Berikut merupakan senarai fail yang dicipta oleh malware ni, dan nilai-nilai dalam registry yang harus diubah.
Proses yang harus ditutup
c2.exe
logon.scr
scvhost.exe
svchost.exe (user)
*JANGAN TERSALAH TUTUP PROSES! Proses svchost.exe yang dimaksudkan di sini berada di bawah user name anda. Jangan tutup proses svchost.exe yang berada di bawah user name SYSTEM, NETWORK SERVICE, atau LOCAL SERVICE.
Fail yang harus dibuang
[drive letter]:autorun.inf
[drive letter]:C2.exe
[system]:msdtcvvtr.bat
[system]:scvhost.exe
[system]:ssms.exe
[system]:configsvchost.exe
[system]:dllcacheWinter.html
[system]:drivers7879553211.inf
[system]:driverssvchost.exe
[system]:spoollogon.scr
[system]:Userlsass.exe
[system]:wbemfonts.txt
[DesktopCommonDir]Dirogol abg ipar.html
[StartMenuCommonDir]ProgramsBende Lawak.txt
[MyDocumentsDir]Dirogol abg ipar.html
* [system] di dalam Windows XP merujuk kepada C:Windowssystem32
* [DesktopCommonDir] di dalam Windows XP merujuk kepada: C:Documents and SettingsAll UsersDesktop
* [StartMenuCommonDir] di dalam Windows XP merujuk kepada: C:Documents and SettingsAll UsersStart Menu
* [MyDocumentsDir] di dalam Windows XP merujuk kepada folder My Documents
Ubah nilai Registry
Bagi membuang / mengubah apa – apa nilai dalam registry, gunakan Registry Editor dengan menaip “regedit” dalam Run.
Nilai registry yang harus dibuang:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden
Value: String: “0″
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunScreensaver
Value: String: “C:WINDOWSsystem32spoolLogon.scr”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICacheC:WINDOWSsystem32attrib.exe
Value: String: “Attribute Utility”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
Value: String: “C:WINDOWSsystem32driverssvchost.exe”
Nilai registry yang harus diubah:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload
Tukar “scvhost.exe” kepada “” (biarkan kosong)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion SystemRestoreDisableSR
Tukar “1″ kepada “0″
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENDefaultValue
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
Tukar “0″ kepada “1″
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLDefaultValue
Tukar “0″ kepada “2″
wei ko tau x.. aku dah buang dah.. tapi bile user lain contohnya administrator masuk dalam profile die.. virus tu ade balik..
Jgn minum susu masam.
susu_masam » ye ke.. lama tinggal virus neh. nanti aku tengok
SembangKomputer.Com » testing
weh…nape bila kat d;\\ aku ada ehh??
Try la nengok kat blog aku.. aku pakai2 software ja.. improvement dr kaedah2 org dr scvhost ngan brontok… http://beastmaster-guide.blogspot.com
update link.. http://www.smaelz83.co.cc/2008/06/how-to-remove-c2exe-infection-on-your.html
apakah antivirus yang paling terbaik sekali ketika ini?
@ina: saya cadangkan, gunakan Avira Antivir
komptr aq dah nak meninggal dunia nie,kesian dia kena virus.aq pilih avira pun ia masih sama.nak pengsan jg…
avira xleh guner..guner karpersky…lgi baek
sy nk tnye..cmne nk buang malware ‘hakaglan’ dh scan pkai avst tp dk jd blk je lps delete..
@5zul86X, cube try gune avira
@CloudLeon,
sblm pkai avast,sy dh pkai avira,tp avira lgsg x prnh ksn ade virus dlm pc sy…sentiasa ‘no virus detected’..:(