Selasa, 23 Desember 2008

Tips Pembersihan Virus “ARP” (Microsoft VBS/BAT)

Ciri-Ciri Virus ARP muncul Microsoft.vbs dan Microsoft.Bat di drive C

Tips Pembersihan Virus “ARP” (Microsoft VBS/BAT)

- Disconnect komputer yang terinfeksi dari jaringan lokal/internet.

- Matikan proses virus. Gunakan tools pengganti Task Manager seperti Security Task Manager.
1)Lakukan Delete/Remove (Move By Quarantine) pada proses yang mencurigakan (yang biasanya menggunakan icon Internet Explorer dan berextension *.dll).
2)Lakukan Delete/Remove (Move By Quarantine) pada file virus yaitu Desktopwin.dll/Jview.dll dan ThunderAdvise.dll.
3)Lakukan Delete/Remove (Move By Quarantine) pada AppInit_DLLs (yang dijadikan tempat persinggahan virus).

- Normalkan kembali host file. Gunakan tools pembuka host yang terkunci dan yang telah diubah oleh virus, dalam hal ini gunakan HijackThis.
1)Jalankan Hijackthis, Pilih Open the Misc Tools section.
2)Kemudian pada System tools, pilih Open hosts file manager.
3)Selanjutnya lakukan Delete line(s), setelah baris Localhost (127.0.0.1). Blok seluruh line setelah localhost (127.0.0.1), kemudian Delete line(s).
4)Setelah selesai, Pilih Open in Notepad untuk memastikan host sudah normal, kemudian save file tsb.

- Hapus file temporary dan temporary internet files, gunakan tools pengganti Disk Cleanup agar mempermudah proses penghapusan, dalam hal ini gunakan ATF Cleaner/CCleaner. Pastikan untuk menghapus temporary, history, cookies dan java cache.

- Repair registry yang terinfeksi oleh virus. Buat script pada notepad dengan isi sebagai berikut :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, “”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Object

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad, ThunderAdvise
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad, DesktopWin

1)Simpan dengan nama “repair.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.

- Lakukan pencegahan dari infeksi virus dengan men-disable default share. Buat script pada notepad dengan isi sebagai berikut :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters, AutoShareWks,0×00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters, AutoShareServer,0×00010001,0

1)Simpan dengan nama “repair-share.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.

Agar dapat langsung aktif, buat script dengan notepad dengan isi sebagai berikut :

CD C:\

NET STOP SERVER /Y

NET START SERVER /Y

NET SHARE

EXIT

1)Simpan dengan nama “aktif-share.bat” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan men-dobel klik file tsb.

- Matikan Autoplay Windows, untuk mencegah penyebaran virus melalui media USB/Removable Drive.
Buat script pada notepad dengan isi sebagai berikut :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer, NoDriveTypeAutoRun,0×000000ff,255

1)Simpan dengan nama “disable-autoplay.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.

- Buat file/folder dummy, untuk mencoba memanipulasi virus. Beberapa file tsb diantaranya sebagai berikut :
1)MicroSoft.pif, MicroSoft.bat, MicroSoft.vbs (pada drive C:\).
2)Jview.dll, DesktopWin.dll (pada C:\WINDOWS\AppPatch).

Rubah attribut file dummy tsb menjadi file system. Gunakan fungsi attrib untuk merubah file dummy menjadi file system.

Berikut script membuat file dummy dengan menggunakan notepad :

CD C:\

del microsoft.bat
md microsoft.bat
attrib +s +h +r microsoft.bat

del microsoft.pif
md microsoft.pif
attrib +s +h +r microsoft.pif

del microsoft.vbs
md microsoft.vbs
attrib +s +h +r microsoft.vbs

CD C:\WINDOWS\AppPatch

del jview.dll
md Jview.dll
attrib +s +h +r Jview.dll

del desktopwin.dll
md DesktopWin.dll
attrib +s +h +r DesktopWin.dll

EXIT

1)Simpan dengan nama “dummy-file.bat” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan men-dobel klik file tsb.

- Scan dengan menggunakan antivirus yang terupdate dan dapat mendeteksi virus tsb. Dapat pula menggunakan Norman Malware Cleaner. (dapat di download pada http://download.norman.no/public/Nor…re_Cleaner.exe ).

Note :
Anda bisa menambahkan 1 solusi pencegahan dengan memproteksi PC tsb agar tidak terinfeksi yaitu dengan memproteksi pada ARP (address resolution protocol). Dengan memberikan perintah pada command prompt:

arp –s *ipaddressgateway *macaddressgateway

*ipaddressgateway : merupakan IP Address Gateway jaringan.
*macaddressgateway : merupakan MAC Address Gateway jaringan.
Contoh :
arp –s 192.168.1.1 01-20-E3-44-12-4C

◄ Newer Post Older Post ►