• Merusak file Microsoft Word (.doc) dan menjadikannya file exe dengan ukuran 260 kb yang mempunyai icon mirip dengan file .doc
• Membuat file exe dengan dengan nama yang sama dengan nama folder dengan ukuran 260 kb dan mempunyai icon mirip dengan icon folder.

Cara Menghapusnya adalah sebagai berikut:

• Disable System Restore

• Matikan proses SvcHelp.Exe, jangan gunakan Task Manager karena virus otomatis akan menutupnya. Gunakan aplikasi pihak ketiga seperti ProceXp.

• Hapus file yang dibuat oleh Godham dengan nama file dan pada folder berikut :

%System%\Pchelp\SvcHelp.Exe

%Windows%\nòteepad.exe

%Windows%\regèedit.exe

%Windows%\Twunk33.Exe

c:\booting.com

• Hapus Key Berikut pada Registry :

NotepadRun = “%Windows%\nòteepad.exe”
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RegeditRun = “%Windows%\regèedit.exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Shell = “Explorer.exe Twunk33.Exe Start”
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Untuk mengembalikan file .doc yang rusak gunakan aplikasi  File Recovery.
• Hapus file exe yang mirip dengan nama folder.
• Hilangkan attribut Hidden dan Super Hidden Folder dengan Plugin Ansav Hidden Revealer

]]> http://blog.beningsalju.web.id/cara-menghapus-virus-godham-atau-autorundad.html/feed 3 http://blog.beningsalju.web.id/cara-menghapus-virus-w32korrona.html http://blog.beningsalju.web.id/cara-menghapus-virus-w32korrona.html#comments Tue, 19 Feb 2008 07:40:15 +0000 khepri http://blog.beningsalju.web.id/?p=36 1. Temporarily Disable System Restore (Windows Me/XP).
2. Update the virus definitions.
3. Reboot computer in SafeMode
4. Run a full system scan and clean/delete all infected file(s)

5. Download and run Symantec Tool to reset registry. Click here.

6. Delete/Modify any values added to the registry.
Navigate to and delete the following entries:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\”LoggonAdministrator” = “%SystemDrive%\Documents and Settings\Administrator\Local Settings
\Application Data\WINDOWS\WINLOGON.EXE”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\”Sysmontrng” = “C:\Documents and Settings\Administrator\Local Settings
\Application Data\WINDOWS\SERVICE.EXE”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\”r0nk0r” = “C:\WINDOWS\r0nk0r.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\”MSMSGS” = “C:\Documents and Settings\Administrator\Local Settings\Application Data
\WINDOWS\WINLOGON.EXE”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\”ServiceAdministrator” = “C:\Documents and Settings\Administrator\Local Settings
\Application Data\WINDOWS\SERVICES.EXE”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\docfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xlsfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
\”LimitSystemRestoreCheckpointing” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
\”DisableMSI” = “1?
HKEY_CURRENT_USER\Control Panel\Desktop\”SCRNSAVE.EXE” = “C:\WINDOWS
\system32\MRHELL~1.SCR”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
\”DisableConfig” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
\”DisableSR” = “1?

Restore the following registry entries to their original values, if required:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\”Userinit” = “C:\WINDOWS\system32\userinit.exe,”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\”Userinit” = “C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
\”Shell” = “Explorer.exe “C:\WINDOWS\system32\IExplorer.exe””
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\”(default)” = “File Folder”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
\”(default)” = “”C:\WINDOWS\system32\shell.exe” “%1? %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\AeDebug\”Auto” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\AeDebug\”Debugger” = “”C:\WINDOWS\system32\Shell.exe””
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
\”AlternateShell” = “C:\WINDOWS\r0nk0r.exe”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
\”AlternateShell” = “C:\WINDOWS\r0nk0r.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\”Hidden” = “0?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\”HideFileExt” = “1?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\”ShowSuperHidden” = “0?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\”NoFolderOptions” = “1?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System\”DisableCMD” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\Explorer\”NoFolderOptions” = “1?

