Virus Icon PowerPoint

March 10, 2010

Virus ini dikenal dengan VBS/Agent.T (Norman) memfungsikan autorun dari usb flashdisk, ciri-ciri :

  • Autorun.inf
  • sexy_bo.vbs (icon PowerPoint)
  • permainan_ketangkasan.vbs (icon PowerPoint)
  • skripsi.vbs (icon PowerPoint)
  • Stikom_Bali.vbs (icon PowerPoint)
  • C:\Documents and Settings\%user%\Application Data\svchost.vbs
  • C:\Documents and Settings\%user%\Desktop\STIKOM BALI.vbs
  • C:\Documents and Settings\%user%\Favorites\svchost.lnk

Gejala-gejalanya yaitu :

  • Disable fungsi find, run, folder options
  • Disable System Restore
  • Task Manager, Regedit, MsConfig dirubah ke notepad

Registry yang dirubah :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
svchost = C:\Documents and Settings\%user%\Favorites\svchost.lnk

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFileAssociate=1
NoFind=1
NoFolderOptions=1
NoRun=1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD=1
DisableRegedit=1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden=0
HideFileExt=1
Start_ShowNetPlaces_ShouldShow=0

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemDisableTaskMgr=1

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\SystemRestoreDisableSR=1

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
Debugger = notepad.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
Debugger = notepad.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger = notepad.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Debugger = notepad.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
Debugger = notepad.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
Debugger = notepad.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
Debugger = notepad.exe

Registry berikut merubah icon vbs menjadi icon powerpoint :

HKEY_CLASSES_ROOT\VBSFile
(Default)=Microsoft PowerPoint Presentation
FriendlyTypeName = Microsoft PowerPoint Presentation
NeverShowExt = 1

HKEY_CLASSES_ROOT\VBSFile\DefaultIcon
C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1

mengalihkan fungsi script :

HKEY_CLASSES_ROOT\inffile\shell\install\command
(Default) = logoff.exe

HKEY_CLASSES_ROOT\regfile\shell\open\command
(Default) = logoff.exe

HKEY_CLASSES_ROOT\VBSFile\shell\edit\command
(Default) = logoff.exe


Virus Jengkol

December 1, 2008

Weleh ada-ada aja nama virus ini. JeNGkol alias makanan yang paling sedap baunya … wakakakak.

ciri-ciri apabila terkena virus ini adalah sebagai berikut :

  • logoff saat menjalankan file INF
  • menggunakan file dengan icon JPEG besarnya 14 KB
  • logoff saat edit file VBS
  • file VBS menjadi JPEG
  • file jengkol.vbs di setiap folder
  • %AllFolder%/:\jengkol.vbs
  • %drive%:\autorun.inf
  • c:\documents and settings\%user%\Favorites\jengkol.vbs
  • c:\documents and settings\%user%\Favorites\jengkol.lnk
  • membuat file duplikat di setiap folder dengan icon JPEG
  • merubah file DOC menjadi file JPEG

registry yang dirubah/ditambah adalah sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run

  • JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

  • NoFind
  • NoFolderOptions
  • NoRun
  • NoDrives

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableCMD
  • DisableRegedit
  • RunLogonScriptSync

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

  • NoDriveAutoRun = 03FFFFFF
  • NoDrives

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

  • DisableTaskMgr
  • DisableRegedit
  • RunLogonScriptSync
  • EnableLUA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

  • Disable

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  • attrib.exe —> debugger = notepad.exe
  • cmd.exe —> debugger = notepad.exe
  • install.exe —> debugger = notepad.exe
  • msconfig —> debugger = notepad.exe
  • regedit.exe —> debugger = notepad.exe
  • regedit32.exe —> debugger = notepad.exe
  • setup.exe —> debugger = notepad.exe
  • taskMgr.exe —> debugger = notepad.exe

virus alman

November 26, 2008

Ciri-ciri dari virus Alman ini adalah sebagai berikut :

C:\Windows\linkinfo.dll

C:\Windows\System32\drivers\LsDrv118.sys

C:\Windows\system32\drivers\nvmini.sys

C:\Windows\System32\drivers\cdralw.sys

C:\Windows\System32\drivers\riodrvs.sys

C:\Windows\System32\drivers\DKIs6.sys

merubah dan menambahkan registry windows

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

  • DisplayName = ‘NVIDIA Compatible Windows Miniport Driver’
  • Imagepath = “%system%\drivers\%file%.sys”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

  • NextInstance = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%000]

  • Service = %file%
  • Legacy = 1
  • ConfigFlags = 0
  • Class = LegacyDriver
  • ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  • DevicesDesc = %file%

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%000\Control]

