Meremove Worm Thecoolpics yang Menyebar lewat Yahoo M

Beberapa hari ini mungkin rekan2 sering dapat kiriman pesan beragam lewat messenger seperti ini :

Awas jangan di klik itu virus
Awalnya saya kira kiriman gambar dari temen seorang desiner ternyata setelah di klik sebagai virus. Gimana virus itu dan cara menghilangkanya….

Menurut situs security sepertI symantec atau Trendmicro jenis warm ini termasuk Low Overall risk rating namun cukup menganggu dengan mengiirim pesan secara otomatis ke contac list di Messenger kita selama worm ini masih aktif. Varian ini banyak jenisnya seperti WORM_SOHANAD.AE, W32.Imaut.J, Worm.Qucan.d


EFEK
Ketika aktIf dia akan disable Registry,Task manager ,Run dan merubah Default Homepage IE, – Firefox kayaknya ngak papa, pada sistem Operasi Windows 98, ME, NT, 2000, XP, Server 2003 . Di samping itu akan mengirim pesan ke Contact List yang aktif via messenger dan akan menginfeksi komputer yang meng-klik pesan link tersebut.

CARA ME-REMOVE
Dikumpulkan dari beberapa sumber dan mencoba sendiri
Yang sudah terlanjur kena untuk browser dapat gunakan Browser- silahkan download FireFOX , alternatif messenger apabila masih terinfeksi gunakan meebo.com

Cara Cepat

• Yang pake Windows XP dapat mencoba dengan System Restore
• Dapat mencoba dengan NORTON Anti Virus (symantec.com) bagi yang punya
• Dapat mencoba dengan AVG -Anti Spyware (grisoft.com) - mengenali SVHOST32.exe sebagai Worm.Qucan.d )

Pelengkap

• Hijackers detector and remover ( HijackThis )
• Security Task Manager

CARA MANUAL
Virus ini akan membuat file tiruan yang mirip file system dengan nama SVHOST.EXE dan SVHOST32.EXE . Maka untuk menghilangkan virus ini dengan cara menghapus virus tersebut yang berada pada direktori
C:\WINDOWS\SYSTEM\ Namun kita tidak dapat langsung mengahapus file ini secara langsung karena dia aktif sedang
Task Manager di disable maka ada beberapa langkah yang harus kita lakukan.

A. Akifkan Task Manager
Untuk aktifkan task manager dapat gunakan deteksi dengan :

• Hijackers detector and remover ( HijackThis )
• Security Task Manager

Cara lain dapat download file berikut simpan /download –> kemudian KLik Kanan–> Installl
http://securityresponse.symantec.com/avcenter/
UnHookExec.inf

B. langkah berikutnya kita akan menghilangkan Efeck lain yang ditimbulkan sperti membuat Default Homepage,

• Gunakan sotware untuk manage Regedit seperti Winboost atau Scurity Adminsitrator

• Melalui Regedit

1. Buka Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
2. Dalam panel
   HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
   Windows>CurrentVersion>Run
3. Delete Entry berikut
     
   • Task Manager = “%Windows%\system\svchost32.exe”
   • Svchost = “%Windows%\system\svhost.exe”
     (Note: %Windows%  Windows folder, mis C:\Windows or C:\WINNT.)

    

4. Buka :
   LOCAL_MACHINE\Software\Microsoft\Windows\
   CurrentVersion\Policies\Explorer atau
   HKEY_CURRENT_USER\Software\Microsoft\Windows\
   CurrentVersion\Policies\System
   HKey_Current_User\Software\Microsoft\Windows\
   CurrentVersion\Policies\ExplorerDelete Entry berikut al :
   DisableLocalMachineRun atau DisableLocalMachineRunOnce atau
   DisableCurrentUserRun atau DisableCurrentUserRunOnce atau noRun
    
5. Buka
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main  

   Hapus
   “Start Page” =”[http://]thecoolpics.com/[REMOVED]”

   Buka
   HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control PanelInternet Explorer\Main
   Hapus :
   “Homepage” = “1″
    

6. Buka
   HKEY_CURRENT_USER\Software\Yahoo\pager\View\
   YMSGR_buzz
   HKEY_CURRENT_USER\Software\Yahoo\pager\View\
   YMSGR_Launchcast
   Hapus :
   “content url” = “[http://]thecoolpics.com/[REMOVED]”
    

Selamat mencoba , semoga bermanfaat
(Jy)

Tags: menghilangkan w32.imaut.u, start