Mengeliminasi Worm
Yang Convert DOC-XLS ke EXE
Yang Convert DOC-XLS ke EXE
PERHATIAN
BAGI YANG SUDAH TERINFEKSI, MOHON UNTUK TIDAK GEGABAH.
JANGAN MENGGUNAKAN ANTIVIRUS, KARENA ITU PERCUMA DAN HANYA AKAN MENGHAPUS DOKUMEN ANDA. PULIHKAN DOKUMEN ANDA DENGAN MSWSPLIT.EXE YANG DAPAT ANDA DOWNLOAD DI SINI.
Membunuh dari sistem:
1. Masuklah ke Safemode with Command Prompt.
2. Pada layar DOS Prompt, ketiklah explorer diikuti enter.
3. Hapus file kspoold.exe atau kspooled.exe pada C:\Windows\System32.
Inilah source asli dari semuanya. Dia akan mengkonversi semua Document (*.doc) dan Workbook (*.xls) menjadi executable (*.exe).
4. Masuklah ke Registry dan hapuslah key beserta isinya:
HKLM\SYSTEM\CurrentControlSet\Services\kspooldaemo n
HKLM\SYSTEM\ControlSetxxx\Service\kspooldaemon
Untuk versi lawasnya tidak masuk di service melainkan di Startup yang ada di:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
datanya: k print splooler dengan value: C:\Windows\System32\kspoold.exe (Bila sistemnya berada di C:\Windows\System32)
5. Restart ke normal.
Menghapus sisa kspoold:
Setelah ditelusuri lebih lanjut, ternyata beberapa variant worm ini masih memiliki taktik untuk mengaktivasi dirinya setelah dihapus dari sistem. Aktivatornya berada di folder MSSETUP.~~T dan aktif dengan perantara desktop.ini yang ada di root setiap drive.
1. Hapuslah atau edit ulang desktop.ini yang ada di root semua drive termasuk Removeable media seperti Flash Disk, Floppy.
Gunakan MS-DOS untuk menghapus file ini. Masuklah ke root setiap drive dan ketik ATTRIB +A -S -H -R DESKTOP.INI, supaya DESKTOP.INI bisa dihapus denan perintah DEL DESKTOP.INI.
Bila anda sayang dengan gambar background pada folder anda, maka bukalah DESKTOP.INI dengan notepad, dan hapuslah bagian ini:
PersistMoniker=file://MSSETUP.T~~\Folder.htt
2. Hapus folder MSSETUP.T~~ berserta isinya.
Memulihkan View pada Folder Option yang rusak:
Ternyara worm ini bikin View pada Folder Option mwnjadi agak rusak pada:
- Hide extension for known file type;
- Hide Protected Operating System Files (Recomended)
Cara memulihkan:
1. Masuklah ke registry dan gantilah value pada:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Adv ance\Folder\HideFileExt
Perhatikan data tersebut dan pastikan valuenya:
CheckedValue = 1
DefaultValue = 1
UncheckedValue = 0
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Adv ance\Folder\Superhidden
Perhatikan data tersebut dan pastikan valuenya:
CheckedValue = 0
DefaultValue = 0
UncheckedValue = 1
Dengan demikian anda dapat mengatur kembali View pada Folder Option anda.
Tidak ada komentar:
Posting Komentar