Virus W32.IMAUT.J (Virus YM yang ngirim thecoolpics.net)

| Posted on |

ym-lagi-2YM atau yahoo messenger biasanya kita gunakan untuk chatting, tapi ada virus yang mengggunakan media tersebut untuk menjadi tempat penyebarannyaa salah satunya Virus W.32 dimana dia mengirim lInk http://thecoolpics.net di IE anda.

Awal mulanya anda mendapatkan virus ini adalah mendapat pesan offline Message dari teman YM anda dan menyuruh anda mengklik link tersebut http://thecoolpics.net/va…jpg.
sebaiknya anda jangan mengklik link ini. langsung di close saja.
Apabila anda sudah terlanjur mengklik link tersebut efek yang akan diterima komputer anda antara lain:
1. Tidak bisa membuka MSCONFIG
2. Tidak bisa membuka REGEDIT
3. Menu Run akan disembunyikan
4. Internet Explorer website defaultnya menjadi http://thecoolpics.net
5. Task Manager tidak dapat dibuka
6. Disable System Restore
Di samping itu akan mengirim pesan ke Contact List yang aktif di YM anda via messenger dan akan menginfeksi komputer yang meng-klik pesan link tersebut.

Untuk Remove Virus ini ikuti langkah-langkah berikut:
1. Download software dari http://securityresponse.symantec.com/avcenter/UnHookExec.inf.
2. Klik kanan di file yang barusan di donlod, pilih install (untuk kita bisa jalanin Regedit).
3. Kemudian jalankan regedit32 dari folder system32 di windows, biasanya ada di C:WINDOWSSYSTEM32 untuk XP
4. buka
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
atau
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
atau

HKey_Current_UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
hapus yang (antara ini) DisableLocalMachineRun atau DisableLocalMachineRunOnce atau DisableCurrentUserRun atau DisableCurrentUserRunOnce atau noRun. dia bisa pake apa aja untuk disable RUN, kalo gak ada key nya dan run masih di disable, search for noRun
5. Hapus

DisableTaskMgr
DisableRegistryTools
6. buka
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Hapus
Task Manager = %Windirsystemsvchost32.exe
SVCHOST = %Windirsystemsvhost.exe
7. buka
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
hapus
Start Page =[http://]thecoolpics.com/[REMOVED]

8. buka

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
hapus
Homepage = 1
9. buka

HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_buzz dan HKEY_CURRENT_USERSoftwareYahoopagerViewYMSGR_Launchcast
hapus
content url = [http://]thecoolpics.com/[REMOVED]
10. Restart, masuk ke safe mode
11. hapus file berikut
C:WINDOWSsystem32svchost32.exe
C:WINDOWSsystem32svhost.exe
(ini bukan file system, file system adalah svchost.exe dia niru)
12 Selesai 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *