Seringkali kita mendapati komputer maupun notebook kita terjangkit virus sejenis worm dan sebagainya yang men-disable regedit & task manager.
Virus ini sendiri tergolong membahayakan dan sangat meresahkan. Nah untuk mengembalikan regedit atau task manager yang di-disable virus ada beberapa langkah berikut ini.
1. Tekan Ctrl + Alt secara bersamaan untuk membuka Task Manager. Paparan berikut akan muncul (Your Task manager has been disable by administrator). Berarti komputer/laptop anda telah terkena virus tu.
2. Buka My Computer > Tool> Pastikan ada Folder Options.
3. Klik start > run> ketik msconfig dan tekan enter. Kalau msconfig tidak muncul, virus sudah menginfeksinya.
4. Klik start > run> ketik regedit dan tekan enter. Kalau dialog Registry Editor tidak muncul artinya komputer/laptop anda telah terinfeksi dengan virus tersebut.
Apa yang dibuat oleh worm ini?
Worm akan bersembunyi di dalam file berikut:
%System%RVHOST.exe
Worm akan membuat folder baru dengan extension (new folder.exe):
%System%new folder.exe
worm akan membuat perintah Windows job e%Windir%TasksAt1.job
Worm akan membuat file registry berikut dan menjalankannya setiap kali windows dibuka.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Shell” = “Explorer.exe ” RVHOST.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Yahoo Messengger” = “%System%RVHOST.exe”
Seterusnya membuat file dalam registry dengan perintah berikut:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerWorkgroupCrawlerShares”shared” = “[SHARED DRIVE]New Folder.exe”
Worm akan mengubah registry entries untuk disable Task Manager dan Registry Editor:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableTaskMgr” = “1?
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableRegistryTools” = “1?
Worm juga mengubah entri registry berikut:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NofolderOptions” = “1?
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule”AtTaskMaxHours” = “0?
Worm akan deletes registry berikut:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion”Run” = “BkavFw”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”Run” = “IEProtection”
Lebih cocok memakai Kaspersky latest version, memang sih ini program berbayar, namun keampuhannya melindungi pc/notebook kita dari serangan si jahil sangat dibanggakan.
Virus ini sendiri tergolong membahayakan dan sangat meresahkan. Nah untuk mengembalikan regedit atau task manager yang di-disable virus ada beberapa langkah berikut ini.
1. Tekan Ctrl + Alt secara bersamaan untuk membuka Task Manager. Paparan berikut akan muncul (Your Task manager has been disable by administrator). Berarti komputer/laptop anda telah terkena virus tu.
2. Buka My Computer > Tool> Pastikan ada Folder Options.
3. Klik start > run> ketik msconfig dan tekan enter. Kalau msconfig tidak muncul, virus sudah menginfeksinya.
4. Klik start > run> ketik regedit dan tekan enter. Kalau dialog Registry Editor tidak muncul artinya komputer/laptop anda telah terinfeksi dengan virus tersebut.
Apa yang dibuat oleh worm ini?
Worm akan bersembunyi di dalam file berikut:
%System%RVHOST.exe
Worm akan membuat folder baru dengan extension (new folder.exe):
%System%new folder.exe
worm akan membuat perintah Windows job e%Windir%TasksAt1.job
Worm akan membuat file registry berikut dan menjalankannya setiap kali windows dibuka.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Shell” = “Explorer.exe ” RVHOST.exe”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Yahoo Messengger” = “%System%RVHOST.exe”
Seterusnya membuat file dalam registry dengan perintah berikut:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerWorkgroupCrawlerShares”shared” = “[SHARED DRIVE]New Folder.exe”
Worm akan mengubah registry entries untuk disable Task Manager dan Registry Editor:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableTaskMgr” = “1?
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem”DisableRegistryTools” = “1?
Worm juga mengubah entri registry berikut:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer”NofolderOptions” = “1?
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule”AtTaskMaxHours” = “0?
Worm akan deletes registry berikut:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion”Run” = “BkavFw”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”Run” = “IEProtection”
Lebih cocok memakai Kaspersky latest version, memang sih ini program berbayar, namun keampuhannya melindungi pc/notebook kita dari serangan si jahil sangat dibanggakan.
0 komentar:
Post a Comment