AMAZON

Monday, January 18, 2010

Be Carefull with W32/VBTroj.CEPA

W32/VBTroj.CEPA 18 Januari 2010

Kalau McGyver membuat virus



Masih ingat film McGyver yang dibintangi oleh Richard Dean Sanderson ? Di tangan McGyver, barang apapun yang ada di dekatnya bisa dijadikan sebagai alat atau senjata yang ampuh. Dengan bantuan Victorinox dan kreativitasnya, ia bisa meracik bahan-bahan yang biasa ada di rumah menjadi senjata mematikan seperti pelontar api sampai merakit bom. Rupanya hal yang sama terjadi pada dunia maya dimana hanya dengan bahasa pemrograman yang dipandang sebelah mata (VB Script) oleh para programmer diciptakan satu virus yang secara de Facto hari ini menjadi virus yang paling ganas dan paling banyak mengganggu di awal tahun 2010. Siapakah dia ? Tidak lain dan tidak bukan adalah Messenger yang di deteksi secara generik dengan nama W32/VBTroj.CEPA. Virus ini mampu melakukan banyak sekali hal seperti menginstal rootkit, memblok akses jaringan dan memanipulasi file hosts Windows supaya bisa melakukan pemblokiran akses ke situs-situs sekuriti pada komputer korbannya. Dan canggihnya lagi, file hosts tersebut di enkrip untuk menghindari deteksi dan perbaikan oleh program antivirus.



Baru-baru ini telah muncul satu virus lain ikut merampaikan acara tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap "hampir" semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca "nama file" dari aplikasi tersebut.

Virus ini juga akan melakukan blok akses ke beberapa situs sekuriti atau situs lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik www.google.com (lihat gambar 1), hal ini secara tidak langsung sebenarnya menyebabkan Ddos terhadap situs Google.com. Apakah ada hubungan atau tidak dengan serangan terhadap Google di China yang mengakibatkan Google mempertimbangkan untuk hengkang .... kita lihat saja. Yang jelas, makin banyak komputer yang terinfeksi oleh virus ini, maka akses (yang secara tidak langsung menyebabkan Ddos) terhadap situs awal Google akan makin tinggi.

Sehingga setiap kali user mencoba untuk akses ke website tertentu termasuk website security / antivirus, maka yang muncul adalah situs www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file HOSTS yang berada di direktori [C:\Windows\ System32\ Drivers\etc]


Gambar 1, Alamat website yang dialihkan oleh virus

Virus ini menyebar sangat cepat dengan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, MSN Messenger dan Skype dengan cara mengirimkan sebuah pesan dan melampirkan link untuk download sebuah file yang direkayasa seolah-olah file gambar (JPG) tetapi sebenarnya merupakan file virus yang sudah dikompres dengan nama file [%file%.JPG. ZIP] dengan ukuran yang berdeda-beda tegantung pada varian yang menginfeksi komputer tersebut, file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan walaupun dari kontak Messenger teman yang anda kenal, memang bukan teman anda yang mengirimkan virus tetapi virus yang menginfeksi komputernya dan memanfaatkan rekening Messengernya. (lihat gambar 2)


Gambar 2, Contoh pesan yang dikirimkan oleh virus

Salah satu hal yang menyebabkan virus ini sukses menyebar selain menggunakan media yang disebutkan di atas, ia juga akan melakukan update untuk memperbaharui dirinya hal inilah yang menyebabkan scaner antivirus tidak dapat mendeteksi virus tersebut. Virus ini semakin kuat bercokol dengan bantuan sebuah file rootkit yang bertugas untuk melindungi file induk yang aktif di memori, sehingga pembersihan yang dilakukan melalui windows Normal, Safe Mode atau safe Mode With Command Prompt terkadang tidak dapat menyelesaikan masalah, bagaimana mengatasi hal ini ? Silahkan simak pada bagian terakhir artikel ini.

Seperti yang sudah di jelaskan di atas bahwa virus ini dibuat dengan menggunakan bahasa Visual Basic, untuk file induk virus ini mempunyai ukuran yang bervariasi tergantung dari varian yang menginfeksi komputer target, biasanya akan mempunyai ukuran di atas 200 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda yang akan di simpan didirektori yang berbeda-beda. (lihat gambar 3)


Gambar 3, File induk virus

Virus ini akan menggunakan icon Project Visual Basic dan untuk beberapa kasus akan menggunakan icon MSN Messanger untuk mengelabui user.



Bagaimana mengenali virus ini?

§ Akan menampilkan website www.google.com pada saat user mengakses web security / web antivirus, untuk beberapa varian tidak akan menampilkan website di atas.

