Awas perhatikan dokumen anda !

Tahun 2009 ini serangan virus semakin mengganas. Dampak dari virus tersebut sangat merugikan. Misalnya saja file .doc kita diubah ke bentuk aplikasi .exe oleh ulah virus tersebut. Parah kan ? Nah kali ini saya kan share tentang pengalaman saya terkena virus tersebut dan tentunya cara untuk membersihkannya dari PC kita

Menurut saya pembuat virus ini orang lokal Indonesia yang belum begitu professional, karena anak kecil pun dapat menaklukkan virus ini. Ok saya mulai saja,,,


Virus ini dikenal sebagai Win32:Trojan gen {other} oleh Avast! antivirus,sedangkan oleh ansav dikenal sebagai Win32 Sensus. Apa pun itu namanya, yang penting virus tetaplah virus, dan harus dimusanhkan ! Tanda-tanda keberadaan virus itu ialah :
!. File anda yang semula .doc menjadi .exe,tapi masih ber-icon MS Word
2. Jika anda mm\embuka Task Manager ( Ctrl+Alt+Del ), maka akan ada 2 process yang janggal, yaitu services.exe dan WINWORD.EXE kedua proses tersebut akan berjalan otomatis di kompi anda

Untuk memusnahkannya saya pikir avast bisa melakukannya, tapi setelah virus itu hilang. Lalu saya restart kompi saya, dan yang terjadi virus itu telah bangkit lagi ! Kemudian saya coba analisa virus tesebut, dan saya menemukan direktori tempat virus tersebut bersemayam....yakni sebagai berikut :

File services.exe terdapat pada direktori C:\>Program Files\mIRC\IRC Bot\
File WINWORD.EXE terdapat pada direktori C:\>Program Files\Microsoft Office\

Khusus file services.exe, direktori C:\>Program Files\mIRC\IRC Bot\ akan tidak terlihat, saya menggunakan plugin ansav, yaitu Hidden Revealver untuk mengeluarkan direktori tsb. Setelah mengetahui cara kerja virus, saya melakukan pemberangusan proses yang berjalan di belakang layar tersebut menggunakan Process Explorer. Dengan memilih Kill Process Tree pada ketiga proses, maka proses yang “nebeng” ketiga program tersebut ikut diberangus. Untuk sementara virus tidak berjalan, namun “sisa-sisa kotoran” virus ini masih ada di komputer kita.

Saatnya eksekusi.....
Disini, saya menggunakan antivirus ansav yg terkenal powerful untuk virus lokal...trus saya delete smua file virus tsb. Terus,bersihkan registry dan startup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acha.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AmyMastura.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrsz.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\registry.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
Adobe Gamma Loader.com (pada menu Startup)

Sedangkan direktori tempat bersemayam virus-virus ini pun harus segera diberangus.
C:\>Program Files\mIRC\IRC Bot\*.*
C:\>Program Files\Microsoft Office\WINWORD.EXE
C:\>Documents and Settings\[user]\Start Menu\Programs\Startup\Adobe Gamma Loader.com

Untuk PC yang terinstall Microsoft Office, silakan copy file WINWORD.EXE dan CTFMON.EXE dari PC yang lain karena file sudah terinfeksi oleh virus tersebut.

Selanjutnya adalah pembersihan lebih lanjut di Registry. Untuk mempermudah kerja kita, saya sarankan menggunakan plugin RegistryFX dari Ansav Antivirus, sangat powerful. Silakan download Ansav Antivirus. Setelah itu jalankan Ansav dan pilih Plugins –> RegistryFX, saya menjalankan sesuai pilihan yang sudah ada. Lalu pada Registry:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = “Explorer.exe, %ProgramFiles%\Microsoft Office\WINWORD.EXE”

Hapus value %ProgramFiles%\Microsoft Office\WINWORD.EXE, karena value ini yang selalu menjalankan WINWORD.EXE setelah sistem start. Lalu jalankan lagi fungsi Windows Defender, Automatic Updates, Windows Firewall, dan lainnya.

Setelah semua virus hilanh\g,saatnya untuk mengembalikan file .doc kita tadi, karena ternyata virus tersebut cuma menggandakan file doc, dan menyembunyikannya.....
Cara mengembalikan file doc kita tadi :

Gunakan plugin dari ansav (hidden revealver), jalankan ansav, lalu pilih plugin Hidden Revealver, trus pilih di drive mana file doc kita hilang, trus klik tombol start. Dan file anda pun telah kembali dari dunia hidden.....

Demikian tutorial dari saya,semoga bermanfaat