7. Exit registry editor and restart the computer.

copy paste from precisesecurity.com

Langkah 2:
Matikan proses virus dengan nama tati.exe (icon Folder). Untuk mematikan proses virus tersebut silahkan gunakan tools seperti “proceexp”. Tools ini dapat di-download di alamat http://download.sysinternals.com/Files/ProcessExplorer.zip

Langkah 3:
Cari dan hapus file dengan nama tati.exe di direktori C:\Windows dan C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Langkah 4:
Hapus file duplikat yang dibuat pada flash disk Anda. Untuk mempercepat proses penghapusan, Anda dapat menggunakan menu “Search Windows”. Sebelum melakukan pencarian sebaiknya tampilkan terlebih dahulu file/folder yang disembunyikan. Berikut cara untuk menampilkan file/folder yang disembunyikan dan mencari file virus.

1. Buka [Windows Explorer]
2. Klik menu [Tools], kemudian klik [Folder Options]
3. Pada layar “Folder Options”, klik tab [View]
4. Pada folder [Hidden files and folders], hilangkan tanda centang pada opsi [Hide extensions for known file types] dan [Hide protected operating system files (recommended)]
5. Lalu klik tombol [Ok]

Untuk mencari dan menghapus file virus:

1. Buka Windows Explorer, kemudian klik kanan di lokasi Flash Disk, lalu klik “Search…”
2. Setelah muncul layar “Search Result”, pada kolom “All or part of the file name” isi dengan ekstensi *.SCR
3. Pada kolom “Look in” pastikan sudah menuju ke lokasi flash disk yang akan diperiksa.
4. Klik menu “What size is it”, kemudian pilih opsi Specify size (in KB). Pilih “at most”, isi dengan ukuran “198″.
5. Setelah itu klik menu “More Advanced option”, kemudian beri tanda centang pada Searh system folders, Search hidden files and folders, Search subfolders.
6. Kemudian klik tombol “Search” untuk memulai proses pencarian.
7. Setelah berhasil ditemukan, hapus file virus yang mempunyai ukuran 198 dengan ekstensi SCR (Screen Saver) dengan icon “Folder”

Langkah 5:
Tampilkan kembali file/folder yang sudah disembunyikan oleh virus pada flash disk Anda dengan cara:

1. Klik [Start] menu
2. Klik [Run]
3. Pada dialog box [Run] ketik “CMD” tanpa tanda kutip, kemudian tekan tombol [Ok].
4. Setelah muncul Dos Prompt, pindahkan kursor ke lokasi flash disk. Contoh jika flash disk Anda adalah E: maka ketik perintah E: kemudian tekan tombol [Enter].
5. Setelah kursor berada di drive E (flash disk), ketik perintah: ATTRIB –s –h /s /d

Langkah 6:
Rajin-rajin men-scan komputer dengan anti virus yang ter-update

Di kopi paste dari : Detikinet

Berikut Script autorun untuk menjalankan Antivirus PCMAV pada Flashdisk:
========================================
[autorun]
open=.\#PCMAV\PCMAV-CLN.exe
label=Rush Flash
icon=CrazyEye.ico
Shell\Option1=Scan with PCMAV
Shell\Option1\Command=.\#PCMAV\PCMAV-CLN.exe

========================================

copy kan script di atas pakai notepad, kemudian simpan dengan nama file autorun.inf

Ket :
open = path file executable antivirus
label = label flash disk
icon = file icon untuk mempercantik tampilan flashdisk
Shell\Option1= Context menu atau klik kanan untuk menjalan PCMAV secara manual
Shell\Option1\Command = path file executable antivirus

NB : – Baru dicoba pada Windows XP SP2
- Tidak jalan jika autorun di disable

Jika masih bingung download aja file lengkapnya di sini, extract pada root direktori flashdisk Anda, kemudian ubah attribut file autorun.inf menjadi Read Only dan Hidden.