  • NewlyCreated = 0
  • ActiveService = %file%

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

  • DisplayName = RioDrvs Usb Driver

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%

  • DisplayName = RioDrvs Usb Driver

Membersihkan virus Cetix manual

June 23, 2008

Untuk membersihkan virus Cetix yang dari Bali cukup merepotkan juga. Dibawah ini adalah hasil googling yang didapat dari vaksin.com. Untuk membersihkan virus ini sebaiknya pada mode safe mode dengan langkah sebagai berikut :

  • Matikan process virus yang masih berjalan bisa menggunakan program Itty Bitty yang dapat di download disini, process tersebut adalah :
    • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
    • C:\WINDOWS\cetix.exe
    • C:\WINDOWS\system32\poison.exe
  • Hapus string registry yang sudah dirubah/dibuat oleh virus bisa menggunakan script yang terdapat pada akhir catatan ini
  • Hapus file virus dengan ciri-ciri
    • Icon application/folder/word
    • type file application *.exe
    • ukuran file 45KB

Script yang dikutip dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”””%1″” %*”
HKCR, comfile\shell\open\command,,,”””%1″” %*”
HKCR, exefile\shell\open\command,,,”””%1″” %*”
HKCR, piffile\shell\open\command,,,”””%1″” %*”
HKCR, lnkfile\shell\open\command,,,”””%1″” %*”
HKCR, scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, “C:\WINDOWS\system32\userinit.exe,”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

Jalankan repair.inf dengan klik kanan, kemudian pilih install. Pada saat pembuatan file ini lebih baik pada komputer yang tidak terkena virus.


Virus Cetix dari BALI

June 18, 2008

Ternyata orang-orang di Bali juga tidak mau kalah dengan kota-kota lainnya dalam hal urusan virus. Karena saat ini juga sudah ada virus yang berasal dari bali yaitu VIRUS CETIX. Virus cetix cukup berbahaya karena mengahapus berbagai type file yang berada di komputer dan menggantinya dengan file duplikat yang sudah dibuat oleh virus. Type file yang diserang adalah :

  • MS OFFICE dengan ekstensi *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml
  • Multimedia dengan ekstensi *.mp3, *.3gp, *.dat, *.mov, *.wav
  • File Kompresi dengan ekstensi *.zip, *.rar
  • File gambar dengan ekstensi *.jpg, *.bmp, *.gif
  • File eksekusi dengan ekstensi *.bat, *.com, *.scr

dilihat dengan pilihan list/detail maka icon yang digunakan APPLICATION

cetix icon word
dilihat dengan pilihan icon maka icon yang digunakan WORD

cetix word

Jika dilihat dengan pilihan Thumbnails maka icon yang diguanakan FOLDER

cetix folder

Selain itu ciri yang lainnya adalah :

  • ukuran file 45 KB
  • menggunakan ekstensi .exe
  • type file application

Gejala komputer yang terkena virus cetix selain mematikan beberapa fungsi windows seperti taskmanager, regedit dll juga sebagai berikut :

  • Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).
  • Tidak bisa melakukan copy file (menu paste akan di-disable).
  • Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you…”
  • Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses
  • Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb
  • Dont Kill Me

  • Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan MS Outlook.
  • Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).
  • Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.
  • infobali.txt

  • Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C:\
  • about cetix

File induk virus yang dibuat :

  • C:\autorun.inf (pada semua root drive)
  • C:\%User%’s Files.exe (pada semua root drive)
  • C:\Untitled.exe (pada semua root drive)
  • C:\xz.exe (pada semua root drive)
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
  • C:\WINDOWS\cetix.exe
  • C:\WINDOWS\racun.exe
  • C:\WINDOWS\system32\poison.exe
  • C:\WINDOWS\system32\toxic.exe
  • Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb

Registry windows yang dirubah/ditambah :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cetix = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Poison=C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_CURRENT_USER\Control Panel\International\s1159 = AM | CETiX

HKEY_CURRENT_USER\Control Panel\International\s2359 = AM | CETiX

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization = CETiX BALi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner = xz

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue = 0

HKEY_CLASSES_ROOT\batfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\comfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\exefile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\lnkfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\piffile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*


Virus Batosai

June 6, 2008

Harap untuk berhati-hati jika background folder WINDOWS anda berubah menjadi gambar kenshin himura si Batosai. Karena itu merupakan salah satu ciri terinfeksi virus batosai. Virus ini juga aktif dalam safe mode ataupun safe mode with command prompt. Virus ini tidak memblock fungsi taskmanager, regedit, ataupun msconfig. File induk virus ini adalah sbb :

