Box Breaker Hosting

You are hereBlogs / roemasa's blog / Membersihkan virus hopeless (Dloader.ERQB)

Membersihkan virus hopeless (Dloader.ERQB)

By roemasa - Posted on 05 January 2009

Virus Ada beberapa penyebab seseorang membuat virus komputer. Ada yang karena ingin tahu seberapa jauh keahlian komputer dia, sebagai bahan percobaan/penelitian, untuk pamer/cari nama dan juga karena dia putus asa akibat dari diputusin pacar, dimarahi orangtua/guru dan sebagainya.

Dan umumnya emosi yang negatif seperti rasa putus asa itu yang membuat perkembangan virus lokal tidak pernah surut. Salah satu virus lokal terbaru adalah virus hopeless (Dloader.ERQB).

Bagaimana ciri-ciri dan cara membersihkan virus hopeless ini?

Berikut adalah ringkasan dari artikel vaksin.com tentang ciri-ciri virus hopeless dan bagaimana membersihkan komputer kita dari virus ini:

A. Ciri-ciri virus hopeless atau Dloader.ERQB

Berbeda dengan pendahulunya, virus ini dibuat dengan script bahasa BASIC menggunakan software Autoit versi 3 yang kemudian di kompress dengan program UPX. Dengan program UPX, virus dapat di kompress sehingga ukurannya tidak terlalu besar dan dapat memudahkan dalam penyebaran. Tujuan mengkompres ukuran ini adalah karena makin kecil ukuran file suatu virus, akan makin mudah di sebarkan.

Setelah di kompress dengan UPX, virus memiliki ciri-ciri sebagai berikut :
* Menggunakan icon folder
* Ukuran file 247 kb
* Extension file *.exe
* Type file “Application”

Jika sudah terinfeksi virus “Hopeless”, maka virus akan menimbulkan gejala berikut:

* Blok beberapa fungsi windows seperti Task Manager, Command Prompt dan Registry Editor.
* Menghilangkan fungsi windows seperti Run, Find, Folder Options dan Log Off
* Membuka jendela IE tambahan (jika kita membuka jendela IE) dengan link URL http://wewe.helo_iam_hopeles_.com    
* Duplikasi file virus pada seluruh drive dan folder (baik root maupun sub folder)

B. Cara membersihkannya

Untuk membersihkan virus hopeless atau Dloader.ERQB ikuti langkah-langkah berikut:

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Sebaiknya lakukan pembersihan pada mode safe mode.
3. Matikan proses virus, gunakan tools pengganti task manager, seperti Itty Bitty Process Manager.
Lakukan kill process, pada file virus yang aktif yaitu :

* C:\WINDOWS\system32\spool\idle.exe
4. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

5. Hapuskan file induk serta file duplikat yang telah dibuat oleh virus “Hopeless”, dimana file tsb mempunyai ciri-ciri sebagai berikut :
o Ukuran file 247 kb
o Icon file folder
o Extension file *.exe
o Type file “Application”

Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search]

6. Untuk pembersihan yang optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus dengan baik.

Referensi: Vaksin.com

 

 

 

Bookmark/Search this post with
Tags
tanya
Submitted by dewo (not verified) on Thu, 05/14/2009 - 21:25.

salam kenal, nama saya dewo
saya tidak menemukan process C:\WINDOWS\system32\spool\idle.exe
adanya C:\WINDOWS\system32\spoolsv.exe
apakah file tersebut yang dimaksud?
Mohon petunjuknya..
Sebelumnya saya ucapkan terima kasih

Re: tanya
Submitted by roemasa on Fri, 05/15/2009 - 11:32.

spoolsv.exe adalah service yang bertanggung jawab mengatur 'spooled print/fax jobs'. Dan disebutkan juga dalam kasus lainnya service ini bisa jadi sebuah virus, spyware, trojan atau worm.
Coba gunakan antivirus yang terupdate untuk mengecek service yang satu ini.

Dhuha Network

- Depoku

- Dhuha

- Jafar Soddik

- Ubuntudoctor

Tags

more tags