How To Fix A Viruses

share bagaimana cara menghilangkan virus baik itu virus lokal maupun tidak...

sebenernya sih gampang aja...asalkan kita tau tuh virus ngapain aja....
kalo virus lokal sih gampang...soalnya yang diblokir itu2 aja...
nggak ada kreasinya.....

yupz... benar.... jadi klo ada yang terkena virus... tolong di share di virus share atau informasikan keluhan anda disini....

[cara menghilangkan virus sality]

setelah sekian lama saya mencari sendiri virus ini, akhirnya saya pun berhasil mendapatkan cara untuk menghapus file sality tersebut.memang begitu menyebalkan ketika kita terkena virus ini, dikarenakan semua file exe,com, dan scr terinfeksi oleh virus sality. dan ingat tidak semua antivirus bisa menghilangkan virus sality ini ketika anda semua telah terinfeksi virus ini. ukuran file yang sudah terinfeksi virus sality bertambah beberapa kb. untuk mempermudah penyebaran virus ini, ia memanfaatkan file sharing, juga mengandakan dirinya dari removable media seprti layaknya flask disk dengan membuat file acak dengan extension exe,com,pif atau scr dan sebuah autorun untuk menjalankan virus ini. jadi berhatilah anda dengan file tersebut yang tiba-tiba ada di dalam flask disk anda...

ada beberapa yang di blok sama virus ini, yaitu task manager dan registry editor, lokasinya di

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableRegistryTools
DisableTaskMgr


Pada saat file yang terinfeksi Sality, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan. loasinya di :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Berikut ini beberapa contoh file *.dll yang akan di drop oleh Sality.
C:\Windows\system32\syslib32.dll
C:\Windows\system32\oledsp32.dll
C:\Windows\system32\olemdb32.dll
C:\Windows\system32\wcimgr32.dll
C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys dengan nama acak di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

bahkan banyak antivirus yang berhasil di blok sama virus ini :
ALG
InoRPC
aswUpdSv
InoRT
avast! Antivirus
InoTask
avast! Mail Scanner
ISSVC
avast! Web Scanner
KPF4
AVP
LavasoftFirewall
BackWeb Plug-in - 4476822
LIVESRV
bdss
McAfeeFramework
BGLiveSvc
McShield
BlackICE
McTaskManager
CAISafe
navapsvc
ccEvtMgr
NOD32krn
ccProxy
NPFMntor
ccSetMgr
NSCService
F-Prot Antivirus Update Monitor
Outpost Firewall main module
fsbwsys
OutpostFirewall
FSDFWD
PAVFIRES
F-Secure Gatekeeper Handler Starter
PAVFNSVR
fshttps
PavProt
FSMA
PavPrSrv
PAVSRV
Symantec Core LC
PcCtlCom
Tmntsrv
PersonalFirewal
TmPfw
PREVSRV
tmproxy
ProtoPort Firewall service
UmxAgent
PSIMSVC
UmxCfg
RapApp
UmxLU
SmcService
UmxPol
SNDSrvc
vsmon
SPBBCSvc
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM

ternyata, tidak hanya itu yang ia blok. bahan beberapa situs di blok juga oleh virus ini... berikut ini ada beberapa situs yang di blok oleh virus tersebut :
Cureit
Drweb
Onlinescan
Spywareinfo
Ewido
Virusscan
Windowsecurity
Spywareguide
Bitdefender
Panda software
Agnmitum
Virustotal
Sophos
Trend Micro
Etrust.com
Symantec
McAfee
F-Secure
Eset.com
Kaspersky

Sality juga akan mencoba untuk merubah regisrty berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

Tak cuma itu Sality juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.
ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

agar virus ini juga dapat mempertahankan dirinya ia juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh Sality. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Cara membersihkan Sality :

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet

2. Matikan System Restore selama proses pembersihan berlangsung.

3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:
http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94
Klik kanan repair.inf
Klik install

4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.

5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang olehSality. Dalam contoh di bawah, nama file "avast.exe” di rename menjadi “avast.cmd” supaya tidak di infeksi Sality.

catatan: ingat, jika anda meng-scan virus tersebut. kemunginan besar anda akan kehilangan file yang telah terinfeksi virus tersebut. gunakan juga sality remover dari AVG

6. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.

best regard
admin

cara ngalahin virus yuyun....
nih virus lumayan keren cara nyebarnya...dan mulai menjangkiti ribuan komputer di indonesia....
ngalahinya...mudah saja...
1. buka command prompt ketikin "tasklist" (tanpa tanda kutip)
2. matikan proses virus dengan mengetikan "taskkill /f /im wscript.exe"(tanpa tanda kutip)
3. buka notepad...ketikkan script berikut...tanpa nomor baris

1.reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
2.eg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
3.reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskmgr /t REG_DWORD /d 0 /f
4.reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskmgr /t REG_DWORD /d 0 /f

simpan dengan nama Penormal.bat , script ini untuk membuka regitry dan taskmgr yang diblokir oleh viru...
4.lakukan pencarian dengan nama
1. autorun.inf
2. *.lnk
3. thumb.db

5. setelah registry dibuka masuk ke HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dengan data.....apa yach....lupa gw namanya yang jelas dibagian valuenya ada tulisan wscript.exe gitu loh...

