Buang virus secara manual
Posted: 24 Mei 2008 in KomputerLabel:backdoor sdbot.h, best!.exe, kangen, qaz trojan, rvhost, trojan, vbs.flesh.a, yahoo messenger virus
Pada kebiasaannya, virus akan cuba menyembunyikan fail yang dilarikan. Oleh itu, beberapa fungsi asas tetingkap akan di lumpuhkan. Fungsi-fungsi itu perlu di aktifkan semula supaya fail yang dilarikan dapat dicari dan beberapa aturan tetingkap dapat dikembalikan semula.
Virus biasanya akan menyerang registry / command prompt / task manager / Folder option dan lain-lain (Klik pada text tersebut untuk mengetahui cara-cara mengembalikan semula fungsi di atas). Sekiranya fungsi tersebut berjalan seperti biasa, barulah anda boleh menggunakan kaedah di bawah untuk mengbuang virus.
Rvhost
Buka registry, dan klik edit dan klik find. Cari file ini dan musnahkan; RVHOST. Itu sahaja.
Backdoor SDBot.H Trojan
1) Klik Start
2) Klik Find or Search (bergantung pada Windows versi)
3) Klik Files or Folders atau All Files and Folders
4) Taips I5Eexplore dan enter
5) Buang fail tersebut
6) Klik Start, Run, taip REGEDIT
7) Buang fail seperti dibawah
“Config Loadatiorin”=”<I5Eexplore.exe>”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
8) Keluar dan restart komputer anda.
BadTrans Trojan Virus
1) Klik Start, Run
2) Taip SYSEDIT dan kilk OK
3) Tik dekat WIN.INI window dan cari baris RUN
4) Buang ia dan simpan file yang di edit tadi. (ctrl+S)
C:\WINDOWS\INETD.EXE
Sekarang anda update anti virus yang di install di komputer anda dan jalankan scan. Anda akan dapati fail KERN32.EXE dan CP_23421.NLS. Buang fail ini jika anti virus anda tidak boleh membuangnya. Restart komputer.
VBS.Flesh.A
Klik Start, Run, taip regedit dan enter. Pergi ke
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Anda akan dapat melihat seperti “name REG_SZ “C:\Windows\name.vbs””Buang fail ini. Pergi ke
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
dan buang tajuk window itu. Buang fail ini “C:\Windows\name.vbs”
QAZ trojan
Klik START, RUN dan taip REGEDIT dan ENTER. Pergi ke
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Cari fail yang mencurigakan seperti ini “startIE=XXXX\Notepad.exe.” dan terus buang tanpa berfikir panjang. Simpan dan tutup semua window, restart komputer dan anda namakan semula fail Note.com ke Notepad.exe.
Buang Virus Yahoo Messenger.
Kena disable system restore dulu sebab virus ini
boleh restore balik execute fail dia bila kita buang. Cari dan buang
fail ini. “svhost.exe dan svchost32.exe”. Buang autostart.inf / autorun.inf fail dalam registry, kena buka registry, dan cari kawasan ini.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Cari dan buang fail ini, Task Manager = “%Windows%\system\svchost32.exe” Svchost=“%Windows%\system\svhost.exe”. Buang kunci dan data ini.
HKEY_CURRENT_USER\Software\Yahoo\pager\View
Cari dan buang fail ini. YMSGR_buzz dan YMSGR_Launchcast. Cari fail
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
dan buang Homepage = “1″ Cari
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
dan buang data NoRun = “1″. Tutup semua browser dan
reset balik browser anda dan buang semua temporary data dan cookies dan
buang apa dalam cache.
MSBLAST or MSBLASTER wormVirus ni begitu hebat sehingga ia boleh mengakibatkan komputer anda tutup dengan sendiri. Tetapi anda boleh matikan arahan itu (jika satu popup keluar yang mengatakan “This shutdown was initiated by NT AUTHORITY\SYSTEM”) dengan anda klik pada window – run dan taip shutdown -A. Arahan ini akan menyahaktifkan arahan virus tadi. Cara nak buang virus ni susah sikit dan leceh kerana ia telah patchkan file ke beberapa tempat dalam komputer anda.
- Terlebih dahulu anda perlu cabut kabel internet.
- Anda perlu matikan beberapa fail yang diaktifkan oleh virus. Anda perlu buka task manager (ctrl+alt+del) dan tab ke processes dan matikan file ini. MSBLAST.EXE PENIS32.EXE TEEKIDS.EXE MSPATCH.EXE MSLAUGH.EXE ENBIEI.EXE.
