Virus jalan pada winxp, or mungkin win7 juga tapi saya belum pernah nemuin, Taskmanager disabled Regedit disabled, Semua file ms word (.doc) atau (.docx) extensionnya berubah menjadi .jse dengan size rata-ratanya 9kb.
 |
| Add caption |
Ada file beautiful_girl_part_1.lnk - beautiful_girl_part_5.lnk bentuknya movie player mungkin biar disangka filem bokep. Ada file annie.ani tapi di hidden dan jadi file system
ok kita mulai. bismillah. yang kita butuhkan hanya command prompt
command prompt
Taskmanager di disabled oleh virus. kita tidak dapat menghentikan proses kerja virus lewat fitur taskmanager.. pake command prompt
Ketik
Code:
C:\Documents and Setting\user>tasklist
Tuh keliatan ada 3 proses aneh… cssript dengan ukuran file yang mencurigakan
Matikan dengan fungsi taskkill lewat command prompt
Tetapi karena virus mematikan fungsi taskkill maka kita harus mengakalinya dulu dengan merubah nama fungsi taskkill.exe dengan nama sembarang… disini sya mengabil contoh merubah namanya dengan taskkillnk.exe >>> nk nama saya om
Code:
C:\WINDOWS\system32>ren taskkill.exe taskkillnk.exe
Code:
C:\WINDOWS\system32> taskkillnk.exe /pid 144 /pid 148 /pid 228 /fSukses… mas bro virus sudah tidak jalan.
Sekarang bersih2x di regedit ny >> karena disini fungsi windows menjalankan semua aplikasinya
Berhubung karena regedit nya di disabled sama virus maka kita harus membukanya terlebih dahulu lewat command prompt..
Pake fungsi reg query untuk melihat key regedit lewat command prompt dan reg delete untuk menghapus key nya lewat command prompt juga..
Ternyata jreng jreng virus memproteksi dirinya dengan menonaktifkan fungsi reg.exe
Kita akalin dulu… ganti aja nama file reg.exe dengan sembarang juga
Disini sya mengambil contoh diganti dengan regnk.exe
Code:
C:\WINDOWS\system32> ren reg.exe regnk.exeOk kita mulai dengan buka regeditnya terlebih dahulu
Ketik
Code:
C:\WINDOWS\system32> regnk.exe query hkcu\software\microsoft\windows\currentversion\policies\system
Hapus pake fungsi regnk.exe delete
Ketik
Code:
C:\WINDOWS\system32> regnk.exe query hkcu\software\microsoft\windows\currentversion\policies\system /v disabletaskmanager
Delete the registry value disabletaskmgr (Y/N)? y
The operations completed succesfully
C:\WINDOWS\system32> regnk.exe query hkcu\software\microsoft\windows\currentversion\policies\system /v disableregistrytools
Delete the registry value disableregistrytools(Y/N)? y
The operations completed succesfully
Suksess sekarang kita sudah bisa masuk regedit
Sekarang kita matikan start up virus ketika windows pertama kali loading di regedit nya.. bisasanya ada di key
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Kembalikan ke dafault, edit string lalu ganti value datanya jadi
Code:
C:\Windows\system32\userinit.exe,Cek di key
Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsname type value
debugger reg_sz cmd.exe /c rem
hapus sja
ok sekarang kita bersih2x file yang ada di windows explorer…
posisi komputer yang sedang sya perbaiki ada 2 drive… drive C untuk system dan D untuk Data
matikan proses autorunnya terlebih dahulu…
file autorun.inf di hidden dengan type file system… buka dengan fungsi attrib
Code:
C:\ >attrib –s –h –r autorun.inf
C:\ >del autorun.infFile ini juga di hidden dan berupa file system.. buka dahulu dengan fungsi attrib
Code:
C:\>attrib –s –h –r annie.ani
C:\>del annie.ani
Hapus file beautiful_girl_part_1.lnk - beautiful_girl_part_5.lnk posisi ada di semua drive dalam kasus ini ada didrive C dan D
Code:
C:\ >del *.lnk
Code:
C:\ >del *.jse /sKembalikan file asli word dengan extension *.doc dan *.docx yang hilang di hidden sama virus
Code:
C:\ >attrib –s –h –r *.doc /s
C:\ >attrib –s –h –r *.docx /sLakukan hal yang sama di semua Drive…
screenshot file word palsu dengan extension .jse ukuran file 9kb
Terlihat file asli sudah kembali seperti semula..
Comments :
0 komentar to “ Cara menghapus virus dengan cara manual menggunakan CMD ”
Posting Komentar
Aturan Berkomentar
1. No spam!
2. No live link!
3. No maho :D