skip to main |
skip to sidebar
Coutsonif.A mengirimkan pesan yang sekilas seperti pesan pada umumnya. Namun jangan sampai mengklik link yang diberikan, sekalipun dikirimkan oleh teman Anda. Pasalnya, pesan tersebut sebenarnya bukan dikirimkan oleh rekan Anda, melainkan oleh virus yang telah berhasil menginfeksi komputer rekan Anda.
Nah, jika sudah terinfeksi, maka secara otomatis ia akan membuat nama file acak dengan ekstensi .tmp dan .exe yang akan disimpan di direktori “C:\Documents and Settings\%user%\Local Settings\Temp” dengan nama yang berbeda-beda.
Kalau sudah begini, user hanya bisa pasrah dan tak tenang beraktifitas di internet lagi. Bahkan, bisa-bisa nama baiknya pun rusak karena dituduh menyebarkan virus juga. Sebab, si penerima pesan menduga temannya yang sengaja mencelakakan dirinya dengan mengiriminya virus.
Makanya, sebelum kejadian itu terjadi. Ada baiknya Anda simak 6 cara jitu untuk membasmi virus perusak nama baik yang menyerang aplikasi chat ini seperti dilansir Vaksin.com:
1. Disable ‘System Restore’ selama proses pembersihan.
2. Disable autorun Windows, agar virus tidak dapat aktif secara otomatis saat akses ke drive /flash disk.
Klik tombol ‘Start‘
Klik ‘run’ Ketik ‘GPEDIT.MSC‘, tanpa tanda kutip. Kemudian akan muncul layar ‘Group Policy‘
Pada menu ‘Computer Configuration dan User Configuration‘, klik ‘Administrative templates‘
Klik ‘System‘
Klik kanan pada ‘Turn On Autoplay‘, pilih ‘Properties‘. Kemudian akan muncul layar ‘Tun on Autoplay Properties‘
Pada tabulasi ‘Setting‘, pilih ‘Enabled‘
Pada kolom ‘Turn off Autoplay on‘ pilih ‘All drives‘, Klik ‘Ok‘
3. Matikan proses virus, gunakan tools ‘security task manager‘ kemudian hapus file sysmgr.exe, vshost.exe, winservices.exe, *.tmp
Sekadar catatan, .tmp menunjukan file yang mempunyai ekstensi TMP [contoh: 5755.tmp]. Klik kanan pada file tersebut dan pilih ‘Remove‘, lalu pilih opsi ‘Move File to Quarantine‘.
4. Repair registry yang sudah diubah oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf, lalu pilih Instal.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, SessionInformation, ProgramCount, 0×00010001,3
HKCU, AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current,,,”C:\WINDOWS\media\Windows XP Pop-up Blocked.wav”
HKCU, AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current,,,”C:\Windows\media\Windows XP Recycle.wav”
HKCU, AppEvents\Schemes\Apps\Explorer\Navigating\.Current,,,”C:\Windows\media\Windows XP Start.wav”
HKCU, AppEvents\Schemes\Apps\Explorer\SecurityBand\.current,,,”C:\WINDOWS\media\Windows XP Information Bar.wav”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft(R) System Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, bMaxUserPortWindows Service help
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, MaxUserPort
5. Hapus file virus berikut:
C:\vshost.exe [all drive]
C:\autorun.inf [all drive]
C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
C:\Documents and Settings\%user%\Local Settings\Temp
A415.tmp [acak]
034.exe [acak]
Lady_Eats_Her_Shit–www.youtube.com
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\TEMP\5755.tmp
C:\windows\system32\crypts.dll
C:\windows\system32\msvcrt2.dll
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang dapat mendeteksi dan membasmi virus ini up to date.
Setting GPRS Semua Operator
Setting GPRS Telkomsel
Connection Name : Telkomsel
Data Bearer : GPRS
Access Point Name : telkomsel
Username : wap
Prompt Password : No
Password : wap123
Authentication : Normal
Proxy address : 10.1.89.130
Homepage : http://wap.telkomsel.com
Connection Security : Off
Session Mode : Permanent
Setting GPRS Matrix
Connection Name : Satgprs
Data Bearer : GPRS
Access Point Name : satelindogprs.com
Username : (kosongkan)
Prompt Password : No
Password : (kosongkan)
Authentication : Normal
Proxy address : 202.152.162.250
Homepage : http://satwap
Connection Security : Off
Session Mode : Permanent
Setting GPRS IM3
Connection Name : M3-gprs
Data Bearer : GPRS
Access Point Name : www.indosat-m3.net
Username : gprs
Prompt Password : No
Password : im3
Authentication : Normal
Proxy address : 010.019.019.019
Homepage : http://wap.indosat-m3.net
Connection Security : Off
Session Mode : Permanent
Setting GPRS XL
Connection Name : XL-gprs
Data Bearer : GPRS
Access Point Name : www.xlgprs.net
Username : xlgprs
Prompt Password : No
Password : proxl
Authentication : Normal
Proxy address : 202.152.240.50
Homepage : http://wap.lifeinhand.com
Connection Security : Off
Session Mode : Permanent
Setting MMS
Setting MMS Telkomsel
Connection Name: tel-MMS
Data Bearer: GPRS
Access Point Name: mms
Username: wap
Prompt Password: No
Password: wap123
Authentication: Normal
Proxy address: 10.1.89.150
Homepage: http://mms.telkomsel.com/
Connection Security: Off
Setting MMS Mentari dan Matrix
Connection Name : sat-MMS
Data Bearer : GPRS
Access Point Name : mms.satelindogprs.com
Username : satmms
Prompt Password : No
Password : satmms
Authentication : Normal
Proxy address : 202.152.162.88
Homepage : http://mmsc.satelindogprs.com.
