15 Mei 2011

Cara Pembersihan Trojan.FakeAV.3510

1.  Untuk pembersihan, Anda dapat menggunakan Tools Dr.Web CureIt! dari antivirus Dr.Web. Silahkan download tools tersebut di alamat berikut:

http://www.freedrweb.com/cureit/?lng=en



Setelah tools tersebut berhasil di download, jalankan tools tersebut dengan cara double click pada file Dr.Web CureIt!. Pada saat muncul konfirmasi “DrWeb CureIt! – Enhanced Protection Mode”, klik tombol [OK], pada saat Anda memilih mode ini Anda tidak akan dapat melakukan aktifitas di komputer hal ini di lakukan agar proses pembersihan dapat dilakukan lebih optimal. (lihat gambar 11)





















Gambar 11, Dr.Web CureIt! – Enhanced Protection Mode


Kemudian akan muncul layar scan “Dr.Web Scanner for Windows – Express Scan”, biarkan sampai proses scan selesai dilakukan. Jika muncul proses pembersihan pada saat proses scan dilakukan, klik tombol [Yes to All), lihat gambar 12.













Gambar 12, konfirmasi pembersihan virus


Untuk pembersihan optimal, scan semua Drive termasuk USB Flash/HDD eksternal dengan memilih opsi [Scan complete] (lihat gambar 13)




















Gambar 13, Scan dengan menggunakan Dr.Web CureIt!


Catatan:

Dr.Web antivirus juga akan secara otomatis mengembalikan HOSTS file Windows yang sudah di ubah oleh Trojan.fakeAV.3510 ke setting awal. Jika muncul konfirmasi perbaikan terhadap file HOSTS Windows yang sudah diubah oleh virus, klik tombol [Yes]. (Lihat gambar 14)


















Gambar 14, Restore HOSTS File Windows dengan menggunakan Dr.Web CureIt!



Klik Restart, jika muncul konfirmasi restart dari antivirus Dr.Web



  1. Fix Registry Windows yang sudah di ubah oleh virus, untuk mempercepat proses perbaikan salin script di bawah ini pada program Notepad dan simpan dengan nama REPAIR.INF, jalankan file tersebut dengan cara
    • Klik kanan REPAIR.INF
    • Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\main, Start Page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Search Page,0,"about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Local Page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Default_Search_URL,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Default_Page_URL,0, "about:blank"

[del]
HKCU, Software\Microsoft\WIndows\CurrentVersion\Run, 74e4144414
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Associations
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFile
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
HKCU, Software\Policies\Microsoft\Internet Explorer\Control Panel, HomePage
HKLM, Software\Microsoft\WIndows\CurrentVersion\Run, 74e4144414
HKLM, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\WIndows\CurrentVersion\Policies\System, EnableLUA

  1. Hapus secara manual lokasi registy berikut:
    • Klik menu [Start]
    • Klik [RUN]
    • Ketik REGEDIT.EXE, kemudian klik tombol [OK]
    • Kamudian hapus string registry berikut
      • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
        • C:\Documents and Settings\%user%\132616c4\winlogon.exe =  RUNASADMIN

      • HKEY_LOCAL_MACHINE \Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
        • C:\Documents and Settings\%user%\132616c4\winlogon.exe =  RUNASADMIN

      • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
        • C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401

      • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
        • C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401

      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
        • C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401

Catatan: %user% ini adalah nama user/acount yang digunakan saat logon Windows


3.  Fix Image File Execution File. Silahkan download file FixImageFile di alamat http://rapidshare.com/files/446070146/FixImageFile.zip kemudian import file FixImageFile_XP.reg (Windows XP) atau FixImageFile_Vista_Win7.reg (Windows Vista/7) dengan cara: (lihat gambar 15)

  • Klik [Start]
  • Klik [Run]
  • Ketik REGEDIT.EXE kemudian klik tombol [OK]
  • Setelah muncul layar “Registry Editor”, klik menu [File]
  • Klik [Import]


















Gambar 15, Import registry


    • Kemudian arahkan ke file FixImageFile.reg, kemudian klik tombol [Open] (lihat gambar 16)
















Gambar 16, Menentukan lokasi fix registry


  • Jika muncul layar konfirmasi, klik tombol [OK] (lihat gambar 17)







Gambar 17, Konfirmasi import registry



  1. Tampilkan file yang telah disembunyikan oleh virus di USB Flash, caranya:
    • Klik [Start]
    • Klik [Run]
    • Ketik CMD kemudian klik tombol [OK]
Setelah muncul aplikasi Command Prompt (CMD), pindahkan posisi kursor ke USB Flash dengan mengetik perintah %USB Flash%: kemudian tekan tombol Enter.

Catatan:
%USB Flash% adalah drive yang berbeda-beda, contoh jika USB Flash Anda adalah E maka ketik perintah E:

    • Kemudian ketik perintah ATTRIB -s -h -r  /s /d kemudian klik tombol  Enter (lihat gambar 18)
    • Tunggu beberapa saat sampai proses selesai dilakukan












Gambar 18, Menampilkan file yang disembunyikan di USB Flash

5. Untuk pembersihan optimal, scan dengan menggunaan antivirus yang up-to-date

source : vaksin.com


Artikel Terkait:

Posting Komentar

Silahkan tinggalkan komentar sobat untuk postingan ini.
*Komentar berbau spam akan dihapus.

Diberdayakan oleh Blogger.