Pernah kena virus ReHTML.Redlof.A?
ciri2xnya
1. adanya file folder.htt di setiap folder
2. adanya file desktop.ini di setiap folder
Virus ReHTML.Redlof.A adalah virus sialan ini yang menduplikatkan
diri di secara
terus menerus (dibuat dari bahasa program visual basic yang
terencrypt).
Virus ini selalu menghajar pada file-file yang
berextension .html,.htm,.asp, .php, .jsp, and .vbs
yang ada pada system khususnya di OS berbasis window (C:\Windows in
Windows 95/98 or C:\Winnt in Windows NT).
Virus ini secara langsung mengcopy dirinya kedalam file Kernel.dll
atau File Kernel32.dll direktory Windows\System
sebagai defaultnya file ini bernama folder.htt yang secara mengcroot
masuk kedalam file registry.
Virus ini selalu mengeksekusi dirinya berbarengan dengan file dibawah
ini
%windir%\System\Kernel.dll
%windir%\System\Kernel32.dll
kita dapat melihat virus ini berjalan didalam registry key di mana
merubah nilai dari
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command
menjadi ---> "%windir%\WScript.exe ""%1"" %*"
atau
---> "%windir%\System32\WScript.exe ""%1"" %*"
dan juga merubah registry key
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
menjadi
{60254CA5-953B-11CF-8C96-00AA00B8708C}
Pertama sekali diselalu mengopy dirinya kedalam file
C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm
(tentu saja jika filenya ada)
HKEY_CURRENT_USER\Identities\[Default Use ID] \Software\Microsoft\Outlook Express\[Outlook Version].0\Mail\Compose
mengunakan Stationery mengset nilai dari menjadi 1
Trik Untuk menghapus virus ini ikuti langkah-langkah berikut:
1. Update Vx2000 Plus versi terakhir.
2. Restart komputer anda dalam kondisi safe mode. (Tekan Tombol F8
pada saat reboot)
3. Scan the system mengunakan Vx2000 Plus scanner (atau anti virus
yang to update).
4. sembari menscan komputer anda sebuah file kernel.dll akan
terditeksi di c:\windows, anda dapat menghapus file ini
meskipun file ini kelihatan seperti file system (Windows NT / 2000 /
XP), Kernel.dll akan deteksi sebagai Kernel32.dll dalam direktory
WINNT/System
5. Hapuslah semua file yang terinfeksi
6. Bukalah Windows Registry Editor.
7. Masukanlah kedalam direktory
HKEY_LOCAL_MACHINE\Software\Calsses\Dllfile.
8. Hapuslah value dari subdirectories (ScriptEngine,
ScriptingHostEncode, Shell, ShellEx)
9. klik HKEY_LOCAL_MACHINE\Software\Microsoft\Out Express. "Degree"
kosongkan jika valuenya ada.
10.klik
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. "Kern el32" hapuslah valuenya., jika memang itemukan
11.Tutup Registry Editor.
12.Click Start dab select Find, Files / Folders.
13.Cari file Folder.htt and Desktop.ini. hapus file ini jika
ditemukan.
14.begitu juga dengan file blank.htm atau blank.html (file default
yang pertama kali diserang)
biasanya terletak di C:\Program Files\Common Files\Microsoft
Shared\Stationery\blank.htm
15.Kosongkan the Recycle Bin.
16.Restart komputer anda .
17.Vx2000 Plus Updates
Hati-hati
Bundo Nismah
Do you Yahoo!?
Yahoo! SiteBuilder - Free, easy-to-use web site design software