Darkside of Oktavianus

Making virus and all of them as our friends

Virus w32.svshost@comp

Posted by oktavianus pada April 15, 2008

Code Name : w32.svshost@comp
Ukuran : 30 kb
Jenis : Worm
File induk : svshost.exe

Ketemu lagi, dengan virus lagi, komputer lagi dan lain – lain lagi .. kali ini kita akan membahas soal penanggulangan virus svshost, yups… memang agak nakal ini virus .. tapi tetep buatan anak endonesyah … bangga gitu buat virus?bangga aja kalek.. pokoknya buatan Indonesia .. tapi lebih bangga lagi jika dapat membuat antivirus, terutama buatan Indonesia .. okeh …

FILE INDUK

File induk dari virus ini sebenarnya terletak di:

C:\windows\system\run.exe
C:\windows\system\del.exe
C:\windows\system\delnew.exe
C:\windows\system\helper.exe
C:\windows\system\nadlocop.exe

Dan induknya terletak di c:\windows\system32\svshost.exe dan c:\windows\svshost.exe

Selain itu sebenarnya banyak file nya yang bertebaran, yaitu:

Mlkio.exe
Mstn.exe
Subst.exe
Tohel.exe

MANIPULASI REGISTRY

Virus ini memanipulasi registry:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f6f7i4, “C:\WINDOWS\system32\svshost.exe”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\f6f7i4, “C:\WINDOWS\system32\svshost.exe”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f6f7i4, “C:\WINDOWS\system32\svshost.exe”

Sedangkan karakter f6f7i4 adalah generate dari virus itu untuk mengubah – ubah nama service-nya.

Perkembangan virus selanjutnya adalah selalu memanfaatkan service sebagai pemicu, jadi percuma saja kalau file induknya ditemukan, tapi service-nya belum dimatikan, untuk melihat service dari virus tersebut, cukup :

Klik start-> settings -> control panel -> administrative tools -> services , maka akan muncul gambar sbb:

Dapat dilihat nama servicenya adalah f6f7i4 , nah service itu yang harus dimatikan, caranya seperti gambar di bawah:

1. Pilih service yang mencurigakan, disini namanya f6f7i4
2. Kemudian klik tombol Stop, tunggu sebentar
3. Kemudian ganti combo box diatasnya yang bertuliskan Automatic menjadi Disabled
4. Kemudian klik Apply
5. Maka service akan berhenti.

PENANGGULANGAN

1. Download Process Explorer Jan dan muncul semua di:

2. Kemudian matikan proses dengan nama:

Mlkio.exe
Mstn.exe
Subst.exe
Tohel.exe
run.exe
del.exe
delnew.exe
helper.exe
nadlocop.exe
svshost.exe

3. Jalankan file munculsemua.exe untuk memunculkan registry dan membuat normal sub folder option
4. Hapus registry dengan alamat registry sbb:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f6f7i4, “C:\WINDOWS\system32\svshost.exe”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\f6f7i4, “C:\WINDOWS\system32\svshost.exe”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f6f7i4, “C:\WINDOWS\system32\svshost.exe”

5. Cari dengan fasilitas search windows dan hapus file dengan nama:

Mlkio.exe
Mstn.exe
Subst.exe
Tohel.exe
run.exe
del.exe
delnew.exe
helper.exe
nadlocop.exe
svshost.exe

6 .Buka msconfig dengan klik start -> run-> ketik ‘msconfig’ tanpa tanda petik kemudian tekan enter.

7 Hilangkan tanda centang pada nilai:

nadlocop = C:\windows/system/nadlocop.exe

Kemudian restart, semoga hal ini dapat membantu ..

Sincerely yours,

Aat shadewa

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: