Setelah seharian mengutak-atik laptop, sambil mencari beberapa referensi, akhirnya aku menemukan cara untuk memberantas virus ini.
Jadi kemarin entah darimana, tiba-tiba aku lihat file-file Ms. Word di Flash diskQ berubah jadi .EXE semua. Aku sampe kaget gitu, n udah mikir yang macem2 juga, tapi akhirnya aku bisa sedikit bernafas lega karena yang terinfeksi sama virus ini cuma file MS. Word yang ekstensinya doc (Ms.Office 1997-2003) aja, sedangkan yang ekstensinya docx (Ms.Office 2007) ternyata ga terinfeksi. Untungnya file Ms.Word berekstensi doc yang ada di flashdiskQ cuma 4 file 'n ga terlalu penting, sedangkan puluhan file Ms.Word lainnya berekstensi docx.
Belakangan, aku tahu kalo ini virus bernama KSpooldA. Jadi waktu kita menjalankan file dokumen yang terinfeksi, maka ia akan mengekstrak beberapa bagian file. Dia mengeluarkan file induk untuk ditanamkan di direktori System 32 Windows. Trus dia mengaktifkan dirinya di memory dengan nama kspoold.exe, trus dia menjalankan dokumen yang tadi sudah di ekstrak itu.
Setelah virus aktif, dia akan mencari ke setiap drive komputer kita. Kalo dia menemukan ada drive Flash Disk, maka dia akan mencari pada drive tersebut trus menginfeksi setiap dokumen .doc dan .xls yang dia temukan.
Virus ini juga menciptakan sebuah file yaitu avmeter32.dll. File ini madalah file pendukung virus yang di-inject ke dalam proses explorer.exe untuk memonitor proses virus di dalam memory. Jadinya setiap kali kita mencoba buat mematikan proses virus ini di Task Manager, dia akan tetap aktif lagi, walaupun kita coba menghentikan proses, trus menghapus filenya, soalnya dia juga sudah menyimpan backup file induknya di dalam direktori user Temp, dengan nama "Uninstall Log.dat".
Eh, tapi virus ini juga membuat beberapa file log di dalam direktori temp Windows. Dalam direktori Windows\Temp\ akan ada file KSPOOLD.TXT. Selain itu di sana juga terdapat file UninstallC.TMP. Trus ada lagi file log-nya di direktori \Documents and Settings\PearLy_Zone\Local Settings\Temp\AEGIS.TXT. Dengan membaca file log ini, kita bisa tahu apa aja yang dikerjakan oleh virus ini. Seru, kan?
Kalo antivirus yang kita punya belum cukup ampuh buat mengatasi virus ini, kemarin aku baca beberapa sumber, katanya sih kita bisa saja membunuh virus ini di memory dan membuat dia tidak aktif lagi secara manual, yaitu dengan menjalankan manajemen services di Windows. Jadi kita klik Start>Run> trus ketik services.msc. Cari services yang namanya "K Print Spooler", trus double click di servis tersebut. Trus di dialog box yang muncul, ubah Startup Type dari Automatic menjadi Disabled, trus klik OK. Kalo udah, kita restart komputer kita. Sekarang virus ini udah tidak aktif lagi. Sekarang hapus file inti virus itu yang ada di direktori System32 Windows dengan nama kspoold.exe dan avmeter32.
Ternyata seru juga ya?! Bagi yang mau nyoba, dipersilakan...
Jadi kemarin entah darimana, tiba-tiba aku lihat file-file Ms. Word di Flash diskQ berubah jadi .EXE semua. Aku sampe kaget gitu, n udah mikir yang macem2 juga, tapi akhirnya aku bisa sedikit bernafas lega karena yang terinfeksi sama virus ini cuma file MS. Word yang ekstensinya doc (Ms.Office 1997-2003) aja, sedangkan yang ekstensinya docx (Ms.Office 2007) ternyata ga terinfeksi. Untungnya file Ms.Word berekstensi doc yang ada di flashdiskQ cuma 4 file 'n ga terlalu penting, sedangkan puluhan file Ms.Word lainnya berekstensi docx.
Belakangan, aku tahu kalo ini virus bernama KSpooldA. Jadi waktu kita menjalankan file dokumen yang terinfeksi, maka ia akan mengekstrak beberapa bagian file. Dia mengeluarkan file induk untuk ditanamkan di direktori System 32 Windows. Trus dia mengaktifkan dirinya di memory dengan nama kspoold.exe, trus dia menjalankan dokumen yang tadi sudah di ekstrak itu.
Setelah virus aktif, dia akan mencari ke setiap drive komputer kita. Kalo dia menemukan ada drive Flash Disk, maka dia akan mencari pada drive tersebut trus menginfeksi setiap dokumen .doc dan .xls yang dia temukan.
Virus ini juga menciptakan sebuah file yaitu avmeter32.dll. File ini madalah file pendukung virus yang di-inject ke dalam proses explorer.exe untuk memonitor proses virus di dalam memory. Jadinya setiap kali kita mencoba buat mematikan proses virus ini di Task Manager, dia akan tetap aktif lagi, walaupun kita coba menghentikan proses, trus menghapus filenya, soalnya dia juga sudah menyimpan backup file induknya di dalam direktori user Temp, dengan nama "Uninstall Log.dat".
Eh, tapi virus ini juga membuat beberapa file log di dalam direktori temp Windows. Dalam direktori Windows\Temp\ akan ada file KSPOOLD.TXT. Selain itu di sana juga terdapat file UninstallC.TMP. Trus ada lagi file log-nya di direktori \Documents and Settings\PearLy_Zone\Local Settings\Temp\AEGIS.TXT. Dengan membaca file log ini, kita bisa tahu apa aja yang dikerjakan oleh virus ini. Seru, kan?
Kalo antivirus yang kita punya belum cukup ampuh buat mengatasi virus ini, kemarin aku baca beberapa sumber, katanya sih kita bisa saja membunuh virus ini di memory dan membuat dia tidak aktif lagi secara manual, yaitu dengan menjalankan manajemen services di Windows. Jadi kita klik Start>Run> trus ketik services.msc. Cari services yang namanya "K Print Spooler", trus double click di servis tersebut. Trus di dialog box yang muncul, ubah Startup Type dari Automatic menjadi Disabled, trus klik OK. Kalo udah, kita restart komputer kita. Sekarang virus ini udah tidak aktif lagi. Sekarang hapus file inti virus itu yang ada di direktori System32 Windows dengan nama kspoold.exe dan avmeter32.
Ternyata seru juga ya?! Bagi yang mau nyoba, dipersilakan...
4 komentar:
nice post.. makasi..
Tunggu serangan...........viruskuw yg berikutnya.....wkwkwkwkwk.....
@Arlingga
iya, sama"...=)
@Fidzan
Tunggu ilmu" pembasmi virusQ yg berikutnya, he3x...
klo services yang namanya "K Print Spooler" gak ada adanya "Print Spooler" gimana..
mohon pencerahannya...
send ke email aku aja ya..
prisca_oktaviani_samosir@yahoo.com
Post a Comment