Ciri-ciri bila komputer terkena virus ini adalah terasa lebih lambat karena resource komputer terpakai oleh virus tersebut, tidak bisa membuka task manager, tidak bisa membuka cmd, tidak bisa membuka regedit, tidak bisa membuka msconfig dan find hilang sedangkan virus ini mempunyai ukuran 55 kb
Setelah virus berhasil mengcopykan file induknya kedalam sistem tersebut ia akan menjalankan file induk tadi, sehingga pada memory akan terdapat beberapa proses virus seperti csrss.exe, winlogon.exe, isass.exe, smss.exe, svchost.exe.
Nama proses ini mirip dengan proses/service milik windows tersebut mungkin sengaja untuk mengecoh kita. Namun untuk membedakannya adalah bila proses milik windows yang running biasanya berasal dari direktori c:\Windows\System32 sedangkan proses milik virus ini dari direktori c:\Windows\System.
Kemudian folder windows dirubah attributnya menjadi hidden kemudian menciptakan file baru dengan nama windows.exe dan baca euy.txt pada drive c: dan juga file lsass.exe, smss.exe, svchost.exe, winlogon.exe, csrss.exe pada folder c:\Windows\System. Pada folder c:\windows ada file baru yaitu Win32.exe, kutumbaba.exe, ActiveX.exe, .exe, folder c:\Windows\System32 ada file _default.pif serta copy.pif. File kutumbaba.exe adalah nama virus yang kubuat dengan menggunakan FFE.
Virus ini menambah beberapa item starup pada registri agar pada saat memulai windows ia dapat running secara otomatis.
Pada key HKEY_CURRENT_USER\Sofware\Microsoft\WindowsNT\CurrentVersion\Windows\Load juga akan diubah itemnya agar mengarah kefile induknya yang dengan nama Activex.exe.
Pada key HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Run akan ada item baru dengan nama present.
Pada key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run akan terdapat item baru dengan nama default dan “username” username ini merupakan nama user yang sedang aktif saat itu.
Virus ini dapat menyebar melalui penyimpan data seperti flash disk, jadi ketika flash disk dipasang pada komputer yang terinfeksi maka pada flsh disk akan terdapat file baru yaitu explorer.exe, kutumbaba.exe, msvbvm60.dll, desktop.ini, dan autorun.inf agar dapat running secara otomatis.
Jadi saat virus sudah stay dimemory ia akan memonitor setiap program yang diakses oleh kita dan beberapa nama file anti virus yang akan dibloknya yaitu antara lain nav.exe, avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe, kav.exe, nvcoas.exe, avp32.exe ‘ makanya ga usah beli antivirus hahaha…. ‘
Setelah kita mengetahui ciri-ciri dari virus buatan sendiri ‘ hehehe… bisa bikin harus bisa hapus donk… ? ya ga.. ‘
Baik kita mulai proses penghapuasan virus ini.Pertama-tama kita harus mematikan proses virus terlebih dahulu. ‘ tahu donk…? Tadi kan udah dijelasin nama-nama proses virus yang aktif dimemory ‘
Pilih proses virus yang akan dimatikan, klik kanan, lalu pilih kill selected.. Setelah kita berhasil membunuh semua proses virus yang berjalan, langkah selanjutnya adalah menghapus file-file virus tersebut.
Tapi sebelum menghapus kita buka folder option dan pada tab view, aktifkan option button show hidden file and folder dan nonaktifkan checkbox hide extensions for known file types serta hide protected operating System file (recommended).
Kenapa kita harus membuka folder option terlebih dahulu? Karena virus tersebut telah memberikan atribut super hidden pada folder Windows. Lalu hapus semua file yang dibut oleh virus.
File tersebut antara lain :
Windows.exe, dan baca euy.txt pada drive c:\.
lsass.exe, smss.exe, svchost.exe, winlogon.exe, csrss.exe pada folder c:\Windows\System
Win32.exe, kutumbaba.exe, ActiveX.exe, .exe pada folder c:\Windows.
_default.pif serta copy.pif pada folder c:\Windows\System32
Ingat, file kutumbaba.exe tiap komputer berbeda-beda, tergantung nama virus yang kita buat dengan FFE.
Lalu setelah berhasil menghapus semua file yang diciptakan oleh virus tersebut, maka langkah selanjutnya adalah menetralisir registry yang udah terkontaminasi oleh virus tersebut. Untuk menetralisirnya kita butuh program TuneUp Utilities karena percuma juga kalau kita ketik regedit pada run tetep kaga bakalan bisa jalan karena registri kita udah diracuni oleh virus seperti pada :
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\taskmanager.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\RegEdit.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\CMD.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\MsConfig.exe
Yang berguna untuk mengaktifkan file Win32.exe pada folder c:\Windows apabila kita menjalankan RegEdit, CMD, MsConfig dan task manager. Win32.exe itu sendiri adalah file ciptaan virus tersebut.
Jadi apabila kita menjalankan RegEdit, CMD, MsConfig dan task manager maka secara tidak langsung kita akan mengeksekusi file virus itu. Loohh….. bukannya file Win32.exe yang terletak pada c:\Windows sudah kita hapus? Iya anda benar, filenya sudah kita hapus tapi registrynya kan belum kita netralisir.
Jadi apabila kita coba jalankan RegEdit, CMD, MsConfig atau task manager maka tetap tidak akan terbuka.
Okeh… mari kita lanjutkan… Untuk menetralisir kan registry buka TuneUp Registry Editor. Lalu hapus key-key yang diciptakan oleh virus. Key-key tersebut antara lain :
• HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\taskmanager.exe
• HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\RegEdit.exe
• HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\CMD.exe
• HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\MsConfig.exe
adunksan present dan Present pada
• HKCU\software\microsoft\Windows\currentversion\run
Key adunksan present berbeda-beda pada tiap komputer tergantung nama author yang kita masukan pada FFE. Sama seperti file kutumbaba.exe bedanya kutumbaba.exe nama virus yang kita masukan pada FFE sedangkan adunksan present adalah nama author yang kita masukan dalam hal ini nama author yang aku masukan adalah adunksan.
c:\Windows.exe, c:\Windows\.exe, c:\Windows\ActiveX.exe, c:\Windows\kutumbaba.exe pada
• HKU\s-1-5-21-746137067-507921405-725345543-1003\software\microsoft\Windows\Shellnoraom\muichache
Edit nilai dari Userinit yang terletak pada
• HKLM\software\microsoft\WindowsNT\currentversion\winlogon
Yang semula berisi c:\Windows\System32\copy.pif menjadi c:\Windows\System32\userinit.exe
Load pada
• HKCU\software\microsoft\Windows NT\currentversion\Windows
NoFind pada
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Exploler
• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Exploler
Selesai sudah semuanya tinggal di restart komputer kita kemudian di run regedit, msconfig, cmd bisa semua kan….?
Itu berarti virus telah berhasil kita matikan aksi/prosesnya, hebaaat kalian telah menjadi dokter virus…..hahaha……
( itu juga kalo beneran )
.
