Berikut merupakan senarai fail yang dicipta oleh malware ni, dan nilai-nilai dalam registry yang harus diubah.
Proses yang harus ditutup:
c2.exe
logon.scr
scvhost.exe
svchost.exe (user)
*JANGAN TERSALAH TUTUP PROSES! Proses svchost.exe yang dimaksudkan di sini berada di bawah user name anda. Jangan tutup proses svchost.exe yang berada di bawah user name SYSTEM, NETWORK SERVICE, atau LOCAL SERVICE.
Fail yang harus dibuang:
[drive letter]:\autorun.inf
[drive letter]:\C2.exe
[system]:\msdtcvvtr.bat
[system]:\scvhost.exe
[system]:\ssms.exe
[system]:\config\svchost.exe
[system]:\dllcache\Winter.html
[system]:\drivers\7879553211.inf
[system]:\drivers\svchost.exe
[system]:\spool\logon.scr
[system]:\User\lsass.exe
[system]:\wbem\fonts.txt
[DesktopCommonDir]\Dirogol abg ipar.html
[StartMenuCommonDir]\Programs\Bende Lawak.txt
[MyDocumentsDir]\Dirogol abg ipar.html
* [system] di dalam Windows XP merujuk kepada C:\Windows\system32
* [DesktopCommonDir] di dalam Windows XP merujuk kepada:
C:\Documents and Settings\All Users\Desktop
* [StartMenuCommonDir] di dalam Windows XP merujuk kepada:
C:\Documents and Settings\All Users\Start Menu
* [MyDocumentsDir] di dalam Windows XP merujuk kepada folder My Documents
Ubah nilai Registry
Bagi membuang / mengubah apa – apa nilai dalam registry, gunakan Registry Editor dengan menaip “regedit” dalam Run.
Nilai registry yang harus dibuang:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowSuperHidden
Value: String: “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\Screensaver
Value: String: “C:\WINDOWS\system32\spool\Logon.scr”
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\
MUICache\C:\WINDOWS\system32\attrib.exe
Value: String: “Attribute Utility”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Services
Value: String: “C:\WINDOWS\system32\drivers\svchost.exe”
Nilai registry yang harus diubah:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\
Windows\load
Tukar “scvhost.exe” kepada “” (biarkan kosong)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\ SystemRestore\DisableSR
Tukar “1″ kepada “0″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
Tukar “0″ kepada “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
Tukar “0″ kepada “2″
mohd dian bin nais berkata
Terima kasih..
dan kepada pencipta malware ini..
Celakalah kepada kamu.. !
paih berkata
guno nod32 pn bleh….
x pyh ssh2..hehehe
(bagi sapo2 hk malas nk guno caro di ats)
pencipta virus ini berkata
Babi ko ajar org buang virus kite. Babi btl kan kite dah cakap jgn bgtau sampai 2010? ko mmg babi lah…
pencipta virus berkata
camna nak buang file2 tu?dah dia sumer cam hidden je..ajar sket..
serigala berkata
easy virus to be handled..sikit jer lebih dari virus dak2 UDM..tp still easy..