Cara pembersihan virus W32/RootKit.STG

·         Putuskan komputer yang akan dibersihkan dari jaringan.

·         Matikan proses virus yang inject proses system dengan menggunakan aplikasi unlocker. Anda dapat mendownload aplikasi ini pada link berikut :

http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe

Install terlebih dahulu aplikasi unlocker, kemudian lakukan delete dan Unlock All pada file-file virus. Lakukan delete file virus secara bertahap yaitu :

o    system.exe

o    HBBO.dll, HBCHIBI.dll, HBQQFFO.dll, HBmhly.dll, HBZHUXIAN.dll, HBZG.dll, HBSO2.dll, HBQQSG.dll, HBSOUL.dll

o    AcSpecf.sdb, AcXtrnel.sdb, AcSpecf.dll

o    HBKernel32.sys, eth8023.sys

·         Hapus dan bersihkan file virus. Anda dapat menggunakan removal tool dari Norman untuk membersihkan-nya (dapat anda download melalui link dibawah ini).

           http://download.norman.no/public/Norman_Malware_Cleaner.exe

·         Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObject

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 3PMmUpdate

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HBService32

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectsDelayLoad, ThunderAdvise

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

·         Normalkan kembali Host file yang telah diubah. Gunakan tools HijackThis. Download pada link berikut :

hxxp://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

o    Jalankan Hijackthis, Pilih Open the Misc Tools section.

o    Kemudian pada System tools, pilih Open hosts file manager.

o    Selanjutnya lakukan Delete line(s). Blok seluruh line termasuk localhost (127.1), kemudian Delete line(s). Setelah selesai, Pilih Open in Notepad, kemudian masukkan isi file localhost asli (127.0.0.1 localhost), kemudian save file tsb.

·         Hapus file temporary dan temporary internet files, gunakan ATF Cleaner. Download pada link berikut :

hxxp://www.atribune.org/ccount/click.php?id=1

Pastikan untuk menghapus temporary, temporary internet files, history, prefetch, cookies dan java cache.

·         Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.