• Merusak file Microsoft Word (.doc) dan menjadikannya file exe dengan ukuran 260 kb yang mempunyai icon mirip dengan file .doc
• Membuat file exe dengan dengan nama yang sama dengan nama folder dengan ukuran 260 kb dan mempunyai icon mirip dengan icon folder.

Cara Menghapusnya adalah sebagai berikut:

• Disable System Restore

• Matikan proses SvcHelp.Exe, jangan gunakan Task Manager karena virus otomatis akan menutupnya. Gunakan aplikasi pihak ketiga seperti ProceXp.

• Hapus file yang dibuat oleh Godham dengan nama file dan pada folder berikut :

%System%\Pchelp\SvcHelp.Exe

%Windows%\nòteepad.exe

%Windows%\regèedit.exe

%Windows%\Twunk33.Exe

c:\booting.com

• Hapus Key Berikut pada Registry :

NotepadRun = “%Windows%\nòteepad.exe”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RegeditRun = “%Windows%\regèedit.exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Shell = “Explorer.exe Twunk33.Exe Start”
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Untuk mengembalikan file .doc yang rusak gunakan aplikasi  File Recovery.
• Hapus file exe yang mirip dengan nama folder.
• Hilangkan attribut Hidden dan Super Hidden Folder dengan Plugin Ansav Hidden Revealer

]]> http://blog.beningsalju.web.id/cara-menghapus-virus-godham-atau-autorundad.html/feed 3 http://blog.beningsalju.web.id/cara-menghapus-virus-w32korrona.html http://blog.beningsalju.web.id/cara-menghapus-virus-w32korrona.html#comments Tue, 19 Feb 2008 07:40:15 +0000 khepri http://blog.beningsalju.web.id/?p=36 1. Temporarily Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Reboot computer in SafeMode
4. Run a full system scan and clean/delete all infected file(s)

5. Download and run Symantec Tool to reset registry. Click here.

6. Delete/Modify any values added to the registry.
Navigate to and delete the following entries:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\”LoggonAdministrator” = “%SystemDrive%\Documents and Settings\Administrator\Local Settings
\Application Data\WINDOWS\WINLOGON.EXE”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\”Sysmontrng” = “C:\Documents and Settings\Administrator\Local Settings
\Application Data\WINDOWS\SERVICE.EXE”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\”r0nk0r” = “C:\WINDOWS\r0nk0r.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\”MSMSGS” = “C:\Documents and Settings\Administrator\Local Settings\Application Data
\WINDOWS\WINLOGON.EXE”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\”ServiceAdministrator” = “C:\Documents and Settings\Administrator\Local Settings
\Application Data\WINDOWS\SERVICES.EXE”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\docfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xlsfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
\”LimitSystemRestoreCheckpointing” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
\”DisableMSI” = “1?
HKEY_CURRENT_USER\Control Panel\Desktop\”SCRNSAVE.EXE” = “C:\WINDOWS
\system32\MRHELL~1.SCR”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
\”DisableConfig” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
\”DisableSR” = “1?

Restore the following registry entries to their original values, if required:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\”Userinit” = “C:\WINDOWS\system32\userinit.exe,”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\”Userinit” = “C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\”Shell” = “Explorer.exe “C:\WINDOWS\system32\IExplorer.exe””
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\”(default)” = “File Folder”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\AeDebug\”Auto” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\AeDebug\”Debugger” = “”C:\WINDOWS\system32\Shell.exe””
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
\”AlternateShell” = “C:\WINDOWS\r0nk0r.exe”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
\”AlternateShell” = “C:\WINDOWS\r0nk0r.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\”Hidden” = “0?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\”HideFileExt” = “1?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\”ShowSuperHidden” = “0?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\”NoFolderOptions” = “1?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System\”DisableCMD” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\Explorer\”NoFolderOptions” = “1?

7. Exit registry editor and restart the computer.

copy paste from precisesecurity.com

Langkah 2:
Matikan proses virus dengan nama tati.exe (icon Folder). Untuk mematikan proses virus tersebut silahkan gunakan tools seperti “proceexp”. Tools ini dapat di-download di alamat http://download.sysinternals.com/Files/ProcessExplorer.zip

Langkah 3:
Cari dan hapus file dengan nama tati.exe di direktori C:\Windows dan C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Langkah 4:
Hapus file duplikat yang dibuat pada flash disk Anda. Untuk mempercepat proses penghapusan, Anda dapat menggunakan menu “Search Windows”. Sebelum melakukan pencarian sebaiknya tampilkan terlebih dahulu file/folder yang disembunyikan. Berikut cara untuk menampilkan file/folder yang disembunyikan dan mencari file virus.

1. Buka [Windows Explorer]
2. Klik menu [Tools], kemudian klik [Folder Options]
3. Pada layar “Folder Options”, klik tab [View]
4. Pada folder [Hidden files and folders], hilangkan tanda centang pada opsi [Hide extensions for known file types] dan [Hide protected operating system files (recommended)]
5. Lalu klik tombol [Ok]

Untuk mencari dan menghapus file virus:

1. Buka Windows Explorer, kemudian klik kanan di lokasi Flash Disk, lalu klik “Search…”
2. Setelah muncul layar “Search Result”, pada kolom “All or part of the file name” isi dengan ekstensi *.SCR
3. Pada kolom “Look in” pastikan sudah menuju ke lokasi flash disk yang akan diperiksa.
4. Klik menu “What size is it”, kemudian pilih opsi Specify size (in KB). Pilih “at most”, isi dengan ukuran “198″.
5. Setelah itu klik menu “More Advanced option”, kemudian beri tanda centang pada Searh system folders, Search hidden files and folders, Search subfolders.
6. Kemudian klik tombol “Search” untuk memulai proses pencarian.
7. Setelah berhasil ditemukan, hapus file virus yang mempunyai ukuran 198 dengan ekstensi SCR (Screen Saver) dengan icon “Folder”

Langkah 5:
Tampilkan kembali file/folder yang sudah disembunyikan oleh virus pada flash disk Anda dengan cara:

1. Klik [Start] menu
2. Klik [Run]
3. Pada dialog box [Run] ketik “CMD” tanpa tanda kutip, kemudian tekan tombol [Ok].
4. Setelah muncul Dos Prompt, pindahkan kursor ke lokasi flash disk. Contoh jika flash disk Anda adalah E: maka ketik perintah E: kemudian tekan tombol [Enter].
5. Setelah kursor berada di drive E (flash disk), ketik perintah: ATTRIB –s –h /s /d

Langkah 6:
Rajin-rajin men-scan komputer dengan anti virus yang ter-update

Di kopi paste dari : Detikinet