File Virus
Lebih lanjut, , jika script Trojan Stuxnet dari situs berbahaya tadi sudah berjalan akan muncul tiga file di komputer korban. Ketiganya adalah Winsta.exe, mrxcls.sys dan mrxnet.sys.
File bernama Winsta itu yang akan membengkak ukurannya sesuai sisa ruang hardisk yang ada. Biasanya partisi yang jadi korban adalah partisi tempat sistem operasi Windows berada.
Nama file itu, Winsta, dicatut dari nama file asli Windows untuk program bernama WinStation Monitor. Aplikasi ini merupakan tools yang digunakan pada Windows 2000 dan terletak di C:\Program Files\Resources\Winsta.exe.
Gejala & Efek Virus
Efek paling kasat mata dari virus ini tentunya adalah hardisk yang mendadak penuh. Akibat dari hardisk yang penuh itu, beberapa program mungkin tak akan berjalan dengan baik.
Selain itu,infeksi Stuxnet juga terjadi pada file sistem berikut:
Scvhost, sehingga komputer sulit terhubung ke jaringan.
- Lsass, komputer bisa menjadi lambat, hang ataupun restart dengan sendirinya.
- Spoolsv, komputer tidak bisa mencetak dokumen/gambar lewat printer.
- Gunakan ReDr Web CureIt
Langkah pertama jika komputer anda telah tertular virus Stuxnet adalah, download removal tools khusus untuk Stuxnet yang diberi nama Dr Web CureIt (link download ada di bagian akhir artikel ini). Removal tools yang berukuran 45,78 Mb tersebut di klaim mampu membersihkan virus yang menjengkelkan tersebut. - Repair Your Registry
Cara yang kedua adalah dengan memperbaiki registry komputer, caranya copy script di bawah ini: [Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del[UnhookRegKey]
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, ShowSuperHidden,0×00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, SuperHidden,0×00010001,1
HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, HideFileExt,0×00010001,0
HKLM, SOFTWARECLASSESbatfileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWARECLASSEScomfileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWARECLASSESexefileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWARECLASSESpiffileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWARECLASSESregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”
[del]
HKLM, SYSTEMCurrentControlSetServicesMRxCls
HKLM, SYSTEMCurrentControlSetServicesMRxNet
HKLM, SYSTEMControlSet001ServicesMRxCls
HKLM, SYSTEMControlSet002ServicesMRxNet
HKLM, SYSTEMCurrentControlSetServicesEnumRootLEGACY_MRXClS
HKLM, SYSTEMCurrentControlSetServicesEnumRootLEGACY_MRXNET
HKLM, SYSTEMControlSet001ServicesEnumRootLEGACY_MRXClS
HKLM, SYSTEMControlSet002ServicesEnumRootLEGACY_MRXNET
Paste script di atas pada program text editor anda misal notepad atau notepad ++ lalu simpan dengan nama repair.inf. Setelah tersimpan, klik kanan file tersebut lalu pilih install dan restart komputer anda.
Untuk mencegah sisa trojan yang mencoba aktif kembali, bersihkan file temporary menggunakan software semisal ATF Cleaner atau menggunakan program bawaan windows yaitu Disk Clean-Up - Cara Pencegahan
Copy script di bawah ini untuk mencegah virus winsta menginfeksi kembali komputer anda. @echo off
del /f c:windowssystem32winsta.exe
rem rd c:windowssystem32winsta.exe
md c:windowssystem32winsta.exe
del /f c:windowssystem32driversmrxnet.sys
rem rd c:windowssystem32driversmrxnet.sys
md c:windowssystem32driversmrxnet.sys
del /f c:windowssystem32driversmrxcls.sys
rem rd c:windowssystem32driversmrxcls.sys
md c:windowssystem32driversmrxcls.sys
attrib +r +h +s c:windowssystem32winsta.exe
attrib +r +h +s c:windowssystem32driversmrxnet.sys
attrib +r +h +s c:windowssystem32driversmrxnet.sysPaste dan simpan script di atas dengan nama winsta.bat. klik 2 kali file winsta.bat tersebut. Untuk mendapatkan hasil yang maksimal, lakukan scan ulang komputer menggunakan antivirus yang terupdate dan mengenali virus ini, contoh Kaspersky Antivirus atau Antivir/Avira.
Mudah bagi yang berpengalaman, sulit yang mau belajar, lebih sulit yang sudah terinfeksi virus itu.
0 komentar:
Posting Komentar