Sumber :
- terinspirasi dari http://ansav.com/content/category/3/25/27/
- icon di download dari http://www.fasticon.com/
- Untuk autorun creator download di http://www.moonvalley.com/autoruninfeditor/

Seperti kita ketahui, virus Kespo selain mengincar file .doc (MS Word) dan xls (MS Excel) sebagai korbannya, ternyata file .dbf pun termasuk dalam daftar file yang dijahilinya. Celakanya, jika file .doc dan .xls yang di injeksi dapat disembuhkan dengan file fix yang banyak beredar di internet. File .dbf yang di”permak” ini diperlakukan agak berbeda dengan file doc/xls sehingga databasenya tidak dapat berfungsi dan harus di recover dari back upnya. Pertanyaannya adalah, bagaimana kalau lupa memback up, atau backupnya juga ikut terkena Kespo ? Wah… kalau sudah begitu dapat dikatakan bahwa virus Kespo membuat anda makin religius . Mengapa ? Karena anda pasti langsung berdoa dalam hati meminta kembali data anda dan menyesali mengapa anda tidak melakukan backup dengan baik dan disiplin. Cara terakhir tentunya ada, input ulang semua data …. Bisa-bisa anda bisa lembur berminggu-minggu jika database yang dihancurkan itu ukurannya besar.

Format database paling populer di Indonesia

Setelah Kespo menginfeksi komputer, ia akan mulai menjalankan aksi mautnya dimana salah satu yang paling ditakuti pemilik database (sekarang) adalah aksinya mengenkrip header semua file berekstensi .dbf, .mdf dan .ldf. Jika .mdf dan .ldf adalah file Microsoft SQL server dan menurut laporan yang kami terima, aksi ini kurang mulus (mengandung bug) sehingga pengguna database MS SQL terhindar dari aksi mematikan Kespo. Lain halnya dengan pengguna .dbf. Seperti kita ketahui, .dbf adalah format file database yang diciptakan oleh Ashton-Tate dengan program database dBASE dan dibeli oleh Borland, sekarang dimiliki oleh dBASE Inc. Sebenarnya yang populer bukan .dbf dari dBASE karena nama dBASE sudah dipatenkan sehingga tidak dapat digunakan secara gratis. Namun struktur data dBASE tersebut merupakan milik umum dan tidak dapat dipatenkan sehingga para vendor database lain sepakat untuk tetap menggunakan struktur database ini dan menjadikannya sebagai standarisasi dengan nama baru Xbase. Adanya standarisasi ini penting supaya database yang dihasilkan dari vendor database yang berbeda dapat kompatible dengan vendor lainnya. Contohnya, file database Visual Fox Pro dapat dimengerti oleh Clipper atau dBASE dan sebaliknya. Dalam implementasi yang lebih rumit lagi, file .dbf ini dapat menjadi jembatan penghubung data antar software yang berbeda fungsi. Contohnya data Statistik dari SAS, Stata dan SPSS dapat dipergunakan dalam aplikasi sistem informasi geografi ArcView dan ArcGIS jika datanya dikonversikan ke .dbf.

Namanya juga database, ukurannya pasti besar-besar (puluhan – ratusan mega) dan data ini terdiri dari kumpulan data yang dimasukkan dalam waktu yang lama. Makin besar databasenya, makin lama waktu yang dibutuhkan untuk mengelolanya. Jadi bisa dibayangkan kalau database ini rusak dan anda harus bertanggung jawab untuk memasukkan semua data ini. Karena itu memang (sekali lagi) back up database “yang baik dan benar” merupakan satu keharusan bagi pengguna database. Definisi “yang baik dan benar” adalah bukan sekedar rutinitas saja, melainkan file backup ini juga harus di test secara berkala memang berfungsi dan penyimpanan file backup ini juga penting. Jangan seperti satu kasus dimana backup database disimpan pada komputer yang sama (pada direktori yang berbeda) dan ketika terkena Kespo, sekalian borongan file backupnya juga di”permak”.

Apa benar .dbf merupakan format database yang paling populer di Indonesia ?

