Pernah mendapat chat dari seorang teman facebook yg isinya:
A : hi
B : [reply something]
A : wanna laugh? )))
B : [reply something]
A : It is you on the video ?)) want to see ?)
B : [reply something again]
A : http://95.111.107.215/1403547182 [link to fake youtube]
DON’T CLICK IT! Jangan klik link tersebut! Link tersebut akan membawa Anda ke sebuah halaman YouTube palsu. Anda akan diminta untuk meng-upgrade Flash Player Anda. Ketika Anda klik, akan terdownload sebuah file executable “Flash Player.exe”, dan jika Anda menjalankannya siap-siap saja teman Facebook Anda akan menerima chat semacam itu.
How to remove the virus – Cara menghapus virus
Download Process Explorer
Sebelum memulai menghapus virus, sebaiknya download Process Explorer terlebih dahulu di sini. Process Explorer adalah alternatif Task Manager yang telah diblok oleh virus. Walaupun mudah untuk membuka blok Task Manager, fitur yang ditawarkan Process Explorer lebih baik ketimbang Task Manager biasa.
Tuntaskan File Virus
- Buka Process Explorer yang sudah di download tadi. Jalankan sebagai administrator. (Run as administrator)
- Pada Process Explorer, klik “View | Select colomns…“. Pada tab Process Image, centang Command Line.
- Sekarang Kill Process:
%Windows%\l1rezerv.exe
%Windows%\sysdriver32.exe
%Windows%\systemup.exe
%Windows%\update.tray-2-0\svchost.exe
dimana%Windows%adalah direktori Windows berada. (Secara default di C:\Windows\) - Remove file-file berikut
%Windows%\l1rezerv.exe
%Windows%\sysdriver32.exe
%Windows%\sysdriver32_.exe
%Windows%\systemup.exe - Remove file-file yang memiliki nama mirip seperti berikut di %Windows%\Temp: 13308175-loader2.exe, 68397_myunrar2.exe, bcdedit32.exe, 1094237.exe, 1120250.exe, 824919108.exe, etc.
- Remove folder yang memiliki nama depan update* di %Windows%\, misal
update.1
update2
update.3
update.5.0
update.7.1
update.tray-2-0
update.tray-2-0-ing
update.tray-8-0
update.tray-8-0-ink
Hapus Registry Virus
Buka Registry Editor (Start > Ketik regedit > [Enter]).
- Buka key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Remove item yang berkaitan dengan file-file yang dihapus tadi. Misal sysdriver32.exe dan systemup.exe - Hapus key berikut HKLM\SOFTWARE\sysdriver32.exe dan HKLM\SYSTEM\CurrentControlSet\Services\srvsysdriver32.
Atur Kembali File HOSTS
Ketika Anda mencoba membuka facebook, Anda tidak dapat terhubung ke server facebook. Hal ini disebabkan file HOSTS telah dimodifikasi oleh virus sehingga ketika memasukkan http://www.facebook.com akan dialihkan ke 127.0.0.1.
- Buka notepad dan jalankan sebagai administrator. (Run as administrator)
- Buka file “%Windows%\System32\drivers\etc\hosts“
- Secara default isi file host adalah
# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost
- Hapus bagian yang tidak diperlukan. Virus menambahkan banyak baris kosong pada file hosts dan menambahkan juga baris berikut.
127.0.0.1 facebook.com 127.0.0.1 www.facebook.com 127.0.0.1 af-za.facebook.com 127.0.0.1 az-az.facebook.com 127.0.0.1 id-id.facebook.com 127.0.0.1 ms-my.facebook.com 127.0.0.1 bs-ba.facebook.com 127.0.0.1 ca-es.facebook.com 127.0.0.1 cs-cz.facebook.com 127.0.0.1 cy-gb.facebook.com 127.0.0.1 da-dk.facebook.com 127.0.0.1 de-de.facebook.com 127.0.0.1 et-ee.facebook.com 127.0.0.1 en-gb.facebook.com 127.0.0.1 es-la.facebook.com 127.0.0.1 eo-eo.facebook.com 127.0.0.1 eu-es.facebook.com 127.0.0.1 tl-ph.facebook.com 127.0.0.1 fo-fo.facebook.com 127.0.0.1 fr-fr.facebook.com 127.0.0.1 fy-nl.facebook.com 127.0.0.1 ga-ie.facebook.com 127.0.0.1 gl-es.facebook.com 127.0.0.1 ko-kr.facebook.com 127.0.0.1 hr-hr.facebook.com 127.0.0.1 is-is.facebook.com 127.0.0.1 it-it.facebook.com 127.0.0.1 ka-ge.facebook.com 127.0.0.1 sw-ke.facebook.com 127.0.0.1 ku-tr.facebook.com 127.0.0.1 lv-lv.facebook.com 127.0.0.1 fb-lt.facebook.com 127.0.0.1 lt-lt.facebook.com 127.0.0.1 la-va.facebook.com 127.0.0.1 hu-hu.facebook.com 127.0.0.1 nl-nl.facebook.com 127.0.0.1 ja-jp.facebook.com 127.0.0.1 nb-no.facebook.com 127.0.0.1 nn-no.facebook.com 127.0.0.1 pl-pl.facebook.com 127.0.0.1 pt-br.facebook.com 127.0.0.1 ro-ro.facebook.com 127.0.0.1 ru-ru.facebook.com 127.0.0.1 sq-al.facebook.com 127.0.0.1 sk-sk.facebook.com 127.0.0.1 sl-si.facebook.com 127.0.0.1 fi-fi.facebook.com 127.0.0.1 sv-se.facebook.com 127.0.0.1 th-th.facebook.com 127.0.0.1 vi-vn.facebook.com 127.0.0.1 tr-tr.facebook.com 127.0.0.1 zh-tw.facebook.com 127.0.0.1 el-gr.facebook.com 127.0.0.1 be-by.facebook.com 127.0.0.1 bg-bg.facebook.com 127.0.0.1 mk-mk.facebook.com 127.0.0.1 sr-rs.facebook.com 127.0.0.1 uk-ua.facebook.com 127.0.0.1 hy-am.facebook.com 127.0.0.1 he-il.facebook.com 127.0.0.1 ar-ar.facebook.com 127.0.0.1 ps-af.facebook.com 127.0.0.1 fa-ir.facebook.com 127.0.0.1 ne-np.facebook.com 127.0.0.1 hi-in.facebook.com 127.0.0.1 bn-in.facebook.com 127.0.0.1 pa-in.facebook.com 127.0.0.1 ta-in.facebook.com 127.0.0.1 te-in.facebook.com 127.0.0.1 ml-in.facebook.com 127.0.0.1 es-es.facebook.com 127.0.0.1 fr-ca.facebook.com 127.0.0.1 pt-pt.facebook.com 127.0.0.1 zh-cn.facebook.com 127.0.0.1 zh-hk.facebook.com
Selesai
Pembersihan virus telah selesai. Sekarang Anda dapat membuka Facebook lagi. Perlu diwaspadai setiap link yang diberikan, siapa tahu menjerumuskan kepada virus. Ganti segera password Facebook dan update anti virus Anda.
Edward Samuel's Blog 