ciri virus pandawa:
1. Mendisable akses menuju registry
2. Disable CMD (Command Prompt)
3. Disable Task Manager
4. Disable Klik Kanan
5. Duplikasi seluruh folder dan menyembunyikan folder asli
6. Mengalihkan target wmplayer.exe (Windows Media Player) ke C:\Windows\smss.exe
7. Merubah deskripsi type file exe yang seharusnya Application menjadi File Folder
File yang diciptakan virus ini adalah sebagai berikut :
1. Pada setiap Drive :
Bunga Citra Lestari Hot.exe
Data Asyik.exe
punAKAwan.exe (super hidden)
autorun.inf
msvbvm60.dll
desktop.ini
2. C:\Windows\Pandawa Lima.exe
3. C:\Windows\smss.exe
4. C:\Windows\madrim dengan isi :
897278428 Nakula.exe
897278428 Sadewa.exe
Arjuna 296532809.exe
Bima 296532809.exe
msvbvm60.dll
Yudhistira H81Q72S81Q.exe
5. C:\Windows\Kunti
6. C:\WINDOWS\system32\babatKURAwa.scr
7. C:\Windows\Pandu (berisi msvbvm60.dll)
8. Membuat folder VB di drive C:\ yang berisi :
Majnun32.exe ukuran 42 Kb
Pandawa (bericon folder) ukuran 87 Kb
SMAN4 berformat ZIP berukuran 78 Kb
9. Membuat folder p4nd4w4 (pada setiap drive harddisk) yang berisi :
Folder.htt
Lima.exe
Bunga Citra Lestari Hot.exe
Data Asyik.exe
punAKAwan.exe (super hidden)
autorun.inf
msvbvm60.dll
desktop.ini
2. C:\Windows\Pandawa Lima.exe
3. C:\Windows\smss.exe
4. C:\Windows\madrim dengan isi :
897278428 Nakula.exe
897278428 Sadewa.exe
Arjuna 296532809.exe
Bima 296532809.exe
msvbvm60.dll
Yudhistira H81Q72S81Q.exe
5. C:\Windows\Kunti
6. C:\WINDOWS\system32\babatKURAwa.scr
7. C:\Windows\Pandu (berisi msvbvm60.dll)
8. Membuat folder VB di drive C:\ yang berisi :
Majnun32.exe ukuran 42 Kb
Pandawa (bericon folder) ukuran 87 Kb
SMAN4 berformat ZIP berukuran 78 Kb
9. Membuat folder p4nd4w4 (pada setiap drive harddisk) yang berisi :
Folder.htt
Lima.exe
SolusiAgak sulit memang untuk menghadapi virus ini, karena anda harus meratapi lambatnya komputer yang terlanjur terinfeksi. Tapi, tentu saja segala sesuatu pasti ada solusinya. Dan kebetulan virus ini tidak menghapus data anda. Jadi, akan sangat bodoh jika harus berakhir dengan kata-kata FORMAT ULANG ….. cape deeeeehhhh..
Jika komputer anda memang jelek (maaf, belum ada pemilihan kata-kata lain … hihihi), maka sebaiknya anda harus memanfaatkan kehebatan dari Windows Live CD PE, atau Windows Live CD Mini PE. Hal ini untuk menghindari kejengkelan yang berlebihan karena kenyataan komputer yang super lambat.
Jika komputer anda lumayan bagus, anda bisa memanfaatkan program Ice Sword. Langkahnya sebagai berikut :
1. Masukkan program IceSword ke dalam CD untuk menghindari infeksi virus ini, dan anda akan menjalankannya langsung dari CD
2. Buka Windows Explroer, Aktifkan Menu untuk melihat file superhidden dari folder options yang ada di Tools, karena Virus ini tidak akan memblokir akses menuju folder options, juga tidak menutup akses untuk melihat file superhidden. Mungkin pembuatnya lupa.
3. Jalankan IceSword, kemudian klik Menu Process (yang ada di panel sebelah kiri)
4. Bunuh proses-proses dari virus ini dengan cara klik kanan dan pilih Terminate. File Virus ini bericon folder, sehingga anda tidak akan sulit mengenali prosesnya.
5. Kembali ke Windows Explorer, hapus file-file berikut yang ada di Setiap Drive :
Bunga Citra Lestari Hot.exe
Data Asyik.exe
punAKAwan.exe (super hidden)
autorun.inf
msvbvm60.dll
desktop.ini
6. Kembali ke IceSowrd, klik menu Process, pada ruang sebelah kanan, klik kanan dan pilih refresh. Perhatikan, apakah file yang bericon folder aktif lagi ?, jika ya, langsung saja klik kanan dan pilih Terminate.
7. Kopi Script berikut dan simpan di notepad dengan nama perbaikan.inf (jangan lupa ada .inf-nya).
Signature="$Chicago$"
Provider=AndiBastian
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\exefile, Default, “Application”
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKCU, ControlPanel\Desktop, SCRNSAVE.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, User32
HKCU, Software\Microsoft\Windows\Currentversion\Policies\Explorer,NoDrives
HKCU, Software\Microsoft\Windows\Currentversion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\Currentversion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\Currentversion\Policies\Explorer,NoViewContextMenu
HKCU, Software\Microsoft\Windows Nt\Currentversion\Windows, Load
Cara menggunakannya, klik kanan di file dan pilih Install.
8. Bagaimana dengan file-file yang terinfeksi ????, jangan khawatir, anda tidak perlu mencari dengan cara manual, manfaatkan kinerja dari program Killer Machine. Silakan baca penggunaannya disini.
Terakhir, jangan lupa untuk mengirimkan informasi ini atau sample file yang anda punya ke AntiVirus kebanggan anda.
Sumber : www.andibastian.info
0 comments:
Post a Comment