Vaksincom pada mulanya juga ragu, karena .dbf (dBASE) adalah program database yang dipelajari bareng jaman Lotus 123 dulu, lebih dari 20 tahun yang lalu. Masa ada perusahaan yang masih menggunakan dBASE ? Bukankah sekarang sudah zamannya si Oracle yang ngakunya “unbreakable” untuk korporat, MS Accessnya Windows atau MySQLnya opensource ? Tetapi rupanya kenyataan mengatakan lain. Memang benar kalau beberapa korporat besar menggunakan Oracle, MS Access dipergunakan oleh pengguna Windows dan MySQL menjadi standar de facto database webserver. Tetapi rupanya perusahaan-perusahaan menengah dan kecil rupanya memiliki kebijakan dan pandangan yang berbeda. Kalau database sudah bisa jalan dengan baik, untuk apa dirubah lagi ? Karena merubah database membutuhkan usaha dan biaya yang tinggi dan manajemen perusahaan di Indonesia terkadang masih memandang IT sebagai cost center saja. Pada waktu sistem komputer tidak berfungsi dan mengganggu operasional perusahaan, baru manajemen tersentak. Celakanya, beberapa manajemen “hardcore” yang menjadi korban Kespo, mungkin karena saking kesalnya kehilangan data sempat berpikir untuk tidak menggunakan komputer sama sekali pada perusahaannya dan kembali menggunakan buku catatan manual dan kartu saja ……. Ampuuunnn Di Jeee !!

Menurut perkiraan Vaksincom, pengguna .dbf ini mayoritas adalah pengguna aplikasi database Visual Fox Pro, Clipper dan aplikasi lain yang terkait dengan format .dbf seperti SPSS dan ArcGIS. Dan secara persentase jumlah perusahaan, pengguna database .dbf ini mencapai lebih dari 50 % dan tersebar di seluruh Indonesia. Satu keunikan lain yang membedakan Indonesia dengan negara lain adalah para pengguna database ini sebagian besar “tidak online” atau hanya satu komputer saja yang online melalui dial up ke internet sehingga ancaman virus dari internet terhadap database servernya relatif dapat diminimalkan dan perusahaan merasa tidak perlu untuk memasang program antivirus. TETAPI …… ada satu celah yang juga merupakan ciri khas Indonesia, dimana pengguna UFD (USB Flash Disk) nya sangat tinggi dan pertukaran data antar komputer melalui UFD sangat sering dilakukan. Ibarat hubungan seks bebas tanpa pengaman yang mengakibatkan penularan penyakit, komputer tanpa antivirus yang saling bertukar data melalui UFD ini juga sangat rentan terinfeksi virus melalui UFD dimana pada saat mencolokkan UFD, virus yang bercokol di satu komputer langsung menginfeksi UFD tersebut sehingga ketika dicolokkan ke komputer lain yang masih bersih, virus di UFD tersebut secara otomatis (autorun) akan menginfeksi komputer tersebut. Salah satu virus lokal tersebut adalah Kespo yang dalam salah satu rutinnya merusak file database (.dbf) komputer korbannya.

Bagaimana cara mengembalikan .dbf yang sudah di”permak” ?

Bagi orang awam, kerusakan pada file .dbf ini ibarat dapat Tsunami pada server databasenya. Secara default, pesan yang akan muncu ketika kita mengakses file .dbf yang telah dirusak Kespo adalah :

“Not a Table”

Selain itu ada kemungkinan pesan tersebut telah dirubah oleh programmer (jika anda menggunakan aplikasi database buatan lokal), intinya pesannya akan berbunyi seperti :

“Data Anda dalam keadaan rusak, silakan diperbaiki” à Pesan ini muncul jika anda menggunakan aplikasi lokal SIAP www.siap-software.com

Lalu kemana anda harus mencari pertolongan jika menjadi korban ? Kabar baiknya, lagi-lagi ada veteran database yang meluangkan waktunya untuk membenarkan masalah ini. Terimakasih kepada Bapak Ismuddin yang telah meluangkan waktunya untuk memberikan solusi bagi masalah ini. Jika database anda yang rusak ini memiliki ukuran besar dan anda memerlukan layanan Database Recovery profesional, silahkan hubungi info@vaksin.com.

Langkah untuk merecover file DBF yang rusak oleh virus KSPOOLD (Sumbangan Bp. Ismuddin, veteran dbf Indonesia).