§ Disable CMD dengan cara menutup aplikasi ini secara otomatis saat dijalankan.

§ Untuk beberapa varian, komputer yang terinfeksi akan dapat mengakses komputer lain dalam jaringan. Tetapi sebaliknya, komputer tersebut tidak akan dapat diakses oleh komputer lain dalam jaringan. Salah satu kemungkinan aksi ini dilakukan adalah untuk mempersulit pembersihan dan sekaligus mencegah infeksi ulang pada komptuer yang sudah terinfeksi.

§ Terdapat perubahan pada file [C:\Windows\ system32\ drivers\etc\ hosts], dengan menambahkan daftar alamat website yang akan di blok dengan format penulisan ip 209.85.225.99 yang di ikuti alamat website, untuk beberapa kasus virus ini akan mengenkripsi file hosts tersebut sehingga user tidak dapat mengetahui isi script yang di ubah, dengan bantuan tools maka anda dapat melihat dengan jelas isi dari file hosts tersebut. (lihat gambar 4 dan 5)


Gambar 4, Isi file hosts yang di ubah oleh virus


Gambar 5, Dengan bantuan HijackThis dapat melihat isi file hosts yang diubah dan dienkripsi oleh virus

Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.CEPA (lihat gambar 6)


Gambar 6, Norman Security Suite mendeteksi virus Messenger sebagai W32/VBTroj.CEPA

File induk Virus

Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk yang akan di simpan dibeberapa lokasi yang berbeda-beda yang akan di aktifkan setiap kali komputer dinyalakan. Selain itu virus ini juga akan menyamarkan dirinya sebagai sebuah service Windows dan sebuah drivers yang berfungsi sebagai rootkit yang salah satu tugasnya akan melindungi proses virus yang aktif dimemori sehingga mempersulit dalam proses pembersihan dengan nama file yang berbeda-beda.



Berikut beberapa file yang akan dibuat oleh virus:

* C:\windows\System32

ü Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.

ü %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.

ü secupdat.dat

* C:\Documents and Settings\%user% \%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi) . File ini akan disembunyikan oleh virus guna mempersulit dalam penghapusan.
* C:\Windows\System32 \drivers

ü Kernelx86.sys

ü %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

ü Ndisvvan.sys

ü krndrv32.sys

* C:\Documents and Settings\%user% \secupdat. dat
* C:\Windows\INF

ü netsf.inf

ü netsf_m.inf



Autorun

Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada registri dengan memanipulasi file windows dengan nama ctfmon.exe, Sebenarnya trik ini digunakan agar user tidak curiga, tapi jika dilusuri lebih jauh ini adalah langkah yang brilian karena file ini justru mempunyai peranan yang sangat penting agar dirinya dapat aktif secara otomatis dengan menjalankan file virus yang sudah ditentukan. Selain itu ia juga akan aktif setiap kali user menjalankan file "explorer.exe" atau membuka aplikasi "Windows Explorer"



Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ windows\currentv ersion\run

· ctfmon.exe

Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\ctfmon. exe

· Debugger = %file_induk_ virus%.exe (contoh : wmistpl.exe)

Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ windows nt\currentversion\ winlogon

· shell = explorer.exe "C:\Documents and Settings\%user% \%xx%.exe"

Catatan: %xx%, adalah karakter acak, contoh: rllx.exe

Ø HKEY_LOCAL_MACHINE\ system\ControlSe t001\services

· %xx% menunjukan file acak

o Image path = System32\drivers\ %xx%.sys (contoh: jdwjlyju.sys)

Ø HKEY_LOCAL_MACHINE\ system\CurrentCo ntrolSet\ services

· %xx% menunjukan file acak

o Image path = System32\drivers\ %xx%.sys (contoh: jdwjlyju.sys)



Blok fungsi Windows

Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable System Restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 dan tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:



Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ ole

· EnableDCOM = N



Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ security center

· AntiVirusDisableNot ify = 1

· FirewallDisableNoti fy = 1

· AntiVirusOverride = 1

· FirewallOverride = 1



Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\SystemRestore

· DisableConfig = 1



Ø HKEY_LOCAL_MACHINE\ software\ policies\ microsoft\ windows\windowsu pdate

· DoNotAllowXPSP2 = 1



Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en

· DefaultValue = 0

· CheckedValue = 1



Ø HKEY_LOCAL_MACHINE\ system\ControlSe t001\control\ lsa

· restrictanonymous = 1



Ø HKEY_LOCAL_MACHINE\ system\CurrentCo ntrolSet\ control\lsa

· restrictanonymous = 1



Ia juga akan merubah registry berikut:



Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon

· userinit = C:\WINDOWS\system32 \Userinit. exe, ,C:\Documents and Settings\%user% \%files_virus% .exe \s (%file_virus, menunjukan nama file yang berbeda-beda tergantung varian yang menginfeksi, ontohnya: fnhh.exe).



