Tips Langkah untuk Remove Virus Bulu Bebek

Hari Minggu kemaren OS Windows di Notebook aku kena virus, awalnya bingung juga kenapa virus apa nich Windows, soalnya ketika masuk kantor dan jalani aplikasi kok rasanya lambat banget. Setelah cek sana dan cek sini kok ada yang aneh. Dimana gejala yang aku temukan manggil program “command prompt” bisa tapi langsung “close” sendiri, manggil “task manager” dan “regedit” serta “search file” tidak bisa.  Aku coba liat di startup, ada aplikasi yang jalan dengan nama Script.exe yang di eksekusi dari folder Windows. Karena mencurigakan dan memiliki keanehan alias gak lazim, aku coba cari ke dalam folder tersebut file itu gak ada.

Maka akhirnya aku menuju ke salah satu tempat pencarian solusi akhir “google” dan dari situ didapat info yang bersangkutan tersangkut paut dengan “bulu bebek” . Ya, virus bulu bebek yang menurut vaksin.com mungkin karena terinspirasi oleh Donal Bebek. Tapi kalo menurut gw sich itu maksa banget disangkut pautkan (tapi mungkin juga benar sich, gw gak mau urusin).

Virus Bulu Bebek sendiri bekerja dengan menyembunyikan folder/subfolder pada flash disk dan membut file duplikat sesuai dengan nama folder/subfolder tersebut untuk mengelabui user. Ciri-ciri file duplikat tersebut antara lain: menggunakan icon Folder, berukuran 53 KB, berekstensi .EXE dan menggunakan tipe file “Application”.

Pada saat virus ini aktif, ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user mengakses folder.

Dan gw disitu dapat solusi untuk cara ngebersihinnya, yaitu :

1.Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)

2.Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)

3.Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”.

4.Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0×00010001,2

HKCU, Software\Microsoft\Command Processor, AutoRun,0,

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

5. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan.

Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.

Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri :

• • • Menggunakan icon Folder

    • Ukuran file 53 KB

    • Ekstensi EXE

    • Type File “Application

1. Tampilkan kembali file/folder pada HardDisk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB

Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB

• Klik “Start”

• Klik “Run”

• Ketik “CMD”, kemudian tekan tombol “Enter”

• Pindahkan posisi kursor ke drive Hard Disk

• Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”

atau bisa juga langsung download file untuk “ATTRIB” ini di sini

7. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.

Related posts:

1. Tips Membersihkan Virus W32/OnlineGames
2. Tips Membersihkan Virus Yahoo Messenger
3. Tips dan Script Membasmi Virus W32/Smalltroj si Pengeksploitasi Google
4. News Ciri dan Indikasi Virus Hopeless II
5. Tips for Remove or Disable Restart Popup after Automatic Update

This entry was posted on Tuesday, January 13th, 2009 at 7:21 am and is filed under Notes. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.