Karena ini bukan polymorpic virus, sangat mudah menghapus dan memberantasnya dg tangan kosong tanpa harus membeli lisensi av mahal sekalipun. Yang penting telaten dan mampu memanfaatkan fitur yg ada di windows.
Yuyun diambil dari kutipan warning message "fady love yuyun" yg ditampilkan oleh virus, ini sesuai dg ungkapan bro Anvie tentaang 80% virus makeradalah seorang pujangga. Pesan itu muncul misalnya saat hendak memunculkan super hidden di folder option. Sedangkan Serviks adalah nama file utama yg bersemayam di folder system32, isinya sama saja dg desktop.ini dan df5srvc.bfe. Banyaknya jenis ekstension berguna untuk virus mengelabui user, saat merasa yakin telah menghapus file induk ternyata masih terdapat file induk cadangan yg jika triger link/autorun.inf/startup terjadi maka akan merestore kondisi ke posisi semula.
coba lakuin tips berikut untuk membasminya :
- matikan proses wscript di process manager.
- saya belum memastikan secara pasti apakah dependencies vbs ini mutlak terhadap file msvbvm60.dll. buat jaga2 di rename/move saja.
- matikan startup script lewat msconfig/tools lain. cek disitu ada 2-3 value run yg menggunakan wscript.
- untuk memastikan file terbaca, set attribut file di cmd dg perintah berikut :drive:\attrib *.* /s /d -s -h [enter]
- pastikan tidak ada file desktop.ini di folder startup start menu.
- search dan delete file desktop.ini, df5srvc.bfe, serviks.sys(system32) dg ukuran 12kb. misalkan tidak yakin maka klik kanan dan open with notepad, misalkan ada kata2 'http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={SUB_PVER} &plcid={SUB_CLSID}
'Microsoft Windows Corporation
' ========================
'Microsoft Windows Serviks
'Hawabek sata irad acab gnolot
'Sataek hawab irad acab uti haletes
bisa dipastikan itu script virusnya. Karena tata penulisan seperti itu maka system heuristic yg membaca standar internal vbscript command tidak berlaku/match.
Mungkin proses pencarian bakal banyak yg muncul, kalo mau gampang pakai saja saja MaleoAV dg memasukkan kode crc32nya. dia tidak akan berubah dan harusnya bisa ketemu script serupa dg berbagai macam ekstension. kalo mau lebih cepat proses scanningnya, silahkan isi database hanya dg nillai crc32 dibawah.
Servickssys;13AADBBF
Autoruninf;7600A5D2
Autoruninf2;1D1B18FF
Desktop.ini16;B01DFEBD
- search dan delete file autorun.inf yg jika di open with notepad berisi pemanfaatan fitur wscript. pastikan folder option super hidden telah dihilangkan centangnya.
- search dan delete file *.lnk dari script tersebut, kalo tidak yakin klik kanan shotcut pilih properties. misalkan kontentnya memanfaatkan fitur wscript untuk mengaktifkan desktop.ini silahkan dihapus. meski sebenarnya sangat mudah membersihkan worm ini dg manual, yg penting matikan proses dan hapus tuntas.
semoga membantu
Tidak ada komentar:
Posting Komentar