-->
Home WINDOWS Cara membersihkan virus Autorun.QBP ( “khq”),(“csrcs.exe”)

Monday, May 20, 2013

Cara membersihkan virus Autorun.QBP ( “khq”),(“csrcs.exe”)

- WINDOWS

ciri-ciri virus Autorun.QBP ( “khq”),(“csrcs.exe”) :

 1. Menggunakan icon “Folder Cinta.exe“, tipe Application dengan
   ukuran 793KB
2. Muncul nama file [namaacak].exe di setiap folder dan jaringan
   yang di-share, juga di flashdisk
3. Ada file system kosong bernama “khq” yang ada di setiap drive
   pula, baik di jaringan ataupun di flashdisk
4. Muncul nama file “csrcs.exe” di memory, yang dapat dilihat di
   task manager bagian tab Process.
5. Muncul nama file “C:\WINDOWS\system32\csrcs.exe” di memory
   ukuran 793KB
6. Muncul nama file “C:\WINDOWS\system32\Autorun.inf”
7. Tidak dapat menampilkan file yang sudah di-hidden, walaupun
   “Folder Options” sudah dimunculkan berkali-kali
8. Melakukan perubahan di registry :
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion
   \policies\Explorer\Run csrcs = C:\WINDOWS\system32\csrcs.exe
9. Untuk memproteksi dan tetap aktif pada windows, akan membuat
   di registry :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
   NT\CurrentVersion\Winlogon Shell = Explorer.exe csrcs.exe

Cara membersihkan virus :

1. Putuskan jaringan dari komputer, matikan System Restore
2. Buka “Task Manager” dengan Ctr+Alt+Del  untuk mematikan proses
   [End Process] pada virus “csrsc.exe” yang aktif
3. Hapus file virus Autorun.QBP, yang ada di C:\WINDOWS\system32,
   dengan nama csrsc.exe yang berukuran 793 KB dan Autorun.inf
   yang berukuran 1 KB.
4. Gunakan search untuk mencari file virus berukuran 793 KB,
   berextension exe dan tipe application serta file khq diseluruh
   drive.
5. Hapus string registry yang sudah dibuat oleh virus. Untuk
   mempermudah dapat menggunakan script registry dibawah ini.
 [Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl orer\Run
6. Gunakan notepad, kemudian simpan dengan nama “repair.inf
  (gunakan pilihan Save As Type menjadi All Files agar tidak
   terjadi kesalahan). Jalankan repair.inf dengan klik kanan,
   kemudian pilih [install].

Advertiser

Delivered by FeedBurner

Subscribe to: Post Comments (Atom)