Cara menghapus virus matrox

January 12, 2009, 10:33 am

Filed under: Uncategorized

Virus MaxTrox (Maximum Troxer) yang dideteksi sebagai W32/Dloader.HFZC, mengubah

wallpaper desktop di komputer menjadi gambar MaxTrox. Wallpaper ini akan aktif pada setiap
tanggal 1 s/d 6 pada bulan April, Agustus dan Desember.

Untuk membersihkan virus MaxTrox, ikuti langkah-langkah berikut ini:

1. Sebaiknya lakukan pembersihan pada mode Safe Mode.

2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty
Bitty Process Manager yang dapat didownload di:
http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html.

Lakukan kill process, pada file virus yang aktif yaitu:

C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe (nama virus

random/acak, semisal aizw.exe, scnp.exe, dll).

3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan
script registry dibawah ini:

[Version]
Signature=$Chicago$
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"%1 %*
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"%1 %*
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"%1 %*
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"%1 %*
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,regedit.exe %1
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"%1 %*
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, Explorer.exe
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, cmd.exe
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, cmd.exe
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, cmd.exe
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, cmd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,
000010001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
CheckedValue, 000010001,0
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
DefaultValue, 000010001,0
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath,
DefaultValue, 000010001,0

[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE

Gunakan notepad, kemudian simpan dengan nama repair.inf (gunakan pilihan Save As
Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :

Icon WinRAR
Ekstensi *.exe, *.scr, *.msd, *.sysm
Ukuran 77 KB

Catatan:

Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian
file virus.
Untuk mempermudah proses pencarian sebaiknya gunakan Search Windows dengan
filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
Hapus file virus yang biasanya mempunyai date modified yang sama.

5. Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file
executable asli yang telah di-rename menjadi EXE File oleh virus).

6. Ubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program
Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat, misalnya
Extention Renamer.

7. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus
yang ter-update dan dapat mengenali virus tersebut untuk mempermudah penghapusan virus.
bisa juga menggunakan PCMAV 19

selamat mencoba