6. pastikan semua bersih, kalo g mau cape...pake aja WEE! ANTIVIRUS tentunya dengan update terbaru
sekian tutorial ini .mmm....kalo ada kesalahan ya maap...OK

Cara menangkal Virus Fiana17:
hehehe...ada satu virus yang menurut aku lambat nyebarnya, tapi kreasinya lumayan oke lho....tiap 1 jam setelah komputer dinyalain
ni virus ngebuat layar komputer kita tertutupi oleh tulisan " AKU DISINI MENUNGGUMU...%^@@ => by :Fiana untuk Kreptus Inco../\_/\"
dah itu terus aja nongol di komputer kita, mau diapain juga gak bisa apa-apa, termasuk matiin komputer juga gak bisa...hmmm...
oke banget nih virus kalo didiemin 15 menit layarnya akan menampilkan pesan sebagai berikut

"aku lagi bingung nih...kenapa ya?
kamu jangan bengong aja...harus ikutan bingung juga?
kangen nih ama kreptus...
kenapa musti kreptus ya?
karena cuma kamu yang ada dihatiku
cepet balik ya, kalo nggak aku cari cowok lain lho."

Maksudnya jelas, si cewek pengen si cowok yang namanya kreptus balik ke Fiana...udah langsung aja kita bahas cara mengatasinya...
1. Kalo disaranin sih jangan buka taskmgr ama regedit, soalnya itu cuma bakal nambahin proses virus lebih banyak di memori...soalnya dalam keadaan biasa nih virus ngejalanin 3 proses di memori, buka notepad trus tulis script dibawah ini, jangan buka cmd juga ya...percuma...diblok juga
taskkill /f /im wscript.exe
taskkill /f /im FIANA.EXE
taskkill /f /im svohost.exe
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe" /v Debugger /t REG_SZ /d C:\Windows\Regedit.exe /f
simpan dengan nama penormal.bat kemudian jalankan file tersebut...
2. Setelah dijalanin, buka regedit kemudian menuju ke HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, disitu ada nilai autorun yang bernama "System Volume" dengan nilai "svohost.exe" dan di HKCU\....\Run, dengan nilai MsC0nfig untuk file Fiana.exe
3. Normalin registry dengan menghapus key-key di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ dengan nama cmd.exe, regedit.exe, taskmgr.exe, setup.exe, regedt32.exe, install.exe, PCMAV-CLN.exe dan Winrar.exe
4. hapus virus di system32 dengan nama wscript.exe, FIANA.EXE, svohost.exe, mscbm16.dll sbg file back-up virus dan di setiap drive dengan icon folder dengan nama "Untuk Fiana.exe" dan dengan autorun.inf
5. Ketikkkan Script di bawah ini Untuk Menormalkan registry yang diacak ama nih virus
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFolderOptions /t REG_DWORD /d 0 /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoFind /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeCaption /t REG_SZ /d /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeText /t REG_SZ /d /f

segitu aja dulu soalnya baru itu yang aku tahu...

cara menghilangkan virus W32.Borax@mide

1. Kalo' mau cepet lebih baik pake Wee! Antivirus dengan update Terbaru...
2. Kalo' g bisa ya...terpaksa...buka notepad...tulis kode dibawah ini,,,,hehehe...
on error resume next
dim normalkan
Set normalkan = CreateObject("WScript.Shell")
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu", "0", "REG_DWORD"
normalkan.regwrite "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore\DisableSR", "0", "REG_DWORD"
normalkan.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden", "0", "REG_DWORD"
normalkan.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD"
normalkan.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", ""
normalkan.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", ""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger", ""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger", ""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avast.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordpad.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Project1.vbp\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avira.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winrar.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wee!.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\find.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enses32.exe\Debugger",""
normalkan.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gpedit.msc\Debugger",""
normalkan.regwrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText", ""
normalkan.regwrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption", ""

3. Simpan dengan nama Penormal.vbs
4. hapus autorun virus di registry di HKLM\...\Run dengan nama "B0r4x" dan "Windows"
5. tulis script berikut
@echo off
del %Windir%\System32\garo2.exe
del %Windir%\System32\Config\Msvbc16.sav.exe
del %Windir%\System\130124.XTR.exe
::Untuk Menghilangkan Username di Windows
net user BORAX_Rock /DELETE
::Hapus File pesan
del %Windir%\Borax-Barox.html

simpan dengan nama penormal.bat

6. search dengan kriteria file 55 kb dan icon notepad (hmm...Cara yang Ok), file ini ada diseluruh folder satu drive dengan nama yang sama dengan nama foldernya...
7. kayaknya cuma itu deh, soalnya aku belum ketemu lagi apa aja yang dimodif
8. mending download aja yach Wee! Antivirusnya....OK trims

iya... ntar aq postinginlagi dah, ni aq blom sempat research lagi... hehe