Kerusakan data yang disebabkan oleh virus KSPOOLD adalah mengganti header dari file yang berekstensi DBF (Kalau file data dbf yg sudah diganti ekstensinya tidak diserang). Karena header setiap file dbf tidak sama ukurannya, ini tergantung dari jumlah field, maka untuk file yang jumlah fieldnya sedikit, virus bisa menyerang record. Hal ini saya perhatikan karena disengaja oleh pembuatnya agar ukuran file tidak berubah.

Untuk memperbaiki header file dbf yang rusak bisa dilakukan dengan bantuan utility UltraEdit yang dapat di download versi trial nya di :

http://www.tucows.com/preview/194610

Langkah perbaikan :

1. Buka file dbf yang rusak dengan UltraEdit.
2. Buka file yang masih baik dgn struktur yang sama dengan file yang rusak, atau buat file baru yang strukturnya sama dgn file yang rusak.
3. Blok header data yang clean mulai dari batas header dgn record sampai ke awal file, klik kanan pilih copy.
4. Blok header data yang rusak mulai dari batas antara header dgn record sampai awal file, klik kanan pilih paste. (lihat gambar 3)
5. Simpan data yang rusak dgn cara masuk ke Menu, Pilih File lalu Save. Perbaikan data tahap pertama sudah selesai, hasilnya masih belum bisa dibaca oleh VFP, karena jumlah record yang tercatat pada data yang rusak tidak sama dengan yang di kopikan.
6. Perbaikan selanjutnya saya menggunakan tool yang berfungsi untuk memperbaiki header file dbf yg kerusakannya tidak parah dgn Tabel Repair Utility (Program Terlampir).
7. Klik Pilih File, cari file yang disimpan melalui UltraEdit, lihat gambar 4.
8. Klik Tombol Ganti Pada baris jumlah Recor
9. Klik Tombol Ganti Pada baris ukuran file
10. Bila File yg Anda Recover mempunyai Field Memo sedangkan file memonya tidak tersedia, ubah Table Flag menjadi Has CDX File, kemudian klik Ganti.
11. Klik Buka File …untuk membuka file yang sudah di recover, pada bagian bawah terdapat record sampah, buang saja .. !
12. Data yang rusak sudah bisa diselamatkan.
13. Berikut ini saya sertakan juga Program untuk perbaikan Tahap kedua setelah menjalankan UltraEdit Fix-dbf.zip (REPAIR.EXE dan MODULS.EXE)

Langkah Pencegahan menjadi korban Kespo

• Gunakan program antivirus yang mempu mendeteksi virus Kespo dan pastikan antivirus anda sudah terupdate secara otomatis.
• Jika memungkinkan, ganti ekstensi database anda, jangan menggunakan ekstensi .dbf. Anda dapat mengganti ekstensi database dengan ekstensi khusus (apa saja), asalkan pada program aplikasi database nya di set untuk mencari nama file dengan ekstensi khusus tersebut, misalnya database “data1.dbf” diganti dengan nama “data1.ilu” atau menjadi “data1.abc”
• Selalu ingat untuk melakukan back up pada database anda secara benar dan teratur. Ingat untuk sedia payung sebelum hujan, dan payungnya di cek secara teratur selalu bekerja dengan baik.

Original Links : http://vaksin.com/2007/0707/kespo-dbf.htm

Saya asumsikan server linux Anda sudah terinstalasi dengan baik apache webservernya.

1. Buat sebuah folder pada document root, misalkan /var/www/html adalah document root :
# cd /var/www/html
# mkdir kav

2. Membuat mirror menggunakan wget
# wget -m -nH -nd ftp://updates1.kaspersky-labs.com/updates

3. Membuat mirror agar mengupdate secara otomatis dengan crontab
# crontab -e
=============================================================
30 3 * * * cd /var/www/kav/ && /usr/bin/wget -m -nH -nd \
ftp://updates1.kaspersky-labs.com/updates
=============================================================

4. Tambahkan settingan berikut pada httpd.conf
=================================================
<Directory “/var/www/html/kav”>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
==================================================