Wednesday, December 24, 2008

Virus Nita_Worm , Menyebalkann!!!!

Minggu lalu di kantor ku beberapa komputer terinfeksi virus Nita_worm, lumayan bikin pusing tu virus semua jadwal ku jadi terhambat karena harus menghapus virus itu.

Bagi yang belum tahu, si Nita ini merupakan salah satu virus lokal, makanya walau Mc Afee ku udah yang terbaru pun gak mempan, kemudian ciri kompi yang terkena adalah sebagai berikut :
1. Anda tidak akan bisa melakukan klik kanan pada mouse anda
2. Pada jendela Internet akan muncul tulisan "(^_^)NITA_WORM ==> Infected Your PC...again...!!!
3. Muncul menu palsu yaitu send to, Image dan my Picture dengan extention EXE
4. Muncul pesan error saat menjalankan funsi Windows seperti regedit atau msconfig seperti ini
5. kemudian pada system32 dia buat folder "NITA_WORM was here.exe" sebagai default installer
6. Nah yang paling kelihatan semua Folder kita di duplikasi dan dibuat extention EXE dengan ukuran 108 kb

Nah buat pembasmiannya neh ada cara cepat :
1. Masuk ke safe mode
2. Hapus C:\New Folder.exe (akan di buat disemua Drive)
* C:\Documents and Settings\%user%\Start Menu\Programs\Startup
o Startup.exe
o New Folder
o New Folder(x), dimana x menunjukan angka (1-19)
Dan file msvbvm60.dll di C:\Windows\system32\msvbvm60.dll ke direktori berikut:
o %Flash Disk%>:\msvbvm60.dll
o C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll
o C:\Documents and Settings\All Users\Documents\My Videos\msvbvm60.dll

Juga di registri seperti ini :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o loader = \WinSys.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o loader = \shell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
o debugger = explorer.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE
o debugger = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
o debugger = explorer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o Hidden = 0
o HideFileExt = 1
o ShowSuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o DisableThumbnailCache = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
o ShowDriveLettersFirst = 4
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o NoViewContextMenu

Ubah Header Internet Explorer

Untuk menunjukan keberadaannya ia akan merubah judul pada program internet explorer dengan menambahkan pesan “(^_^)NITA_WORM ==> Infected Your PC ..again..!!!”. Untuk merubah judul IE ini VBTroj.NYH akan membuat string pada regsitry berikut:

HKCU\Software\Microsoft\Internet Explorer\Main
o Window Title = (^_^)NITA_WORM ==> Infected Your PC ..again..!!!
HKLM\SOFTWARE\Classes
- sysfile = NITA_WORM
HKLM\SOFTWARE\Classes\inffile
- FriendlyTypeName = NITA_WORM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
o ProgramFilesDir = NITA_WORM was here.exe
C:\Documents and Settings\%user%\SendTo
o Image.exe
o My Picture.exe
o Send to.exe

3. matikan system restore
4. gunakan tools Norman Virus Control di alamat berikut :
http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. Atau gunakan Ansav, tapi saat dijalan kan dia akan minta save, pilih save pakai nama lain misal ansav1.exe trus disimpan difolder ansav itu sendiri baru dijalanin, ini juga cara cepat mengahups file bikinan yang 108 kb itu.
6. begitu juga masuk ke register, saat jalankan regedit, pilih save as nama lain jadi dodol juga boleh baru jalanin dodol itu otomatis jendela register terbuka baru hapus deh.

Selamat mencoba

No comments:

Post a Comment

Isi Komentar anda di sini :