pada jendela sebelah kanan, hapus value “NoRun”, “NoFind”, “NoFolderOptions”, “NoFileAssociate”
e. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Pada jendela sebelah kanan, hapus value “DisableCMD”, “DisableRegedit”
f. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Pada jendela sebelah kanan, hapus value “DisableTaskMgr”
g. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Pada jendela sebelah kiri, expand dan hapus key “attrib.exe”, “cmd.exe”, “install.exe”, “msconfig.exe”, “regedit.exe”, “regedt32.exe”, “setup.exe”, “TaskMgr.exe”
h. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
Pada jendela sebelah kanan, hapus value “DisableSR”
- Pada tab “Registry”, rubah beberapa string berikut :
a. HKEY_CLASSES_ROOT\inffile\shell\Install\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\rundll32.exe”
b. HKEY_CLASSES_ROOT\regfile\shell\open\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “regedit.exe "%1"”
c. HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “VBScript Script File”
d. HKEY_CLASSES_ROOT\VBSFile
Pada jendela sebelah kanan, rubah value “FriendlytypeName” menjadi “@%SystemRoot%\System32\wshext.dll,-4802”
e. HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\WScript.exe,2”
f. HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
Pada jendela sebelah kanan, rubah value “(Default)” menjadi “%SystemRoot%\System32\Notepad.exe %1”
g. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, rubah value “Hidden” menjadi “1”
h. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Pada jendela sebelah kanan, rubah value “HideFileExt” menjadi “0”
- Untuk melihat perubahan, sebaiknya logoff/restart komputer.
* Hapus file virus berikut :
- AutoRun.inf (pada semua root drive)
- sexy_bo.vbs (pada semua root drive)
- permainan_Ketangkasan.vbs (pada semua root drive)
- Presentasi.vbs (pada semua root folder)
- Skripsi.vbs (pada semua drive & folder)
- Stikom_Bali.vbs (pada semua drive & folder)
- C:\Documents and Settings\%user%\Application Data\svchost.vbs
- C:\ Documents and Settings\%user%\Desktop\STIKOM BALI.vbs
- C:\Documents and Settings\%user%\Favorites\svchost.lnk
Catatan
Untuk pembersihan virus secara optimal dan mencegah daripada berulang, sebaiknya gunakan antivirus yang terupdate dan mengenali virus ini dengan baik.
Comments
Post a Comment