Buang virus secara manual

Terlebih dahulu, aku nak bagitau kepada yang tidak tahu lagi cara untuk mengaktifkan benda penting seperti folder option, registry, task manager dan command prompt. Kebanyakan virus akan disable benda ini supaya pengguna tidak dapat membuang virus ini dan ia dapat bergerak aktif. Ok, mula dengan folder option;

Klik start dan klik kat run, taip regedit dan tekan enter. Cari alamat ini “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer” dan “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”, lepas tu korang cari fail NoFolderOptions (kalau tidak ada, korang klik kanan, new, DWORD Value. Letak nama NoFolderOptions dengan value data 0.

Jika virus itu menyerang (disable) task manager, anda perlu guna cara ini. Klik run, dan anda taip “REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f” (lebih baik anda salin (copy and paste).

Jika ia disable command prompt, anda perlu klik pada run dan anda taip REG add “HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 0 /f”. (lebih baik copy dan paste).

Jika registry tidak boleh buka,anda perlu taip “REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f”

Rvhost

Korang buka registry, dan klik edit dan klik find. Cari file ini dan musnahkan; RVHOST. Itu sahaja.

Backdoor SDBot.H Trojan

1) Klik Start
2) Klik Find or Search (bergantung pada Windows versi)
3) Klik Files or Folders atau All Files and Folders
4) Taips I5Eexplore dan enter
5) Buang fail tersebut
6) Klik Start, Run, taip REGEDIT
7) Buang fail seperti dibawah
“Config Loadatiorin”=”<I5Eexplore.exe>”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
8) Keluar dan restart komputer anda.

BadTrans Trojan Virus

1) Klik Start, Run
2) Taip SYSEDIT dan kilk OK
3) Tik dekat WIN.INI window dan cari baris RUN
4) Buang ia dan simpan file yang di edit tadi. (ctrl+S)
C:\WINDOWS\INETD.EXE
Sekarang anda update anti virus yang di install di komputer anda dan jalankan scan. Anda akan dapati fail KERN32.EXE dan CP_23421.NLS. Buang fail ini jika anti virus anda tidak boleh membuangnya. Restart komputer.

VBS.Flesh.A

Klik Start, Run, taip regedit dan enter. Pergi ke “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” Anda akan dapat melihat seperti “name REG_SZ “C:\Windows\name.vbs”"Buang fail ini. Pergi ke “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main” dan buang tajuk window itu. Buang fail ini “C:\Windows\name.vbs”

QAZ trojan

Klik START, RUN dan taip REGEDIT dan ENTER. Pergi ke “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run” Cari fail yang mencurigakan seperti ini “startIE=XXXX\Notepad.exe.” dan terus buang tanpa berfikir panjang. Simpan dan tutup semua window, restart komputer dan anda namakan semula fail Note.com ke Notepad.exe.

Buang Virus Yahoo Messenger.

Kena disable system restore dulu sebab virus ini boleh restore balik execute fail dia bila kita buang. Cari dan buang fail ini. “svhost.exe dan svchost32.exe”. Buang Autostart fail dalam Registry, kena buka registry, dan cari kawasan ini. “HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run” Cari dan buang fail ini, Task Manager = “%Windows%\system\svchost32.exe” Svchost=“%Windows%\system\svhost.exe”. Buang kunci dan data ini. “HKEY_CURRENT_USER>Software>Yahoo>pager>View”. Cari dan buang fail ini. YMSGR_buzz dan YMSGR_Launchcast. Cari fail “HKEY_CURRENT_USER>Software>Policies>Microsoft>Internet Explorer>Control Panel” dan buang Homepage = “1″. Cari “HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Policies>Explorer” dan buang data NoRun = “1″. Tutp semua browser dan reset balik browser anda dan buang semua temporary data dan cookies dan buang apa dalam cache.

MSBLAST or MSBLASTER worm

Virus ni begitu hebat sehingga ia boleh mengakibatkan komputer anda tutup dengan sendiri. Tetapi anda boleh matikan arahan itu (jika satu popup keluar yang mengatakan “This shutdown was initiated by NT AUTHORITY\SYSTEM”) dengan anda klik pada window – run dan taip shutdown -A. Arahan ini akan menyahaktifkan arahan virus tadi. Cara nak buang virus ni susah sikit dan leceh kerana ia telah patchkan file ke beberapa tempat dalam komputer anda.

