Sampai saat ini kemunculan virus lokal masih terus berlanjut seperti tak mau surut di makan waktu selama masih ada komputer dan perangkatnya mereka (red.virus marker) tidak akan berhenti berkreasi untuk meluangkan sedikit bahkan banyak waktu untuk membuat program yang bernama virus.Salah satu hasil kreasi yang ada saat ini adalah virus dengan nama JeNGKol.
Berikut ciri-ciri jika terinfeksi virus JeNGKol:
* Munculnya file dengan icon JPEG dengan ukuran 14 KB
* Munculnya nama file JeNGKol.vb di setiap folder dan subfolder dengan ukuran file sekitar 14 KB
* Komputer akan Logoff jika user menjalankan file yang mempunyai ekstensi .INF [Klik kanan file .inf | Install]
* Komputer akan Logoff jika user edit file VBS
Target yang akan di incar oleh JeNGKol ini adalah file yang mempunyai ekstensi .DOC yakni dengan menyembunyikan file tersebut, selain itu ia juga akan membuat file duplikat di setiap folder/subfolder sesuai dengan nama file yang ada di folder/subfolder.
Jika komputer sudah terinfeksi, ia akan membuat beberapa file induk berikut:
* %Drive%:\>JeNGKol.vbs
* %DRive%:\>Autorun.inf
* %Allfolder%:\>JeNGKol.vbs
* C:\Documents and Settings\%user%\Favorites\JeNGKol.vbs
* C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
* C:\Windows\JeNGKol.vbs
Catatan:
%Drive% ini menunjukan Drive Hardisk (c:\ atau d:\)
%Allfolder% ini menunjukan folder/subfolder
%user% ini menunjukan user account yang sedang menggunakan komputer
Agar virus tersebut dapat aktif secara otomatis, ia akan membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
* JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
Tetapi file tersebut tidak dapat berjalan sempurna, karena terdapat error pada script yang ada pada file tersebut dengan memunculkan pesan error.
Untuk mempertahankan diri, JeNGKol akan mencoba untuk memblok beberapa fungsi windows seperti : Run, Folder Options, Regedit, Search dan Task Manager.
Duplikat File:
Virus ini akan mencoba untuk membuat file duplikat disetiap folder / subfolder dengan nama file sesuai dengan nama file yang ada pada folder / subfolder tersebut.
Selain itu virus ini akan mencoba untuk menyembunyikan file yang mempunyai ekstensi DOC, untuk mengelabui use ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
* Icon JPEG
* Ukuran 14 KB
* Type File “JPEG Image”
Windows File Protection:
JeNGKol juga akan selalu memunculkan pesan “Windows File Protection” setiap saat seolah-olah Windows error atau terdapat file System Windows yang dihapus, sehingga user akan mengira bahwa komputer mengalami kerusakan.
Media Penyebaran
Untuk menyebarkan dirinya, JeNGKol masih menggunakan Flash Disk / Disket dengan membuat file JeNGKol.vbs disetiap folder dan subfolder serta membuat file duplikat disetiap folder / subfolder sesuai dengan nama file yang ada di foldeer/subfolder tersebut.
Agar file ini dapat aktif secara otomatis tanpa bantuan manusia, JeNGKol akan memanfaatkan celah autoplay / autorun dari system operasi Windows dengan membuat file autorun.inf.
Script yang ada pada file ini akan menjalankan file dengan nama JeNGKol.vbs secara otomatis setiap kali flash disk dicolokkan ke komputer.
Cara membersihkan JeNGKol :
1.Putuskan komputer yang akan dibersihkan dari jaringan (LAN)
2.Nonaktifkan "System Restore" selama proses pembersihan (Windows XP)
3.Matikan proses virus. Untuk mematikan proses virus ini dapat menggunakan tools pengganti task manager seprti "Process explorer".
4.Hapus registri yang dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.vbs, kemudiai Jalankan file tersebut (klik 2x)
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command\","C:\Windows\System32\notepad.exe %1"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\","C:\Windows\System32\WScript.exe,2"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLegacyLogonScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLogoffScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideStartupScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunStartupScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run\JeNGKoL")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\NeverShowExt")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\","VBScript Script File"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\FriendlyTypeName","VBScript Script File"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOFind")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NORun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\debugger")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\debugger")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\DisallowRun\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\Run\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")
5. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
* Menggunakan icon JPEG atau VBS
* ukuran 14 KB
* Type file JPEG Image atau VbScript Script File
Untuk mempermudah proses pencarian virus, silahkan gunakan fungsi Search windows. Jika fungsi Search masih belum muncul sebaiinya logoff komputer terlebih dahulu. Setelah itu tampilkan semua file yang tersebunyi dengan merubah setting Folder Option.
Setelah menu Search muncul kemudian cari file duplikat virus. Untuk mempermudah dalam mencari file duplikat virus lakukan setting berikut pada layar Search Results
* All or part of the file name = *.vbs
* Looks in = lokasi drive (C:\ atau D:\)
* What size is it = Specify size (in KB)
1. At Most
2. 15
Seteah semua file duplikat virus berhasil ditemukan hapus file yang mempunyai ciri-ciri seperti di atas.
6. Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Security Suite yang sudah dapat mendeteksi dan membasmi virus ini.
sumber: vaksin.com
Berikut ciri-ciri jika terinfeksi virus JeNGKol:
* Munculnya file dengan icon JPEG dengan ukuran 14 KB
* Munculnya nama file JeNGKol.vb di setiap folder dan subfolder dengan ukuran file sekitar 14 KB
* Komputer akan Logoff jika user menjalankan file yang mempunyai ekstensi .INF [Klik kanan file .inf | Install]
* Komputer akan Logoff jika user edit file VBS
Target yang akan di incar oleh JeNGKol ini adalah file yang mempunyai ekstensi .DOC yakni dengan menyembunyikan file tersebut, selain itu ia juga akan membuat file duplikat di setiap folder/subfolder sesuai dengan nama file yang ada di folder/subfolder.
Jika komputer sudah terinfeksi, ia akan membuat beberapa file induk berikut:
* %Drive%:\>JeNGKol.vbs
* %DRive%:\>Autorun.inf
* %Allfolder%:\>JeNGKol.vbs
* C:\Documents and Settings\%user%\Favorites\JeNGKol.vbs
* C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
* C:\Windows\JeNGKol.vbs
Catatan:
%Drive% ini menunjukan Drive Hardisk (c:\ atau d:\)
%Allfolder% ini menunjukan folder/subfolder
%user% ini menunjukan user account yang sedang menggunakan komputer
Agar virus tersebut dapat aktif secara otomatis, ia akan membuat string pada registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
* JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
Tetapi file tersebut tidak dapat berjalan sempurna, karena terdapat error pada script yang ada pada file tersebut dengan memunculkan pesan error.
Untuk mempertahankan diri, JeNGKol akan mencoba untuk memblok beberapa fungsi windows seperti : Run, Folder Options, Regedit, Search dan Task Manager.
Duplikat File:
Virus ini akan mencoba untuk membuat file duplikat disetiap folder / subfolder dengan nama file sesuai dengan nama file yang ada pada folder / subfolder tersebut.
Selain itu virus ini akan mencoba untuk menyembunyikan file yang mempunyai ekstensi DOC, untuk mengelabui use ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:
* Icon JPEG
* Ukuran 14 KB
* Type File “JPEG Image”
Windows File Protection:
JeNGKol juga akan selalu memunculkan pesan “Windows File Protection” setiap saat seolah-olah Windows error atau terdapat file System Windows yang dihapus, sehingga user akan mengira bahwa komputer mengalami kerusakan.
Media Penyebaran
Untuk menyebarkan dirinya, JeNGKol masih menggunakan Flash Disk / Disket dengan membuat file JeNGKol.vbs disetiap folder dan subfolder serta membuat file duplikat disetiap folder / subfolder sesuai dengan nama file yang ada di foldeer/subfolder tersebut.
Agar file ini dapat aktif secara otomatis tanpa bantuan manusia, JeNGKol akan memanfaatkan celah autoplay / autorun dari system operasi Windows dengan membuat file autorun.inf.
Script yang ada pada file ini akan menjalankan file dengan nama JeNGKol.vbs secara otomatis setiap kali flash disk dicolokkan ke komputer.
Cara membersihkan JeNGKol :
1.Putuskan komputer yang akan dibersihkan dari jaringan (LAN)
2.Nonaktifkan "System Restore" selama proses pembersihan (Windows XP)
3.Matikan proses virus. Untuk mematikan proses virus ini dapat menggunakan tools pengganti task manager seprti "Process explorer".
4.Hapus registri yang dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.vbs, kemudiai Jalankan file tersebut (klik 2x)
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command\","C:\Windows\System32\notepad.exe %1"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon\","C:\Windows\System32\WScript.exe,2"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLegacyLogonScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLogoffScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideStartupScripts")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunStartupScriptSync")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run\JeNGKoL")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\NeverShowExt")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\","VBScript Script File"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\FriendlyTypeName","VBScript Script File"
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NOFind")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NORun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\command.com\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\debugger")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\debugger")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\DisallowRun\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\Run\")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")
5. Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
* Menggunakan icon JPEG atau VBS
* ukuran 14 KB
* Type file JPEG Image atau VbScript Script File
Untuk mempermudah proses pencarian virus, silahkan gunakan fungsi Search windows. Jika fungsi Search masih belum muncul sebaiinya logoff komputer terlebih dahulu. Setelah itu tampilkan semua file yang tersebunyi dengan merubah setting Folder Option.
Setelah menu Search muncul kemudian cari file duplikat virus. Untuk mempermudah dalam mencari file duplikat virus lakukan setting berikut pada layar Search Results
* All or part of the file name = *.vbs
* Looks in = lokasi drive (C:\ atau D:\)
* What size is it = Specify size (in KB)
1. At Most
2. 15
Seteah semua file duplikat virus berhasil ditemukan hapus file yang mempunyai ciri-ciri seperti di atas.
6. Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan Norman Security Suite yang sudah dapat mendeteksi dan membasmi virus ini.
sumber: vaksin.com
Tidak ada komentar:
Posting Komentar