Screenshot Virus Deadlock (vaksin)
Namun jika sudah menjadi korban Deadlock, jangan sekali-kali menginstal ulang OS Anda ke hardisk yang mengandung data yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.
Sebab, jika Anda menginstal ulang OS ke hardisk yang mengandung data yang ingin direcover, kemungkinan keberhasilan recovery akan sangat rendah.
Namun virus ini juga bisa ditangani dengan cara manual. Berikut 6 langkah singkatnya yang diramu Vaksincom:
1. Disable [System Restore] selama proses pembersihan.
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti 'Process Explorer',kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe. Silahkan download tools tersebut di url berikut: ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat dieksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008.
Caranya:
-. Start -- Run ketik perintah SECPOL.MSC kemudian klik tombol [OK]
-. Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
-. Pada menu Software Restriction Policies, klik Additional Rules
-. Klik kanan pada Additional Rules, kemudian pilih New Hash Rule, dan akan muncul layar New Hash Rule
-. Pada kolom File hash klik tombol Browse, kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] dan klik tombol [Open]
-. Pada kolom Security level pilih [Disallowed]
-. Pada kolom description boleh di isi atau dikosongkan saja
-. Klik tombol [Apply] dan [Ok]
Catatan: Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara:
-. Klik kanan file repair.inf
-. Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql
5. Hapus file induk virus yang ada di direktori
-. C:\Windows\system32\apache.exe
-. C:\Windows\system32\mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut: http://www.norman.com/support/support_tools/58732/en-us
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing, sebaiknya lakukan install ulang.
Sementara untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
1 komentar:
Write komentarWaah ini saya baru dengar... kira2 dia menyerang dari mana ya ? apakah dari email atau dari browsing ? atau dari flashdisk atau lainnya ?
Reply