Agar file virus tersebut dapat aktif secara bebas di computer target, ia juga akan mendaftarkan file induk virus tersebut dan rule windows firewall berikut :



Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile\ AuthorizedApplic ations\List

· C:\windows\system32 \%file_induk_ virus%.exe (contoh: wmistpl.exe) = C:\windows\system32 \%file_induk_ virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall



Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplic ations\List

· C:\windows\system32 \ file_induk_virus% .exe (contoh: wmistpl.exe) = C:\windows\system32 \%file_induk_ virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall



Selain dengan membuat string registry tersebut, ia juga akan blok "hampir" semua tools sekuriti yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.



Blok akses Internet

Sebagai oleh-oleh ia akan mencoba untuk blok akses ke website security termasuk antivirus, dengan cara menampilkan website www.google.com (untuk beberapa varian tertentu untuk blok akses web sekuriti tidak akan menampilkan web www.google.com).



Untuk melakukan hal ini ia akan merubah isi file Hosts Windows yang berada di direktori [C:\Windows\ System32\ Drivers\Etc\ Hosts] dengan cara menambahkan nomor ip publik www.google.com di ikuti dengan alamat website yang akan diblok dan untuk beberapa kasus virus ini akan mengenkripsi file tersebut sehingga user tidak dapat mengetahui isi dari tersebut. (lihat gambar 7dan 8)


Gambar 7, Isi hosts file windows yang telah di enkripsi


Gambar 8, Isi hosts file windows yang telah diubah oleh virus setelah di dekrip

Update layaknya antivirus

Virus ini dapat melakukan update layaknya program antivirus dengan mendownload beberapa file dari website yang telah ditentukan, file ini biasanya akan di simpan didirektori [C:\Windows\ System32] dengan format file %xxx%.exe@, dimana %xxx% merupakan nama file dan ukuran yang berbeda-beda (contoh: qxzv85.exe@)



Blok akses "Safe Mode" dan "Safe Mode with command prompt"

Untuk beberapa kasus virus ini juga akan berupaya untuk menghapus key "safeboot" sehingga komputer tidak dapat booting ke mode "safe mode" dan "safe mode with command prompt". Untuk melakukan hal ini ia akan menghapus string berikut:



Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t001\Control\ SafeBoot

Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t002\Control\ SafeBoot

Ø HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Control\SafeBoot



Media Penyebaran

Untuk menyebarkan dirinya ia akan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, Gtalk, Skype dan MSN Messenger dengan mengirimkan sebuah pesan kesemua alamat ID yang ada di komputer target dengan menyertakan link untuk mendownload sebuahlampiran yang sudah dikompresi dengan ukuran yang bervariasi sesuai dengan varian yang menginfeksi, file tersebut mempunyai nama file [%file%.JPG. ZIP], file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan kecuali anda mau terinfeksi virus ini.

Pesan yang akan disampaikan mempunyai isi yang berbeda-beda, sedangkan untuk link yang di sertakan salah satunya mengarah kesebuah alamat 208.77.45.10. (lihat gambar 9 dan 10)


Gambar 9, Pesan yang dikirimkan oleh virus


Gambar 10, Salah satu domain tempat untuk download file virus

Cara membersihkan Virus YM



1. Putuskan komputer yang akan di bersihkan dari jaringan maupun internet

2. Ubah nama file [C:\Windws\system32 \msvbvm60. dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.

3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus. Silahkan download software tersebut di alamat http://soft- rapidshare. com/2009/ 11/10/minipe- xt-v2k50903. html



Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara : (lihat gambar 11)



· Klik menu [Mini PE2XT]

· Klik menu [Programs]

· Klik menu [File Management]

· Klik menu [Windows Explorer]

· Kemudian hapus file berikut:



ü C:\Windows\System32

§ Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.

§ %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.

§ secupdat.dat



ü C:\Documents and Settings\%user% \%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi) .



ü C:\Windows\System32 \drivers

§ Kernelx86.sys

§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

§ Ndisvvan.sys

§ krndrv32.sys



ü C:\Documents and Settings\%user% \secupdat. dat



ü C:\Windows\INF

§ netsf.inf

§ netsf_m.inf



Gambar 11, Gunakan Windows Mini PE untuk menghapus file virus

4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya : (lihat gambar 12)

· Klik menu [Mini PE2XT]

· Klik menu [Programs]

· Klik menu [Registry Tools]

· Klik [Avast! Registry Editor]

· Jika muncul layar konfirmasi kelik tombol "Load....."

· Kemudain hapus registry:



ü LOCAL_MACHINE_ SOFTWARE\ microsoft\ windows\currentv erson\run\ \ctfmon.exe

ü LOCAL_MACHINE_ SYSTEM\ControlSe t001\services\ \kernelx86

ü LOCAL_MACHINE_ SYSTEM\CurrentCo ntrolSet\ services\ \kernelx86

ü LOCAL_MACHINE_ SYSTEM\CurrentCo ntrolSet\ services\ \passthru

ü LOCAL_MACHINE_ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\\ctfmon.exe

ü LOCAL_MACHINE_ SOFTWARE\ microsoft\ windows nt\currentversion\ winlogon

§ Ubah value pada string Userinit menjadi = userinit.exe,

ü LOCAL_MACHINE_ SOFTWARE\ microsoft\ windows nt\currentversion\ winlogon

§ Ubah value pada string Shell menjadi = Explorer.exe

ü LOCAL_MACHINE_ SYSTEM\ControlSe t001\services\ \%xx%

ü LOCAL_MACHINE_ SYSTEM\CurrentCo ntrolSet\ services\ \%xx%

ü LOCAL_MACHINE_ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile\ AuthorizedApplic ations\List\ \C:\windows\ system32\ %file_induk_ virus%.exe (contoh: wmistpl.exe)

ü LOCAL_MACHINE_ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplic ations\List\ \C:\windows\ system32\ %file_induk_ virus%.exe (contoh: wmistpl.exe)



Catatan:

%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\ system32\ drivers\]


Gambar 12, Menghapus registry yang diubah oleh virus

5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install



[Version]

Signature="$ Chicago$"

Provider=Vaksincom Oyee



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""

HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"

HKLM, software\microsoft\ ole, EnableDCOM,0, "Y"

HKLM, SOFTWARE\Microsoft\ Security Center,AntiVirusDis ableNotify, 0x00010001, 0

HKLM, SOFTWARE\Microsoft\ Security Center,FirewallDisa bleNotify, 0x00010001, 0

HKLM, SOFTWARE\Microsoft\ Security Center,AntiVirusOve rride,0x00010001 ,0

HKLM, SOFTWARE\Microsoft\ Security Center,FirewallOver ride,0x00010001, 0

HKLM, SYSTEM\ControlSet00 1\Control\ Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\ControlSet00 2\Control\ Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\CurrentContr olSet\Control\ Lsa, restrictanonymous, 0x00010001,0

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, CheckedValue, 0x00010001, 0

SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, DefaultValue, 0x00010001, 0

SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, UncheckedValue, 0x00010001, 1



[ del ]

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe gistryTools

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableCM D

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, ctfmon.exe

HKLM, SYSTEM\ControlSet00 1\Services\ kernelx86

HKLM, SYSTEM\ControlSet00 2\Services\ kernelx86

HKLM, SYSTEM\CurrentContr olSet\Services\ kernelx86

HKLM, SYSTEM\CurrentContr olSet\Services\ mojbtjlt

HKLM, SYSTEM\ControlSet00 1\Services\ mojbtjlt

HKLM, SYSTEM\ControlSet00 2\Services\ mojbtjlt

HKLM, SYSTEM\ControlSet00 1\Services\ Passthru

HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\ Microsoft\ Windows\WindowsU pdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\ Microsoft\ Windows\WindowsU pdate

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\ctfmon. exe



6. Fix registry Windows untuk mengembalikan agar komputer dapat booting "safe mode with command prompt" dengan download file FixSafeBoot. reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara :



o Klik menu [Start]

o Klik [Run]

o Ketik REGEDIT.EXE kemudian klik tombol [OK]

o Pada layar "Registry Editor", klik menu [File | Import]

o Tentukan file .REG yang baru anda buat

o Klik tombol [Open]



7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune .org/public- beta/ATF- Cleaner.exe



8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedi a.com/progDownlo ad/Hoster- Download- 27041.html (lihat gambar 13)


Gambar 13, Restore Host File Windows dengan menggunakan HosterExpert

Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.



9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman. com/support/ support_tools/ 58732/en (lihat gambar 14)


Gambar 14, Hasil deteksi Norman Security Suite

Salam,

Aj Tau

info@vaksin. com



PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160



Ph : 021 3456850
Fx : 021 3456851 lintasberita