1. Terlebih dahulu anda perlu cabut kabel internet.
2. Anda perlu matikan beberapa fail yang diaktifkan oleh virus. Anda perlu buka task manager (ctrl+alt+del) dan tab ke processes dan matikan file ini. MSBLAST.EXE PENIS32.EXE TEEKIDS.EXE MSPATCH.EXE MSLAUGH.EXE ENBIEI.EXE.
3. Anda kena muat turun dan install KB824146. Untuk buang virus ini, kebanyakan di internet menyuruh anda meng install DCOM RPC untuk di patch ke komputer. Microsoft sendiri yang mengeluarkan fail ini dan sebenarnya ialah adalah laluan ulat (worm) itu sendiri. Fail ini memang ada pada versi terbaru window xp dan ke atas. Oleh itu aku cadang guna yang KB824146, pon ia dari window tapi lebih selamat sikit. Jika anda mahu menggunakan DCOM RPC juga anda boleh teruskan kerana di bawah nanti anda akan tutup port yang menjadi laluan ia bergerak ke internet.
4. Dengan fail itu, anda perlu tutup port tcp 4444 dan tutup port tcp 135 dan udp 69.
5. Sekarang anda perlu buka registry untuk buang beberapa data yang dibuat oleh ulat. Anda perlu pergi HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Current Version>Run dan buang fail ”windows auto update” = MSBLAST.EXE (variant A), ”windows auto update” = PENIS32.EXE (variant B), ”Microsoft Inet xp..” = TEEKIDS.EXE (variant C), “Nonton Antivirus”=MSPATCH.EXE (variant E), “Windows Automation” = “mslaugh.exe” (variant F), “www.hidro.4t.com”=”enbiei.exe” (variant G).
6. Anda sebenarnya perlu tutup system restore bagi membolehkan proses membuang ulat ini lancar. Sekarang anda perlu klik pada start dan search atau find. tab look in tu anda set pada window root (biasanya C:) dan pada advanced option anda klik search system folder dan search hidden fail. Di atas tadi aku dah senaraikan beberapa fail yang perlu di tutup dan fail itu yang anda kena cari dan buangkannya. empty recycle bin sekali.
7. Sekarang anda perlu reboot komputer dan try tengok ada lagi ke fail ulat itu.

Kangen

1. Anda buka search atau find, dan macam biasalah, look in kat c: (window system file). Pastu kat more advanced option, klik pada search system folder dan search hidden file. Cari fail yang bernama ccapps.exe dan kangen.exe, buangkan aja. (shift+del)
2. Anda buka registry dan klik kat edit buka find. Cari fail ccapps.exe untuk dihapuskan. Biasanya ada kat HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices.
3. Jangan lupa untuk buang fail yang terdapat pada temp folder. biasanyafolder ni ada kat window root (c:\documents and setting\temp). Kalau tak ada bukan bermakna folder itu tak wujud tetapi cuma di hidden aje. pergi kat folder option dan klik pada show hidden file dan uncheck hide extension for know file. klik apply dan ok.

MyDoom.A or Novarg.A worm

1. Restart komputer anda dan jalan pada safe mode. tekan F8 masa mula-mula ia berjalan. Nanti akan keluar banyak pilihan dan anda pilih untuk safe mode.
2. Bila dah masuk window, anda buka registry. Anda pergi ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run untuk buang data “Taskmon”=”%System%\taskmon.exe”. Selepas itu anda ke HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version dan HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version untuk buang data dalamnya. Pergi ke HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 untuk ubah semua fail “%System%\shimgapi.dll”.
3. Anda simpan registry dan keluar. Buka search atau find. (tutup system restore dulu. cari fail shimgapi.dll dan taskmon.exe. JANGAN BUANG FAIL SEPERTI TASKMON.EXE DALAM NORMAL WINDOW FOLDER. Fail-fail tersebut biasanya dalam keadaan tersembunyi (hide), jadi anda perlu klik pada more advanced option dan klik search hidden file.

Best!.exe

1. Buka task manager. Ia akan prompt password tetapi anda cuba bukan sekali lagi tanpa menutup tetingkap password tersebut.
2. di tab process, cari file window.exe atau best.exe dan terminate (end tree process)
3. buka search, dan cari file BEST!!.exe yang ber’icon’ folder. begitu juga file window.exe. pilih semua fungsi di advanced options. buang file berkenaan.
4. buka registri melalui command prompt, cari file best.exe dan window.exe. BUT… JANGAN ANDA TERSALAH BUANG KEY DI REGEDIT TU!!!

# untuk keselamatan, ni link yang masih ingat. #

HKEY_CURRENT_USER,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\system32\mizi\window.exe.

## ubah sesetengah fungsi di registri ##

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun,1

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoClose,1

HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion,RegisteredOrganization,170188

### tidak perlu mengunakan safe mode untuk melakukan tugasan ini ###

Lebih kurang yang aku bagitau dan aku ada banyak lagi cara nak buang virus secara manual ni. Kalau nak tau lagi just PM kat aku ok…