Virus ini banyak menyebar di kampus saya, bagaimana tidak, komputer kampus tempat mahasiswa biasa mengambil data kuliah sudah terinfeksi virus ini ;p. Beberapa orang teman sempat meminta bantuan untuk menghapus virus ini. Sayang PCMAV yang saya banggakan pun tak dapat membasmi virus ini. Alhasil instal ulang pun dilakukan, pekerjaan yang paling malas saya lakukan. Setelah mencari-cari akhirnya saya dapatkan cara untuk menghapus virus ini secara manual. Silahkan simak triknya disini.
Sebelum memulai, di artikel ini saya tidak menuliskan cara menggunakan tool/aplikasi yang digunakan dalam membantu menghapus virus ini. Saya hanya menuliskan apa saja yang harus dilakukan terhadap data-data virus ini. Menurut saya tidak efektif dan terlalu berbelit-belit bila di jelaskan, Anda dapat menggunakan penalaran sendiri atau menggunakan aplikasi lain yang kira-kira bisa digunakan membantu Anda.
Download Aplikasi yang di butuhkan :
1. XPsyspad Portable
2. GASAK
3. TuneUp Portable
TuneUppart1 (1,39 MB)
TuneUppart2 (1,39 MB)
TuneUppart3 (1,39 MB)
TuneUppart4 (1,39 MB)
TuneUppart5 (1,39 MB)
TuneUppart6 (1,39 MB)
TuneUppart7 (1,39 MB)
TuneUppart8 (1,39 MB)
Pertama, virus akan mengcopykan file prnjobt.vbe pada direktori c:\windows\system32.Anda hanya dapat melihatnya apabila pada folder options komputer Anda tidak di checklist hide protecting operating system files. Anda tidak dapat meng-unchecklistnya secara manual, karena saat di apply akan selalu kembali pada settingan folder options semula. Untuk itu saya menggunakan TuneUp Repair Wizard yang ada pada aplikasi TuneUp Portable untuk memperbaikinya, kemudian baru bisa di unchecklist hide protecting operating system files pada folder options Anda.
Setelah itu Anda masuk ke direktori c:\windows\system32 dan temukan file prnjobt.vbe, Anda dapat mendeletenya sekarang. Namun ada sedikit masalah, file prnjobt.vbe biasanya tidak bisa di delete begitu saja. Anda perlu mematikan prosesnya yang sedang bejalan terlebih dahulu. Saya menggunakan TuneUp Process Manager pada TuneUp Portable untuk menghentikan prosesnya. Pada proses akan terlihat file Microsoft (r) Windows Based Script Host sedang berjalan. Klik kanan dan terminate prosesnya. Sekarang baru Anda dapat men-delete prnjobt.vbe pada direktori c:\windows\system32.
Di setiap root driver Anda, misalnya c:, d:, e: dst. virus akan mengcopykan file autorun.inf dan mc~.vbe. Untuk itu Anda perlu menghapusnya dengan membuka my computer, kemudian klik folder yang ada pada navigasi atas my computer. Sekarang buka drive Anda satu persatu lewat root dari folder yang terbuka disebelah kiri, jangan membuka drive dengan meng klik langsung dari drive yang ada di sebelah kanan. Cari file autorun.inf dan mc~.vbe. Kemudian delete kedua file tersebut di setiap root drive Anda.
Sekarang induk virus sudah kita tidak ada lagi. Namun masih ada satu masalah, yaitu registry. Saat menginfeksi komputer, virus menambah beberapa perintah registry sehingga biasanya komputer akan tidak terlihat fitur run dan control panel pada start up windows, tidak bisa klik kanan pada ikon windows, tidak bisa mengklik drive dari my computer, mendisable task manager, hingga tidak bisa copy-paste
Fiuh,,,kayanya pekerjaannya banyak sekali,,,..!!!, tapi tidak masalah daripada harus menginstal ulang.
Untuk mengatasi masalah registry, kita perlu meng-enable kan kembali fitur run, saya menggunakan GASAK untuk mengatasi masalah ini, klik tulisan "Gasak Mas" kemudian setelah selesai restart komputer Anda.
Setelah di restart, fitur run masih tidak dapat Anda jalankan, karena itu saya menggunakan run program yang ada pada XPsyspad Portable. Kemudian ketikkan "regedit", dan muncullah si Registry Editor. ;)
Lalu Anda cari ke direktori di bawah ini
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SearchHidden (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SearchSystemDirs (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
StartMenuAdmindTools (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Start_ShowControlPanel (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vbe\OpenWithProgids
VBEFile (jangan dihapus, cukup ubah valuenya menjadi 0)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden
0 (jangan dihapus, cukup ubah valuenya menjadi 0)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
ThumbnailSize (hapus bila terlihat)
64
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
NoChangingWallpaper (jangan dihapus, cukup ubah valuenya menjadi 0)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Disabled (jangan dihapus, cukup ubah valuenya menjadi 0)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HideRunAsVerb (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFileMenu (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoRun (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoSaveSetting (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
NoDiscCPL (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
NoRealMode (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoFolderOptions (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
WinOldApp (hapus bila terlihat)
0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
noAdminpage (hapus bila terlihat)
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
system (hapus bila terlihat)
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt (hapus bila terlihat)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden (hapus bila terlihat)
0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden (hapus bila terlihat)
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
SearchHidden (hapus bila terlihat)
0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
SearchSystemDirs (hapus bila terlihat)
0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
ThumbnailSize (hapus bila terlihat)
64
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vr64 (hapus bila terlihat)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Disabled (hapus bila terlihat)
1
Registry juga di ubah pada direktori berikut. :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\--> (hapus semua registry key, kecuali defaultnya)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ ---> (hapus semua registry key, kecuali defaultnya)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\ -->(hapus semua registry key, kecuali defaultnya)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\ --> (hapus semua registry key, kecuali defaultnya)
Selamat mencoba.
Langganan:
Posting Komentar (Atom)
12 komentar:
silahkan tinggalkan komentar bila kurang jelas
numpang tanya mas..
saya kena virus ini juga..
trus bingung pas di bagian tune up wizard itu..apa yang di benerin ya di bagian situ?
soalnya pas saya lari ke folder option tetep gtu gtu juga mas..
makasih pencerahannya mas..:)
mas gajadi denk yg di atas..
udah bisa kedelete filenya..
tapi pas direstart keluar lagi mas..
jadi regedit meskipun pake xpsyspad juga gabisa..
maap ngerepotin mas..
mas udah bisa masuk registry tapi kebanyakan registry yang mas sebutin di atas koq pada ga ada ya?
maap jadi rame komennya..hehe..
mungkin Anda salah melihat direktori registry nya., saya sudah mencoba pada 3 komputer teman saya dan semuanya berhasil.
coba di teliti lagi
sebagai penjelasan:
HKCU itu HKEY_CURRENT_USER
HKLM itu HKEY_LOCAL_MACHINE
coba di lanjutkan
apabila file prnjobt.vbe sudah dihapus dan saat di restart masih ada itu berarti file autorun.inf dan mc~.vbe pada root drive anda masih belum terhapus dengan baik, atau masih ada di flash disk Anda sehingga virus kembali menginfeksi komputernya.
Satu catatan penting saya saat mendelete autorun.inf dan mc~.vbe harus di explore melalui root dari foldernya (bagian yang ada di kiri windows explorer), jangan mengklik langsung icon drive yang ada di my computer karena autorunnya akan otomatis jalan.
mas kalo mau hapus system registry file gimana ya??makasi..
makasi bangedd ya bro,.. tips nya ngebantu bangedd! top deh!
yups sama-sama bro..
link tune up portable part 6 yang tidak ada kemarin sudah diperbaiki, silahkan download sekarang sudah jalan kok...
om Feiky nanya kira2 pake registry mechanic buat bantu apys system registry bisa ga???
XPsyspad Portable ko ga bisa di download?
Posting Komentar