Ciri- ciri komputer yang sudah terinfeksi virus ini antara lain:
1.komputer menjadi sangat lambat.
2.koneksi jaringan/internet sering putus.
3.MAC Adderss komputer di Jaringan Sama
4. Di drive C terdapat flie microsoft.bat, microsoft.vbs dan microsof.pif
5. Billing warnet sering macet dan client sering Hang
Cara Mengatasi Virus Ini :
Coba anda gunakan Collasoft Mac Scanner atau tools u/ scanning MAC Address mana aja yang sama (jika semua sama, sudah dipastikan semua terinfeksi.
Untuk itu coba lakukan pembersihan secara manual.
Tips Pembersihan Virus “ARP” (Microsoft VBS/BAT)
- Disconnect komputer yang terinfeksi dari jaringan lokal/internet.
- Matikan proses virus. Gunakan tools pengganti Task Manager seperti Security Task Manager.
1)Lakukan Delete/Remove (Move By Quarantine) pada proses yang mencurigakan (yang biasanya menggunakan icon Internet Explorer dan berextension *.dll).
2)Lakukan Delete/Remove (Move By Quarantine) pada file virus yaitu Desktopwin.dll/Jview.dll dan ThunderAdvise.dll.
3)Lakukan Delete/Remove (Move By Quarantine) pada AppInit_DLLs (yang dijadikan tempat persinggahan virus).
- Normalkan kembali host file. Gunakan tools pembuka host yang terkunci dan yang telah diubah oleh virus, dalam hal ini gunakan HijackThis.
1)Jalankan Hijackthis, Pilih Open the Misc Tools section.
2)Kemudian pada System tools, pilih Open hosts file manager.
3)Selanjutnya lakukan Delete line(s), setelah baris Localhost (127.0.0.1). Blok seluruh line setelah localhost (127.0.0.1), kemudian Delete line(s).
4)Setelah selesai, Pilih Open in Notepad untuk memastikan host sudah normal, kemudian save file tsb.
- Hapus file temporary dan temporary internet files, gunakan tools pengganti Disk Cleanup agar mempermudah proses penghapusan, dalam hal ini gunakan ATF Cleaner/CCleaner. Pastikan untuk menghapus temporary, history, cookies dan java cache.
- Repair registry yang terinfeksi oleh virus. Buat script pada notepad dengan isi sebagai berikut :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, “”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Object
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, DesktopWin
1)Simpan dengan nama “repair.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.
- Lakukan pencegahan dari infeksi virus dengan men-disable default share. Buat script pada notepad dengan isi sebagai berikut :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0×00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0×00010001,0
1)Simpan dengan nama “repair-share.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.
Agar dapat langsung aktif, buat script dengan notepad dengan isi sebagai berikut :
CD C:\
NET STOP SERVER /Y
NET START SERVER /Y
NET SHARE
EXIT
1)Simpan dengan nama “aktif-share.bat” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan men-dobel klik file tsb.
- Matikan Autoplay Windows, untuk mencegah penyebaran virus melalui media USB/Removable Drive.
Buat script pada notepad dengan isi sebagai berikut :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
1)Simpan dengan nama “disable-autoplay.inf” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan klik kanan, kemudian pilih Install.
- Buat file/folder dummy, untuk mencoba memanipulasi virus. Beberapa file tsb diantaranya sebagai berikut :
1)MicroSoft.pif, MicroSoft.bat, MicroSoft.vbs (pada drive C:\).
2)Jview.dll, DesktopWin.dll (pada C:\WINDOWS\AppPatch).
Rubah attribut file dummy tsb menjadi file system. Gunakan fungsi attrib untuk merubah file dummy menjadi file system.
Berikut script membuat file dummy dengan menggunakan notepad :
CD C:\
del microsoft.bat
md microsoft.bat
attrib +s +h +r microsoft.bat
del microsoft.pif
md microsoft.pif
attrib +s +h +r microsoft.pif
del microsoft.vbs
md microsoft.vbs
attrib +s +h +r microsoft.vbs
CD C:\WINDOWS\AppPatch
del jview.dll
md Jview.dll
attrib +s +h +r Jview.dll
del desktopwin.dll
md DesktopWin.dll
attrib +s +h +r DesktopWin.dll
EXIT
1)Simpan dengan nama “dummy-file.bat” (gunakan Save As Type menjadi All Files).
2)Jalankan dengan men-dobel klik file tsb.
- Scan dengan menggunakan antivirus yang terupdate dan dapat mendeteksi virus tsb. Dapat pula menggunakan Norman Malware Cleaner. (dapat di download pada http://download.norman.no/public/Norman_Malware_Cleaner.exe ).
Note :
Anda bisa menambahkan 1 solusi pencegahan dengan memproteksi PC tsb agar tidak terinfeksi yaitu dengan memproteksi pada ARP (address resolution protocol). Dengan memberikan perintah pada command prompt:
arp –s *ipaddressgateway *macaddressgateway
*ipaddressgateway : merupakan IP Address Gateway jaringan.
*macaddressgateway : merupakan MAC Address Gateway jaringan.
Contoh :
arp –s 192.168.1.1 01-20-E3-44-12-4C
Jika anda yang ingin ditanyakan lebih lanjut, dapat menghubungi Vaksin.com.
Semoga membantu,
0 Komentar