- Anda kena muat turun dan install KB824146. Untuk buang virus ini, kebanyakan di internet menyuruh anda meng install DCOM RPC untuk di patch ke komputer. Microsoft sendiri yang mengeluarkan fail ini dan sebenarnya ialah adalah laluan ulat (worm) itu sendiri. Fail ini memang ada pada versi terbaru window xp dan ke atas. Oleh itu aku cadang guna yang KB824146, pon ia dari window tapi lebih selamat sikit. Jika anda mahu menggunakan DCOM RPC juga anda boleh teruskan kerana di bawah nanti anda akan tutup port yang menjadi laluan ia bergerak ke internet.
- Dengan fail itu, anda perlu tutup port tcp 4444 dan tutup port tcp 135 dan udp 69.
- Sekarang anda perlu buka registry untuk buang beberapa data yang dibuat oleh ulat. Anda perlu pergi HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run dan buang fail ”windows auto update” = MSBLAST.EXE (variant A), ”windows auto update” = PENIS32.EXE (variant B), ”Microsoft Inet xp..” = TEEKIDS.EXE (variant C), “Nonton Antivirus”=MSPATCH.EXE (variant E), “Windows Automation” = “mslaugh.exe” (variant F), “www.hidro.4t.com”=”enbiei.exe” (variant G).
- Anda sebenarnya perlu tutup system restore bagi membolehkan proses membuang ulat ini lancar. Sekarang anda perlu klik pada start dan search atau find. tab look in tu anda set pada window root (biasanya C:) dan pada advanced option anda klik search system folder dan search hidden fail. Di atas tadi aku dah senaraikan beberapa fail yang perlu di tutup dan fail itu yang anda kena cari dan buangkannya. empty recycle bin sekali.
- Sekarang anda perlu reboot komputer dan try tengok ada lagi ke fail ulat itu.
- Anda buka search atau find, dan macam biasalah, look in kat c: (window system file). Pastu kat more advanced option, klik pada search system folder dan search hidden file. Cari fail yang bernama ccapps.exe dan kangen.exe, buangkan aja. (shift+del)
- Anda buka registry dan klik kat edit buka find. Cari fail ccapps.exe untuk dihapuskan. Biasanya ada kat HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.
- Jangan lupa untuk buang fail yang terdapat pada temp folder. biasanyafolder ni ada kat window root (c:\documents and setting\temp). Kalau tak ada bukan bermakna folder itu tak wujud tetapi cuma di hidden aje. pergi kat folder option dan klik pada show hidden file dan uncheck hide extension for know file. klik apply dan ok.
- Restart komputer anda dan jalan pada safe mode. tekan F8 masa mula-mula ia berjalan. Nanti akan keluar banyak pilihan dan anda pilih untuk safe mode.
- Bila dah masuk window, anda buka registry. Anda pergi ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run untuk buang data “Taskmon”=”%System%\taskmon.exe”. Selepas itu anda ke HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version dan HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version untuk buang data dalamnya. Pergi ke HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 untuk ubah semua fail “%System%\shimgapi.dll”.
- Anda simpan registry dan keluar. Buka search atau find. (tutup system restore dulu. cari fail shimgapi.dll dan taskmon.exe. JANGAN BUANG FAIL SEPERTI TASKMON.EXE DALAM NORMAL WINDOW FOLDER. Fail-fail tersebut biasanya dalam keadaan tersembunyi (hide), jadi anda perlu klik pada more advanced option dan klik search hidden file.
- Buka task manager. Ia akan prompt password tetapi anda cuba bukan sekali lagi tanpa menutup tetingkap password tersebut.
- di tab process, cari file window.exe atau best.exe dan terminate (end tree process)
- buka search, dan cari file BEST!!.exe yang ber’icon’ folder. begitu juga file window.exe. pilih semua fungsi di advanced options. buang file berkenaan.
- buka registri melalui command prompt, cari file best.exe dan window.exe. BUT… JANGAN ANDA TERSALAH BUANG KEY DI REGEDIT TU!!!
HKEY_CURRENT_USER,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\system32\mizi\window.exe.
## ubah sesetengah fungsi di registri ##
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun,1
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoClose,1
HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion,RegisteredOrganization,170188
### tidak perlu mengunakan safe mode untuk melakukan tugasan ini ###
———————————————————————————————————–
P/S ~ Jika anda telah mengikut / buat apa yang dicadangkan di atas, sila pastikan selepas itu anda:
- Baik pulih sistem operasi (repair window) menggunakan cd yang dibeli / ada.
- Mempebaharui (update window) sistem operasi.
- Mempebaharui (update antivirus) antivirus dan memulakan semula sistem operasi anda (restart).
- Scan semua fail menggunakan antivirus.
Tidak ada komentar:
Posting Komentar