1). Membersihkan Browser :
- Browser Google Chrome
Jika anda menggunakan browser Google Chrome, sebaiknya anda bersihkan semua ekstension yang mencurigakan. Terutama extension dengan nama Atas Berita.Langkah-langkah membersihkannya:
1. Buka peramban Google Chrome.
2. Ketik ” chrome://extensions ” dibagian kotak ” address bar”. Sesudah diketik, bakal terbuka halaman extension.
3. Cari extension “Atas Berita” dan klck tombol hapus.
4. Bakal ada konfirmasi ” Hapus Atas Berita ! “. Lalu, restart Google Chrome.
- Browser Mozilla Firefox
1. Buka peramban Firefox
2. Ketik ” about : addons ” dibagian kotak ” Go to a website “. Sesudah diketik, bakal terbuka halaman extension.
3. Cari extension ” Full Screen 4. 0 ” dan click tombol remove.
4. Bakal ada konfirmasi ” Full Screen has been removed “. Lalu, restart peramban Firefox.
5. Untuk hindari pencurian informasi dari account Facebook, segera ganti password Facebook.
2). Membersihkan Malware :
-Log out FB (keluar dari account FB).
-Login kembali dan segera ganti password FB.
-Scan computer dengan menggunakan aplikasi penghancur malware seperti “Malwarebytes” (Anda bisa mendownloadnya di google).
Scan computer dengan Antivirus yang paling update (contoh: Smadav 8.7.2, dan AVG 2011).
Untuk pengguna yang sudah mahir, bisa menghapus virus secara manual, dengan cara mencarinya lewat Task Manager atau mencarinya di local disk computer dan biasanya bersarang di c:windows/system32/wmpknc32.exe.
Lebih ampuh lagi masuk ke windows safe mode.
Setting folder dengan show mode (buka my computer – organize – folder and search option - view – centang pada show hidden file, folder, and drives).
masuk ke folder c:/windows/system32 dan cari file wmpknc32.exe lalu delete, jangan lupa kosongkan recycle bin juga.
Klik star, klik di RUN atau kalau di windows7 kotak di atas star, tulis msconfig maka akan muncul kotak msconfig, pilih di kolom StartUp dan hilangkan centang pada file wmpknc32.exe dan hilangkan centang pada file yang mencurigakan lainnya agar tidak semakin menyebar ketika computer dinyalakan.
Kalau anda cukup ahli dan teridentifikasi kemasukan virus W32/Obfuscated.D2!genr lakukan sebagai berikut :
-Disable system restore selama proses pembersihan
-Disconect komputer dari jaringan/internet
-Boot PC dan masuk mode “safe mode”
- Install software “unlocker”
- Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di Neuber.com
- Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
a.Klik kanan [repair.inf]
b.Klik [install]
[Version]
Signature="$Chicagoquot;
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
- Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi. Kemudian hapus file berikut::
C:\Documents and Settings\All Users\Application Data\47543326
C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
C:\Documents and Settings\Elvina\Application Data\ wiaservg.log
C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
C:\WINDOWS\Temp\ wpv311256600826.exe
C:\WINDOWS\Temp\ wpv411256806849.exe
C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
C:\WINDOWS\system32\reader_s.exe
C:\Windows\system32\wbem\proquota.exe
C:\windows\system32\sdra64.exe
C:\Windows\system32\lowsec
local.ds
user.ds
user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:
Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [delete]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)
-Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner.
Lebih ampuh sih format dan install ulang windows dan jangan lupa install antivirus serta lakukan update.
