Virus virut mematikan Fungsi:
* Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.
* File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.
* Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.
Replace/Inject Network Driver
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
* ndis.sys
* TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.
File Virus virut
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :
* C:\Documents and Settings\%user%\reader_s.exe
* C:\Documents and Settings\%user%\%user%.exe
* C:\WINDOWS\fonts\services.exe
* C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
* C:\WINDOWS\system32\reader_s.exe
* C:\WINDOWS\system32\servises.exe
* C:\WINDOWS\system32\regedit.exe
* C:\WINDOWS\system32\[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)
* C:\WINDOWS\Temp\[angka_random].exe (beberapa file)
* C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Nah untuk mematikan kerja virus harus mematikan System Restore (XP/ME) (pada saat digunakan)dengan jalan klik kanan my computer, propertise, system restore kemudian centang pada Turn off system restore on all drive
Instal antivirus yang terbaru, jika ingin yang gratisan bisa menggunakan Avira atau Avast atau bisa juga menggunakan antivirus lokal Smadav
Hapus dan matikan proses virus yang aktif.
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.
Hapus string registry yang telah dibuat oleh virus, dengan jalan masuk ke registry editor, kemudian cari file file di bawah ini, jika bingung tekan ctrl+f saja terus delet
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.
Semoga berguna
