Membersihkan virus Nita

Keberadaan virus lokal memang tidak pernah ada habisnya. Para pembuat virus lokal tetap bersemangat untuk menciptakan virus-virus terbaru.

Salah satunya adalah virus yang dibuat dengan bahasa Visual Basic yaitu virus Nita. Virus ini akan dikenali oleh antivirus sebagai VBTroj.NYH.

Berikut ciri-ciri serta langkah untuk membersihkan virus Nita seperti dirangkum dari vaksin:

A. Ciri-ciri virus Nita

1. Muncul pesan error saat membuka file dengan menggunakan program “notepad” seperti *.txt, *.ini, *.log, *.inf.

2. Muncul header tambahan pada jendela internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”

3. Muncul 3 menu palsu pada menu “Send To” yakni “Image, My Picture dan Send to”. Ketiga menu palsu tersebut jika di klik maka secara otomatis akan menjalankan file virus.

4. Muncul pesan error saat menjalankan fungsi windows tertentu atau saat menjalankan removal tools seperti regedit, msconfig, cmd, ansav atau avigen antivirus sehingga membuat file tersebut tidak dapat di jalankan.

5. Membuat folder “NITA_WORM was here.exe” sebagai default install pada saat menginstall suatu program atau aplikasi.

6. Munculnya file duplikat di setiap folder termasuk di media penyimpanan “Flash Disk” yang mempunyai ukuran file 108 KB dengan icon “Folder”.

B. Cara membersihkan virus Nita

1.Putuskan hubungan komputer yang akan dibersihkan dari LAN

2.Matikan “system restore” selama proses pembersihan.

3.Matikan proses virus yang mempunyai icon folder dengan menggunakan tools pengganti task manager seperi tools Ice sword. Silahkan download tools tersebut di alamat berikut:

http://202.38.64.10/%7Ejfpan/download/IceSword120_en.zip

4. Hapus registry yang sudah di buat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program notepad kemudian simpan dengan nama “repair.vbs” kemudian jalankan file tersebut (klik 2x file repair.vbs)

------- awal script -------

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\loader")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\loader")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\FriendlyTypeName","C:\Windows\System32\setupapi.dll,-2000"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE\")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir","C:\Program Files"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Info Tip","prop:FIleDescription;Company;FileVersion;Create;Size"

oWSH.RegDelete("HKEY_CLASSES_ROOT\sysfile")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sysfile")

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\CursorBlinkRate","530"

------- akhir script -------

5. Hapus file duplikat yang dibuat oleh virus Nita termasuk ke media Flash Disk. Untuk mempercepat proses mencarian sebaiknya gunakan fungsi “Search windows”. Jangan sampai terjadi kesalahan dalam penghapusan file duplikat tersebut, hapus file yang mempunyai ciri-ciri:

• Menggunakan ikon folder
• Ukuran 108 kb
• Type File “Application”
• Ekstensi EXE

6. Untuk Pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus Norman Virus Control yang sudah dapat mendeteksi dan membasmi virus ini. Jika anda menggunakan antivirus lain, silahkan gunakan removal tools Norman Malware Cleaner (Gratis).

Silahkan download antivirus Norman Virus Control trial di alamat berikut :
http://www.norman.com/Download/Trial_versions/

Silahkan download removal tools Norman Virus Control di alamat berikut :
http://download.norman.no/public/Norman_Malware_Cleaner.exe

Referensi: vaksin.com