7 Langkah Membantai Virus MaxTrox

Wallpaper yang dibuat virus MaxTrox

Jakarta - Waspadai jika wallpaper desktop di komputer Anda berubah menjadi gambar MaxTrox (Maximum Troxer), karakter di game online World of Warcraft. Bisa jadi komputer Anda terinfeksi virus.

Menurut siaran pers Vaksincom, yang dikutip detikINET, Jumat (22/8/2008), telah beredar virus MaxTrox yang teridentifikasi sebagai W32/Dloader.HFZC. Sesuai namanya, MaxTrox mengubah wallpaper dekstop menjadi gambar MaxTrox, di mana pada gambar tersebut dibubuhi waktu dan komentar.

Wallpaper ini akan aktif pada setiap tanggal 1 s/d 6 pada bulan April, Agustus dan Desember. Waktu yang dibuat oleh virus juga selalu berubah, sesuai dengan waktu pada komputer user. Sedangkan untuk comment, akan menyesuaikan dengan nama user yang aktif saat itu.

Selain mengubah wallpaper, virus ini akan mengubah tampilan background folder Windows dengan background MaxTrox. Ia juga akan menggantikan file .exe asli dari folder Program Files dengan cara menduplikasi file asli, lalu menambahkan spasi pada file .exe yang asli. Dengan kata lain, file .exe yang asli akan di-rename menjadi file berekstensi .exe dengan tambahan spasi.

Untuk mengelabui user, virus meregister ekstensi file virus yaitu Msd dengan type Microsoft System Direct, dan Sysm dengan type System Mechanic. MaxTrox lalu membuat folder palsu sebagai tempat berkumpulnya virus yakni folder "My Network Places\Network Connections".

Virus yang berukuran 77KB dan menggunakan icon WinRAR ini hanya berusaha mematikan Task Manager, tetapi tidak memblok fungsi windows seperti folder options, hanya berusaha mencegah perubahan pada folder options.

Untuk membersihkan virus MaxTrox, ikuti langkah-langkah berikut ini:

1. Sebaiknya lakukan pembersihan pada mode Safe Mode.

2. Matikan proses virus yang aktif di memori. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager yang dapat didownload di: http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html.

Lakukan kill process, pada file virus yang aktif yaitu:

• C:\Documents and Settings\%user%\Application Data\Microsoft\%dsh%.exe (nama virus random/acak, semisal aizw.exe, scnp.exe, dll).

3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini:

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Classes\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue, 0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\ShowFullPath, DefaultValue, 0x00010001,0

[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, VisualStyle
HKCU, Control Panel\Desktop, SCRNSAVE.EXE

• Gunakan notepad, kemudian simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
• Jalankan repair.inf dengan klik kanan, kemudian pilih install.
• Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

4. Hapus file induk virus yang mempunyai ciri-ciri sebagai berikut :

• Icon "WinRAR"
• Ekstensi *.exe, *.scr, *.msd, *.sysm
• Ukuran 77 KB

Catatan:

• Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.
• Untuk mempermudah proses pencarian sebaiknya gunakan "Search Windows" dengan filter file *.exe, *.scr, *.msd, *.sysm yang mempunyai ukuran 77 KB.
• Hapus file virus yang biasanya mempunyai date modified yang sama.

5. Hapus file duplikasi virus pada folder C:\Program Files (biasanya file virus diikuti file executable asli yang telah di-rename menjadi EXE File oleh virus).

6. Ubah kembali ekstensi file executable yang telah di-rename oleh virus pada folder C:\Program Files. Gunakan software/tool untuk mempermudah rename ekstensi secara cepat, misalnya Extention Renamer.

7. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang ter-update dan dapat mengenali virus tersebut untuk mempermudah penghapusan virus.