Artikel ini dikhususkan untuk indra910 ...
Karena dia telah mengupload virus, maka mau tidak mau saya harus menganalisa....
Tapi, ya karena seorang newbie yang menganalisa...Mau apalagi, ga bisa sampe dalam - dalam ...Hehehe...
Berikut analisanya :
Perubahan yang dilakukan adalah :
1. Mengubah file pada directory :
C:\WINDOWS\system32\drivers\etc\
pada file host
Kalau kita buka file tersebut, maka akan tampak situs - situs porno..
Hal ini dilakukan oleh ViMaker untuk meridirect localhost >> daftar situs yang dia inputkan.
2. Mengubah file oeminfo.ini pada directory :
C:\WINDOWS\system32
Nah, disini si ViMaker mengubah file ini bertujuan untuk sedikit mengubah informasi pada Properties my computer...
3. Membuka program pada directory :
C:\WINDOWS\Debug\628AC2641A11205611ACFDD540E18809\mscntfy.exe
[Saya rasa ini adalah file induk si Virus]
4. Terakhir ....
Menginput registry ...
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Policies\Explorer\Run
Awalnya saya kira registry ini adalah konfigurasi agar virus dapat berjalan startup...ternyata bukan..Sampai sekarang saya masih cari tau tentang registry ini...
****
Perbaikan :
:: Automatic
Menggunakan antivirus, coba saja ansav, maka ansav anda akan menunjukkan keterangan berikut :
Nah, agar bersih, scan semua drive yang ada pada komputer anda...
:: Manual
Yuk main - main manual, saya lom liad lagi sih kekurangan dari cara saya apa ?
1. Kill Processnya dulu dengan menggunakan The Killer Machine
Kalau gak tau The Killer Machine silahkan lihat postingan saya di bulan - bulan yang lalu.
Setelah itu hapus filenya menggunakan The Killer Machine
Okey...??
Next...
2. Lakukan perbaikan registry, dengan menggunakan Kick The Worm
Ada juga kok di artikel di bulan lalu :)
Di klik dan selesai...
Eitss....Masih ada kejanggalan di registry loh...Jangan lupa hapus key nya...
3. Masuk aja ke regedit...
RUN >> regedit.exe
Pasti bisa, karena registrynya kan dah di FIX sama Kick The Worm.
Ok, Lanjut....
di regedit, anda masuk ke :
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Policies\Explorer\Run
Dan delete string value : 628AC2641A11205611ACFDD540E18809
Coba anda klik kanan, pilih properties pada my computer....
Waduh Nebula - Nebula paan neh !!!
Ehhehe...
Ok, kita ganti deh...
4. Gunakan The Killer Machine untuk memperbaikinya...
Pilih OEM Editor...
Ok, siap ??
Siapkan file gambar bmp / jpg yang kira - kira sesuai dengan ukuran gambar nebula tadi..
Nah, sudah berubah, cuma masih ada support information
jangan dibikin repot....
Coba anda masuk ke : C:\WINDOWS\system32\oeminfo.ini
Nah...Lalu hapus dari bagian :
[Support Information]
sampai habis [kebawah]
lalu save aja....Berubah deh...
5. Lihat gak keanehan pada icon - icon browser anda [Mozzila, Opera] dan pada Yahoo Messenger anda....
Nah...itu bukan iconnya yang diganti...tapi file itu juga dia inject...
Tadi sempat saya scan dengan menggunakan bit defender, alhasil ::> Opera saya diinfeksi sebagai trojan...
Jadi untuk hal ini, mau gak mau harus dengan cara uninstall, kemudian re install...
6. Nah...Masih ada yang saya bingungin bagaimana cara manualnya...
Karena document XLS, DOC, diinfect oleh si Virus dan berubah menjadi .EXE
Saya sudah mencoba tapi sama ajah nih...ya mau gak mau di clean menggunakan antivirus,
Ansav juga sudah cukup kok, asalkan udah ada pluginsnya....
hehehe
Kalau mau ansav dah ada pluginsnya ...silahkan downloadhttp://www.bali-around.com/ramzhc/upload/files/ansav-beta.zip
Semoga dapat diterima...hehee
NB : hati - hati ketika membuka firefox.exe ::> ini adalah file virus yang asli adalah firefox~1.exe
Membasmi Virus Nebula
9 komentar:
wahh.. terengkiu bgt dah buat rams.. :X :-*
emg dukun nya virus lu ahk..
skrg udh brsh lg ahk kompi gw...
skali lg tengkiuh dah buat rams.. :-*
jah..
aneh lah rams..
tadi nya sih udah oke tuh kompi..
YM dan mozila kan brubah tuh iconnya..
trus saia remove dan instal lg.. setelah siap instal..
pertama normal tuh tampilam icon YM dan Firefoxnya. tapi setelah beberapa saat. tampilan firefox brubah lg, seperti word exe tuh. YM nya normal.
http://h1.ripway.com/indra910/Untitled-1.gif
yg saia heran kan nap koq YM normal tapi fifrefoxnya gak. saia scan lg pake ansav dan bitdefender. g ada virus yg detec
thanks for reply...
:d
nah...yang harus kamu teliti adalah :
File destination si firefox itu...
Gini - gini...lo uda melakukan uninstal terhadap firefox ???
coba sekarang loe ke folder firefox itu....
pasti masi ada segelintir firefox.exe yang bericon word...
Seep.. udah kelar koq.. hehehe..
udah matek tuh nebula..
makasih banyak ram.. mudah2an g ada bosannya membantu newbie seperti saia.. ;)
halah....
sama sama belajar...
sep....
hehehe...
:D
Ok...
waduh masa keren2 gini dibliang dukun...xixixix :D
huehueuhe...
dukun jaman sekarang kan emang keren2.. :))
ea sih sama2 blajar..
klo di ibaratkan pake kelas..
ako kelas 1 dan ramz nya kelas 3.. :)
rams.. blh donk gw konsul lg ma lu..
kom gw bermasalah skrg ne.. maren kena virus.. gw scane dgn ansav.. bersih sudah smua tuh virus.. dan gw pake tuh kick the worm untuk perbaikan regitry nya.. sebelom saia restar udh normal tuh kompi.. regedit dan tsk manager nya udh bisa d buka..
tapi setelah gw restar kompi gw.. taunya tuh virus balik lg.. dan regedit dan task manager nya gak bisa d buka lg.. alias d disable oleh admin.. akir nya saia instal ulang dah kom nya.. setelah instal ulang.. tau nya ttp sama aja tuh kompi penyakitnya.. regedit dan task manager ttp gak mau d buka.. trus d kompi terdetek virus d system volume nya..
kira2 gmn ea solusinya biar kompi gw bisa normal lg.. :-/
dmn sy bs download tool Kick The Worm ???
thanks
Posting Komentar
Kasi comment ya..hehee...