Cara Menghilangkan virus win32/smallworm.GQK

### Menghapus Dengan Cara Manual ###

Pada saat virus ini di aktifkan ia akan menampilkan pesan error seperti terlihat ada gambar dibawah, kemudain ia akan membuat beberapa file induk yang akan dijalankan pada saat komputer dinyalakan diantaranya:

• C:\Sisboot.exe
• C:\Windows\Dell.bat
• C:\Windows\Mixers.exe
• C:\Windows\systems.ini
• C:\Windows\sys.exe
• C:\Windows\xpsys.exe
• C:\Windows\system32\xpsys.exe
• C:\Documents and user\%user%\Local settings\Temp\xpsys.exe

Agar file tersebut dapat dijalankan secara otomatis pada saat komputer dinyalakan, ia akan membuat string ada beberapa registry berikut

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Fonts System = C:\WINDOWS\Sys.Exe

- WinConfig = C:\WINDOWS\Mixers.Exe

- Windows System0 = C:\Sisboot.Exe

- Windows System1 = E:\Sisboot.Exe

- Xpfrm = C:\WINDOWS\system32\xpsys.exe

- Xpfrx = C:\Document and Settings\%user%\Local Settings\Temp\xpsys.exe

- XpSys = C:\WINDOWS\xpsys.exe

2. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

- load = C:\Windows\Dell.bat

File Dell.bat ini berisi perintah lain untuk merubah nama file C:\Windows\Systems.ini menjadi C:\Windows\Mixers.exe

Sebagai benteng pertahanan, ia akan melakukan blok terhadap beberapa fungsi utility Windows seperti Task Manager, MSConfig dengan memunculkan pesan error.

Untuk melakukan hal tersebut, ia akan membuat string berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

            - NoFolderOptions
            - NoTaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

            - 1 = msconfig.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

            - DisableRegistryTools
            - DisabletaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

            - DisallowRun
            - NoFolderOptions

Blok program MS Word dan Wimamp
Selain blok fungsi Windows di atas ia juga akan melakukan blok terhadap  program pengolah kata Microsoft Word (MS Word) atau pada saat user menjalankan file pemutar musik (Winamp) atau saat menjalankan file MP3, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
            - 1 = Winamp.exe
            - 3 = Winword.exe

Pesan pembuat virus
Untuk mengabadikan dirinya, ia akan meninggalkan beberapa jejak dengan menampilkan pesan-pesan baik yang akan ditampilkan pada saat kompter booting atau dalam bentuk file dengan membua file kohoin.txt di setiap drive.
Untuk menampilkan pesan di atas ia akan membuat perubahan pada string registry berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

-legalnoticecaption = Pesan dari Novi Montegarza

- legalnoticetext = Salam kangen untuk Abang-abangku di Moncong Burung Abepura - Jayapura (seperti):

Media penyebaran

Untuk mempermudah penyebarannya, ia akan memanfaatkan media removable disk termasuk flash disk dengan membut file (acak) di setiap drive seperti anima bintang.exe, Kutak bisa.exe, Ungu-Demi waktu.exe, Once Dealova.Exe atau cenderawasih.exe, file ini mempunyai ukuran 68KB dengan menggunakan icon Winamp dengan tujuan untuk mengelabui user.
 

#Cara mengatasi W32/Smallworm.GQK dengan Norman Security Suite PRO#

Dalam artikel ini, Vaksincom memberikan satu trik baru membersihkan virus menggunakan fitur “Intrusion Guard” yang mampu mencegah injeksi file virus dan fitur “Advance System Reporter” yang memiliki fungsi dasar seperti Process Manager tetapi dengan fitur yang jauh lebih lengkap. Anda dapat mendownload Norman Security Suite Pro di  https://www.norman.com/downloads/special/nss80, untuk mendapatkan Kode Lisensi NSS Pro Gratis untuk 30 hari silahkan isi form di  https://www.norman.com/downloads/trial_registrations/58627/?utm_source=pressrelease&utm_medium=try_link&utm_campaign=nsspro. Anda juga dapat menggunakan tools selain Intrusion Guard seperti Security Task Manager untuk menghentikan proses virus yang aktif.

1. Nonaktifkan “System Restore” selama proses pembersihan

2. Matikan proses virus yang sedang aktif di memori. Norman Security Suite PRO dengan fitur Intrusion Guard mempunyai kemampuan untuk memonitoring setiap file yang aktif dimemori serta mempunyai kemampuan untuk mematikan setiap proses yang kita inginkan sekaligus menghapus registri startup dari proses tersebut (jika ditemukan).

Untuk memanggil fitur ini, lakukan langkah bereikut

- Pada layar utama Norman Security Suite PRO, klik pada menu “Intrusion Guard”

- Klik “Advanced System Reporter” (lihat gambar)

- Klik “Go to View”, pada menu “Processes” (lihat gambar dibawah)

- Klik pada tabulasi “Auto Start”, klik kanan  proses virus dengan icon “Winamp”, kemudian klik menu “Terminate Process” untuk menghentikan proses file tersebut dan “Remove Autorun untuk menghapus string Autorun dari file tersebut agar tidak aktif kembali pada saat komputer di restart. Cek juga pada tabulasi “Other, matikan file proses dengan icon Winamp. (lihat gambar dibawah)

3. Repair registry, untuk memperludah proses penghapusan silahkan copy script dibawah ini kemudian simpan dengan mama repiar.inf, install file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

[Version]

Signature="$Chicago$"

Provider=Vaksincom 

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load, 0,""

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, DisallowRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisabletaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticecaption

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticetext

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Fonts System

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WinConfig

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrm

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrx

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, XpSys

 

4. Hapus file induk, Untuk mempercepat proses penghapusan, silahkan salin script dibawah ini kemudian simpan dengan nama sembarang (contoh: DelVirus.bat), jalankan file tersebut dengan  cara Klik 2x pada file yang tersebut.

---- awal code ----

cd\

attrib -s -h -r sisboot.exe

 

Del Anima-bintang.exe /f

Del Kohoin.txt /f

Del sisboot.exe /f

 

CD\

CD Windows

attrib -s -h -r Dell.bat /f

attrib -s -h -r Mixers.exe /f

attrib -s -h -r systems.ini /f

attrib -s -h -r sys.exe /f

attrib -s -h -r xpsys.exe /f

 

Del Dell.bat /f

Del Mixers.exe /f

Del systems.ini /f

Del sys.exe /f

del xpsys.exe /f

 

CD\

CD Documents and Settings\%username%\local settings\temp

attrib -s -h -r xpsys.exe

del xpsys.exe /f

 

cd\

msg %username% /time:30 /w /v "Hapus string copy C:\WINDOWS\systems.ini C:\WINDOWS\Mixers.Exe", pada file C:\AUTOEXEC.BAT

 

notepad.exe c:\autoexec.bat

msg %username% /time:30 /w /v "Proses penghapusan file induk virus telah selesai dilakukan, silahkan scan ulang dengan antivirus yang up-to-date"

                ---- akhir code ----

 

5. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang terupdate dan sudah dapat mendeteksi dan membasmi virus ini dengan baik.