Thursday, May 28, 2015

Mengatasi Virus Facebook

Virus facebook ini menyebabkan facebook kita menyebarkan link2 pada wall teman-teman dan juga pada group-group. Parahnya terkadang link bergambar porno. Sedikitnya ada 2 kemungkinan penjakitan virus ini yaitu lewat penanaman plugin di browser dan penanaman malware. Jadi bersihkan browser dari plugin2 virus dan scan malware du komputer


1). Membersihkan Browser :

- Browser Google Chrome

Jika anda menggunakan browser Google Chrome, sebaiknya anda bersihkan semua ekstension yang mencurigakan. Terutama extension dengan nama Atas Berita.Langkah-langkah membersihkannya:

1. Buka peramban Google Chrome.
2. Ketik ” chrome://extensions ” dibagian kotak ” address bar”. Sesudah diketik, bakal terbuka halaman extension.

3. Cari extension “Atas Berita” dan klck tombol hapus.
4. Bakal ada konfirmasi ” Hapus Atas Berita ! “. Lalu, restart Google Chrome.

- Browser Mozilla Firefox

1. Buka peramban Firefox
2. Ketik ” about : addons ” dibagian kotak ” Go to a website “. Sesudah diketik, bakal terbuka halaman extension.
3. Cari extension ” Full Screen 4. 0 ” dan click tombol remove.
4. Bakal ada konfirmasi ” Full Screen has been removed “. Lalu, restart peramban Firefox.
5. Untuk hindari pencurian informasi dari account Facebook, segera ganti password Facebook.

2). Membersihkan Malware :


-Log out FB (keluar dari account FB).
-Login kembali dan segera ganti password FB.
-Scan computer dengan menggunakan aplikasi penghancur malware seperti “Malwarebytes” (Anda bisa mendownloadnya di google).
Scan computer dengan Antivirus yang paling update (contoh: Smadav 8.7.2, dan AVG 2011).
Untuk pengguna yang sudah mahir, bisa menghapus virus secara manual, dengan cara mencarinya lewat Task Manager atau mencarinya di local disk computer dan biasanya bersarang di c:windows/system32/wmpknc32.exe.

Lebih ampuh lagi masuk ke windows safe mode.
Setting folder dengan show mode (buka my computer – organize – folder and search option - view – centang pada show hidden file, folder, and drives).
masuk ke folder c:/windows/system32 dan cari file wmpknc32.exe lalu delete, jangan lupa kosongkan recycle bin juga.
Klik star, klik di RUN atau kalau di windows7 kotak di atas star, tulis msconfig maka akan muncul kotak msconfig, pilih di kolom StartUp dan hilangkan centang pada file wmpknc32.exe dan hilangkan centang pada file yang mencurigakan lainnya agar tidak semakin menyebar ketika computer dinyalakan.


Kalau anda cukup ahli dan teridentifikasi kemasukan virus W32/Obfuscated.D2!genr lakukan sebagai berikut :

-Disable system restore selama proses pembersihan
-Disconect komputer dari jaringan/internet
-Boot PC dan masuk mode “safe mode”
- Install software “unlocker”
- Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di Neuber.com
- Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:



a.Klik kanan [repair.inf]

b.Klik [install]



[Version]

Signature="$Chicagoquot;

Provider=Vaksincom



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"



[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota

HKLM, SOFTWARE\AGProtect

HKLM, SOFTWARE\47543326

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}


- Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi. Kemudian hapus file berikut::



C:\Documents and Settings\All Users\Application Data\47543326

C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk

C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk

C:\Documents and Settings\Elvina\Application Data\ wiaservg.log

C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp

C:\WINDOWS\Temp\ wpv311256600826.exe

C:\WINDOWS\Temp\ wpv411256806849.exe

C:\Documents and Settings\%user%\reader_s.exe

C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe

C:\WINDOWS\system32\reader_s.exe

C:\Windows\system32\wbem\proquota.exe

C:\windows\system32\sdra64.exe

C:\Windows\system32\lowsec

local.ds

user.ds

user.ds.lll



Catatan:

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:


Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [delete]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)


-Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner.


Lebih ampuh sih format dan install ulang windows dan jangan lupa install antivirus serta lakukan update.

No comments:

Post a Comment