Satu lagi virus yang akhir-akhir ini lagi rame dan banyak memangsa komputer-komputer , namanya pun lucu, diberi nama oleh yang membuatnya dengan nama Bulu Bebek. Lucu juga sih namanya, tapi tak selucu dengan apa yang diakibatkan oleh virus ini.
Dikantorku saja, semua komputer telah terinfeksi oleh virus yang satu ini, termasuk Laptopku sendiri baru aza dua hari terinfeksi oleh virus ini. Ceritanya gini, waktu itu aku lagi update antivirusku lewat koneksi internet, kebetulan aku pakai antivirus McAffe. Nah pas lagi mengupdate, eh key nya ke blacklist oleh McAfee Center. Hehehe namanya juga key bajakan, makanya aku waktu itu rencana mau ganti antivirus yang free misalnya AVG.
Blum sempat menginstall antivirus yang baru, eh tau-taunya ada temen yang masukin Flashdisk ke laptopku, tanpa sepengetahuanku, abis gitu flashdisknya dah terkontaminasi oleh Bulu bebek sialan itu. Abis dech… folder-folderku kehidden semua pren. Wah gua bingung so stress dibuatnya, abis aku mau kerja folder-folder kerjaanku hilang, parahnya lagi Folder Option juga hilang dibuatnya, kacau dech. Mana kerjaan numpuk lagi.
Untuk aku pernah dengar kalo salah satu ciri Virus Bulu bebek itu seperti tadi. Tapi aku nggak mau kalah sama si pembuat virus itu, aku search aza di Google artikel tentang Virus ini, ketemu dech.
Pada kesempatan ini juga saya mau berbagi kepada pren yang mungkin komputernya terinfeksi virus ini. Tulisan ini juga sebagian saya ambil dari salah satu blogger yang memuat artikel Cara membasmi Bulu Bebek, dan saya berterima kasih sekali kepadanya, karena telah memberikan pencerahan, panduan dan tips tentang bagaimana cara membasmi Virus sialan in
Salah satu ciri virus ini adalah berukuran 53 kb, walau isi folder atau file kalian jumlahnya beberapa Giga tetap aza dibuatnya jadi 53 kb.
Virus Donal Bebek dibuat menggunakan bahasa pemrograman Visual Basic dan terdeteksi sebagai VbWorm.QXE. Salah satu ciri khas virus ini adalah mengandung kata “Bulu Bebek”. Bulu Bebek menyembunyikan folder/subfolder pada flash disk dan membut file duplikat sesuai dengan nama folder/subfolder tersebut untuk mengelabui user. Untuk membersihkannya, simak langkah berikut ini:
1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke Local Are Network/LAN).
2. Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP).
3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools pengganti taks manager seperti process explorer, kemudian matikan proses virus yang mempunyai icon “Folder”. Klik kanan process yang ingin dimatikan, dan klik kill process tree . Proccess Explorer dapat di download DISINI
4. Repair registry Windows yang sudah diubah oleh virus. Untuk mempercepat proses tersebut bisa digunakan plugin dari ANSAV. ANSAV BETA bisa didownload disini, setelah diekstrak buka program ansav.exe lalu klik menu plugin. buka plugin yang bernama FXregistry dan aktifkan seluruh option box yang ada untuk mengembalikan fungsi windows yang dikacaukan oleh virus. lalu klik OK.
Atau setelah registry (run - regedit) bisa diakses, pastikan string registry dibawah ini telah terhapus:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
- CheckedValue=2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- CheckedValue= 0
- DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- CheckedValue= 2
- DefaultValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue= 1
- DefaultValue = 1
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 0
- DefaultValue = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
· AutoRun = exit
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
· AutoRun = exit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
· debugger = TAI BEBEK
5. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan.
Jika Folder Option belum muncul, sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersembunyi. Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri:
* Menggunakan icon Folder
* Ukuran file 53 KB
* Ekstensi EXE
* Type File “Application”
Ulangi pencarian untuk ekstensi *.inf (ukuran 1 kb) dan *.ini (ukuran 53 kb), dan pastikan file induk terhapus. Lokasinya adalah sbb:
· C:\Windows\Script.exe
· C:\Windows\LSASS.exe
· C:\Documents and Settings\%user%\autorun.inf
· C:\Documents and Settings\%user%\bulubebek.ini
· C:\bulubebek.ini
· c:\autorun.inf
6. Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan, Anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB.
Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB:
* Klik “Start”
* Klik “Run”
* Ketik “CMD”, kemudian tekan tombol “Enter”
* Pindahkan posisi kursor ke drive Flash Disk (misal FD berada di drive F: ketikkan cd f: dan tekan ENTER)
* Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”
lakukan hal yang sama untuk drive-drive lainnya.
Pengembalian attribut file dapat juga dengan menggunakan salah satu plugin ANSAV yaitu Hidden Revealer.
7. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.
SELAMAT BERJUANG!!!
(sebagian gambar dan langkah dalam tutorial ini bersumber dari rhakateza.wordpress.com)
