Anti Virus MAXTROX


Virus MaxTrox (Maximum Troxer) yang dideteksi sebagai W32/Dloader.HFZC, mengubah wallpaper desktop di komputer menjadi gambar MaxTrox. Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember.

Untuk membersihkan virus MaxTrox, ikuti langkah-langkah berikut ini:

1. Sebaiknya lakukan pembersihan pada mode Safe Mode.

2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager yang dapat didownload di: http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html.

Lakukan kill process, pada file virus yang aktif yaitu:

  • C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe (nama virus random/acak, semisal aizw.exe, scnp.exe, dll).

3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini:

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0

[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE

  • Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
  • Jalankan repair.inf dengan klik kanan, kemudian pilih install.
  • Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :

  • Icon “WinRAR”
  • Ekstensi *.exe, *.scr, *.msd, *.sysm
  • Ukuran 77 KB

Catatan:

  • Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
  • Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
  • Hapus file virus yang biasanya mempunyai date modified yang sama.

5. Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus).

6. Ubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat, misalnya Extention Renamer.

7. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang ter-update dan dapat mengenali virus tersebut untuk mempermudah penghapusan virus.

 

 

bisa juga menggunakan PCMAV 19

 

selamat mencoba

About these ads

~ by cyberjagaditha15 on November 27, 2008.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
Follow

Get every new post delivered to your Inbox.

%d bloggers like this: