Teknik Komputer & Jaringan: Membasmi Virus Pendekar Blank

Virus Pendekar Blank ini adalah sebuah virus lokal. Semua misi virus ini dapat anda lihat pada File (Read Me)Pendekar Blank.txt yang terletak pada drive C:\ pada komputer yang telah terinfeksi virus ini. Kurang lebih screen shoot file (Read Me)Pendekar Blank.txt seperti terlihat pada gambar berikut :

Yang paling menyebalkan dari virus ini adalah semua program process manager macam Process Explorer, Combo Fix, Antivirus,dll jika diinstall langsung didelete ama itu virus. Beruntung saya nemuin file task manager sederhana buatan Ahlul bisa didownload disini : http://www.ziddu.com/download/1643717/ProcLister.rar.html .

Pertama kali dieksekusi virus ini akan membuat sebuah folder dengan nama duplikat virus itu sendiri. Misalnya virus tersebut telah menyebar ke flashdisk anda dengan nama yadoy.exe, maka pada saat virus itu dieksekusi dengan segera ia akan membuat folder dengan nama yadoy dengan attribute super hidden ( +S +H) dan akan membuka folder tersebut. Langkah ini dilakukan virus tersebut dengan maksud membuat user tidak sadar bahwa yang dieksekusi bukanlah virus tetapi merupakan sebuah folder kosong. Ini merupakan cara yang cerdik untuk mengelabuhi user.

Selanjutnya virus ini akan menggandakan dirinya di :

c:\aut0exec.bat
c:\windows\system32\dllcache\Regedit32.com
c:\windows\system32\dllcache\Shell32.com
c:\windows\system32\dllcache\rund1132.exe
c:\windows\system32\dllchache.exe
c:\windows\system32\M5VBVM60.exe
c:\(Read Me)Pendekar Blank.txt
c:\windows\system32\dllchache\blank.doc
c:\windows\system32\dllchache\empty.jpg
c:\windows\system32\dllchache\hole.zip
c:\windows\system32\dllchache\msvbvm60.dll
c:\windows\system32\dllchache\unoccupied.reg
c:\windows\system32\dllchache\zero.txt
c:\windows\system32.exe

virus ini juga akan mengacak-acak registry windows. Registry yang diacak-acak adalah

HKCU\Software\Microsoft\Windows\CurrentVersion\run ==> Secure32
HKCU\Software\Microsoft\Windows\CurrentVersion\run ==> Secure64
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ==> Blank Antiviri
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ==> userinit
HKCR\comfile\shell\open\command ==> c:\windows\system32\run1123.exe
HKLM\System\Currentcontrolset\control\safeboot ==> AlternateShell
HKLM\System\Controlset001\control\safeboot ==> AlternateShell

Cara mengatasi :

Matikan dulu semua file-file pendekar blank yang aktif di dalam memory menggunakan ProLister.

Setelah bisa dilakukan proses Kill & Delete dengan task eksplorer ini. Gunakan anda bisa secara aman menyalakan Combofix (combo fix bisa didownload di http://download.bleepingcomputer.com/sUBs/ComboFix.exe ). Hasil pembersihan oleh combo fix bisa dilihat di bawah ini :

ComboFix 08-07-13.6 - Uki-Woro 2008-07-14 10:49:29.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.267 [GMT 7:00] Running from: C:\Documents and Settings\Uki-Woro\Desktop\ComboFix.exe * Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]

((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) -File virus yang dihapus combo fix