Connection Security : Off
Setting MMS IM3
Connection Name : M3-MMS
Data Bearer : GPRS
Access Point Name : mms.indosat-m3.net
Username : mms
Prompt Password : No
Password : im3
Authentication : Normal
Proxy address : 010.019.019.019
Homepage : http://www.mmsc.m3-access.com
Connection Security : Off
Setting MMS XL
Connection Name : XL-MMS
Data Bearer : GPRS
Access Point Name : www.xl.mms.net
Username : xlgprs
Prompt Password : No
Password : proxl
Authentication : Normal
Proxy address : 202.152.240.50
Homepage : http://mmc.xl.net.id/sevlets/mms
Connection Security : Off
MENTARI :
Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 3000
Contoh: GPRS NOKIA 7650
Setting GPRS Manual :Profile Name INDOSATGPRS
User name : indosat
APN : www.satelindogprs.com
Password : indosat
Gateway IP : 10.19.19.19
Homepage : http://wap.klub-mentari.com
Data Bearer : GPRS
Proxy port number :
» MATRIX :
Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 3939
Contoh: GPRS NOKIA 7650
Setting GPRS Manual :Profile Name satelindo Homepage
User name :
APN : www.satelindogprs.com
Password :
Gateway IP : 202.152.162.250
Homepage : http://wap.matrix-centro.com
Data Bearer : GPRS
Proxy port number : 9201
» IM3 :
Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 3939
Contoh: GPRS NOKIA 7650
Setting GPRS Manual :Profile Name
User name : gprs
APN : www.indosat-m3.net
Password : im3
Gateway IP : 010.019.019.019
Homepage : http://wap.m3-access.com
Data Bearer : GPRS
Proxy port number : 9201 atau 8080
» XL :
Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 9667
Contoh: GPRS NOKIA 7650
Setting GPRS Manual : Profile Name : XL GPRS
User name : xlgprs
APN : www.xlgprs.net
Password : proxl
IP Address : 202.152.240.50
Homepage : http://wap.lifeinhand.com
Data Bearer : GPRS
Proxy port number : 8080
» TELKOMSEL :
Setting GPRS OTA :
Ketik SMS: S‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 5432
Contoh: S NOKIA 7650
Setting GPRS Manual : Profile Name : TSEL GPRS
APN : Telkomsel
User name : wap
Prompt Password : No
Password : wap123
Authentication : Normal
Gateway IP address : 10.1.89.130
Homepage : http://wap.telkomsel.com
Connection Security : Off
Session Mode : Permanent
Virus W32/Smalltroj. VPCG menjadi salah satu program jahat yang wara-wiri di akhir tahun ini. Virus ini akan memblok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik Google.
Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website www.google.com.
Berikut 9 langkah untuk membersihkan W32/Smalltroj. VPCG yang diramu Vaksincom:
1. Nonaktifkan System Restore selama proses pembersihan berlangsung.
2. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet.
3. Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.
4. Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD. Hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan driver sulit untuk dihentikan. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [File Management]
l Klik menu [Windows Explorer]
l Kemudian hapus file berikut:
o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf
5. Hapus registri yang dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:
l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [Registry Tools]
l Klik [Avast! Registry Editor]
l Jika muncul layar konfirmasi kelik tombol "Load....."
l Kemudain hapus registry : (lihat gambar 6)
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
ü Ubah value pada string Userinit menjadi = userinit.exe,
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]
6. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0
HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0
HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKLM, SYSTEM\ControlSet001\Services\kernelx86
HKLM, SYSTEM\ControlSet002\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\kernelx86
HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\mojbtjlt
HKLM, SYSTEM\ControlSet002\Services\mojbtjlt
HKLM, SYSTEM\ControlSet001\Services\Passthru
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe.
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman.com/support/support_tools/58732/en.
Bagi Anda yang tidak ingin data penting hilang ataupun dicuri sebaiknya jangan sampai terinfeksi virus OnlineGames. Hindari eksekusi maupun instalasi pada program maupun software yang tidak dikenal.
Selain itu yang harus diingat, hati-hatilah pada forum online di internet yang menyediakan link-link yang mencurigakan atau tidak Anda yakini keabsahannya.
Khusus untuk perusahaan dengan komputer dalam jaringan yang banyak, Vaksincom menyarankan Anda melakukan filter IP-IP yang mencurigakan. Hasil filtering menggunakan NNP yang dilakukan Vaksincom pada traffic ISP di Indonesia mengkonfirmasikan bahwa W32/OnlineGames merupakan ancaman yang nyata yang harus diwaspadai saat ini.
Namun, jika sudah terlanjur terinfeksi trojan ini, mau tak mau Anda harus sedikit berjuang untuk membersihkan virus OnlineGames, sebelum data-data penting Anda tercuri oleh trojan ini. Berikut langkah-langkah untuk memberantasnya:
1. Matikan System Restore (XP/ME) (pada saat digunakan)
2. Matikan proses virus. Gunakan Windows Task Manager untuk mematikan proses virus.
3. Lakukan End Process pada file virus yang aktif (liser.exe)
4. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oeyy
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kell
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
5. Hapus file virus (liser.exe & liser.dll) secara manual, yaitu pada folder "C:\Program Files\Manson" atau dapat menggunakan tools Norman Malware Cleaner. Anda dapat mendownload pada link berikut http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