  • C:\WINDOWS\desktop.ini
  • C:\WINDOWS\System32\windxp.ini
  • C:\WINDOWS\system32\restoration.msd
  • C:\WINDOWS\system32\CommandPrompt.Sysm
  • C:\WINDOWS\explore.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell= Explorer.exe “c:\windows\explore.exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\ShowSuperHidden=0
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\CheckedValue=1
  • HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run\def =C:\WINDOWS\Temp\Vel.exe
  • HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run\SysRestore =c:\windows\system32\restoration.msd
  • HKCU\Control Panel\Desktop\SCRNSAVE.exe=C:\WINDOWS\Temp\%fileduplikat%.exe

Virus ini juga membuat file-file duplikan yaitu :

  • C:\WINDOWS\Temp\Vel.exe
  • C:\WINDOWS\Temp\Ngsys.exe
  • C:\WINDOWS\Temp\rvshost.exe
  • C:\WINDOWS\Temp\system31.exe
  • C:\WINDOWS\Temp\userint.exe
  • C:\WINDOWS\Temp\windxp.exe
  • C:\WINDOWS\Temp\winzipt.exe
  • C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
  • C:\Documents and Settings\%user%\Local Settings\Temp\runer
  • C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
  • C:\Documents and Settings\%user%\Local Settings\Temp\system31
  • C:\Documents and Settings\%user%\Local Settings\Temp\userint
  • C:\Documents and Settings\%user%\Local Settings\Temp\vel
  • C:\Documents and Settings\%user%\Local Settings\Temp\windxp
  • C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

File-file duplikat tersebut mempunyai ciri :

  • icon tidak ada (hilang)
  • ukuran file 91 KB
  • type file icon
  • extension .exe

Untuk membersihkan virus ini dengan manual adalah sbb :

  • Disable system restore (winxp)
  • matikan proses virus yang sedang aktif menggunakan procexp
  • hapus registry yang sudah dibuat oleh virus
  • hapus file induk virus dan juga duplikatnya

Untuk memudahkan dalam memperbaiki registry dapat di lakukan melalui script dibawah ini yang di kutip dari vaksin.com dengan cara menuliskannya di dalam notepad dan simpan sebagai repair.inf. Setelah itu click kanan file tersebut dan pilih install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, exefile,,,”Application”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\scrfile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, def
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore
HKCU, ControlPanel\Desktop, SCRNSAVE.EXE


Virus Sohanad

June 5, 2008

rVirus ini katanya sih berasal dari vietnam, yang menggunakan yahoo messenger sebagai media penyebarannya. Selain melalui yahoo virus ini juga menyebar melalui flashdisk dengan file autorun.inf dan new folder.exe. Ciri-ciri virus ini adalah :

  • icon folder
  • type file application
  • extension .exe
  • ukuran file 249 KB

contoh virus :

Virus Sohanad

Gejala ketika terkena virus ini adalah mengirimkan pesan ke seluruh contact dalam yahoo messenger menggunakan bahasa vietnam pada waktu-waktu tertentu. contoh :

Virus ini juga melakukan login otomatis kedalam yahoo messenger yang kita gunakan. Jika komputer yang terinfeksi tidak ada yahoo messenger maka akan pesan-pesan diatas akan dicopy paste pada program microsoft office.

File induk virus yang dibuat adalah sbb:

  • C:\WINDOWS\SSCVIIHOST.exe
  • C:\WINDOWS\system32\autorun.ini
  • C:\WINDOWS\system32\setting.ini
  • C:\WINDOWS\system32\blastclnnn.exe
  • C:\WINDOWS\system32\SSCVIIHOST.exe
  • \autorun.inf (pada usb/removable drive)
  • \New Folder.exe (pada usb/removable drive)

Registry yang dibuat oleh virus :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\Shell = Explorer.exe SSCVIIHOST.exe
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\NoFolderOptions = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableTaskMgr = 1
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableRegistryTools = 1
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\AtTaskMaxHour = 0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares\Shares = \New Folder.exe

Cara untuk membersihkan virus ini adalah :

  1. Masuk dalam safe mode
  2. Matikan process virus yang berada di memory menggunakan process explorer yaitu :
    • C:\WINDOWS\system32\SSCVIIHOST.exe
    • C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
    • C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
    • New Folder.exe (jika aktif)
  3. Hapus registry yang sudah dibuat oleh virus
  4. Hapus file-file induk virus yang sudah dibuat oleh virus

Berikut adalah script yang diambil dari vaksin.com untuk memperbaiki registry yang dibuat oleh virus Sohanad dengan cara tulis di notepad dan simpan sebagai repair.inf setelah itu klik kanan file tersebut dan pilih Install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger