Basmi Virus Alice.alc (.vbe)


Saya coba dech ngeshare pengalaman menangani virus alice.alc (varian VB script gitu lah).
Tadi waktu ngecek komputer OP kok tiba-tiba saja

  1. task manager gak bisa running,
  2. regedit gak bisa kebuka,
  3. folder option tidak ada,
  4. antivirus gak running, (pake McAfee)
  5. saat diulang booting kok jalannya berat gitu,
  6. saat antivirus dijalankan, trus diupdate online ada yang error,

Pertama-tama saya berpikir itu sengaja disetting sama OP supaya gak ada yang gangguin komputer server tersebut, namun setelah saya tanya ternyata tidak. Saya langsung saja menduga itu kerjaa virus.
Namun masalahnya gimana cara ngembaliin regedit sama task managernya?dibuka aja gak mau. Padahal untuk membuka task manager kembali kita perlu menjalankan regedit.
sebenarnya banyak alternatif untuk men-enable-kan kembali aplikasi-aplikasi bawaan windows tersebut, bisa dengan kode dalam notepad yang disave jadi .inf atau dari run kemudian diketik kode untuk mengakses registry dari regedit dan task manager. Namun pada tulisan kali ini saya tunjukkan yang mudahnya, tinggal klik, centang-centak, lalu restar explorer, finish dan semua kembali normal. ini caranya:

  1. Saya menggunakan ansav (antivirus buatan anak negeri ini), walaupun sudah lama gak muncul dipermukaan lagi, saya cukup menikmati menggunakannya, karena ada tool-tool yang sudah sangat familiar dengan saya yaitu plugin registry fix. berikut penampakannya:
  2. dari gambar dapat dilihat tool-toolnya
  3.  Download aplikasinya di sini
  4. jalankan file ansav.exe
  5. klik plugin-registryfix-check All-restart explorer
  6. lansung dech jalan semua aplikasi yang mau di-enable tersebut
  7. setelah beres, virus belum berarti berhenti berjalan
  8. matikan virus pada task manager dengan menduga-duga apakah itu virus atau gak, kemudian end process
  9. jalankan antivirus (Mc Afee) yang tadinya didisablekan, kemudian lakukan scan untuk semua partisi ini link downloadnya
  10. dan berikut ini penampakan hasil scannya
  11. dapat dilihat virus induknya alice.alc menginfeksi semua drive dan file-file word yang berekstensi .doc diduplikat dengan file dengan ekstensi .vbe seperti terlihat pada gambar di atas
  12. ok, setelah semua virus diberantas oleh antivirus, maka tinggal restart komputer dan nantikan kembali komputer anda dengan tampang yang berseri-seri.

Coba-coba cari referensi tentang virus alice.alc ini dulu lah:

Adapun dari hasil analisa saya, virus ini terdiri dari beberapa file sebagai berikut:
– file berekstensi .vbe dengan kapasitas 8 KB (gambar di bawah ini sekilas mirip dengan file berekstensi .doc), bila diperhatikan denga teliti, dengan klik kanan pilih Properties, telihat size on disk berukuran 8 KB, padahal ukuran sebenarnya dari file berekstensi .doc tersebut lebih dari 10 KB.

alice.alc
autorun.inf
alice.sys : terdapat di C:\WINDOWS\System32\Drivers\

Media penyebaran virus melalui: USB Flashdisk, Harddisk drive
Cara kerja virus:
Dengan membuka file berekstensi .vbe dengan kapasitas 8 KB (yang mana file berekstensi .vbe ini merupakan replikasi dari file berekstensi .doc dengan nama yang sama, yang sudah disembunyikan oleh virus), mulailah eksekusi penyebaran virus dengan membuat file alice.alc & autorun.inf pada USB flashdisk.

Isi file autorun.inf

Pada setiap drive di harddisk (misal drive C:\) terdapat file alice.alc, autorun.inf, file .vbe akibat virus itu telah tersebar, serta di C:\WINDOWS\System32\Drivers terdapat file alice.sys. Setiap kali membuka salah satu drive di harddisk, autorun.inf akan bekerja dan mengeksekusi jalannya virus. Tanda-tanda autorun.inf itu bekerja yaitu saat double-click maka akan muncul sebuah windows explorer.

sumber fide1ity.wordpress.com

ternyata cara tersebut diatas hanya mampu mengembalikan aplikasi-aplikasi yang di disable saja. Berikut cara memberantas alice.alc sampai punah:

1. Matikan proses wscript.exe menggunakan aplikasi Process Explorer, dengan klik kanan wscript.exe, Kill Process

2. Hapus registry key yang dibuat oleh virus, antara lain:

– HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

* NoFileAssociate, value: 1

* NoFind, value: 1

* NoFolderOptions, value: 1

* NoRun, value: 1

– HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System

* DisableRegistryTools, value: 1

* DisableTaskMgr, value: 1

– HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System

* DisableCMD, value: 1

– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

* DisableSR, value: 1

– HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\

* NeverShowExt

3. Edit registry key yang sudah dirubah oleh virus, antara lain:

– HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\

* [Default], value: VBScript Encoded Script File

* FriendlyTypeName, value: @%SystemRoot%\System32\wshext.dll,-4803

– HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\Defaul tIcon

* [Default], value: %SystemRoot%\System32\WScript.exe,2

– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

* RegisteredOwner, value: [ganti dengan nama anda atau nama apa saja]

– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

* Userinit, value: C:\WINDOWS\system32\userinit.exe,

4. Tambahkan registry key berikut ini:

– HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\ Install

* [Default], value: &Install

– HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\ Install\command

* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

5. Hapus seluruh file yang sudah terinfeksi virus, antara lain:

– seluruh file berekstensi .vbe dengan kapasitas 8 KB

– alice.alc yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)

– autorun.inf yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)

– alice.sys : terdapat di C:\WINDOWS\System32\Drivers\

Catatan: Saat mencari dan menghapus file-file di atas, JANGAN SEKALI-KALI double-click salah satu drive karena virus bisa beraksi kembali dan menjadi sia-sialah upaya pembersihan sebelumnya. Atau jika ingin membuka windows explorer cukup tekan tombol Windows dan E pada keyboard satu kali saja untuk berpindah-pindah antar drive atau folder. Gunakan juga aplikasi pengganti menu Find seperti Hidden File Tool, dengan ketik filter yang diinginkan (seperti: *.vbe), lalu tekan tombol search.

6. Sebelum melakukan langkah no 5; pastikan bahwa pengaturan di Control Panel – Folder Options adalah sbb : Show hidden files and folders –> dicentang, Hide protected operating system files –> tidak dicentang. Supaya alice.alc dan alice.sys-nya bisa ditemukan dan dihapus.

7. Pastikan langkah-langkah di atas telah selesai dilakukan, lalu restart computer

8. Saat ini sistem Windows telah kembali seperti semula, sudah bisa menjalankan Task Manager, Command Prompt, Registry Editor, Folder Options, menu Run, menu Search / Find, System Restore. Mengubah atribut file bertipe dokumen (.doc) yang awalnya disembunyikan karena efek dari virus menjadi dapat terlihat seluruhnya.

Caranya: buka jendela command prompt dengan klik Start, Run, ketikkan cmd lalu OK. Kemudian pada command prompt, ketikkan: attrib –s –h c:\*.doc /s lalu tekan Enter, jika pada driver yang lain selain C juga ada file dokumen, lakukanlah hal yang sama dengan mengganti c: menjadi d: atau e: dst. Seteleh selesai ketikkan: exit, maka jendela command prompt akan tutup.

Bila anda kurang memahami cara mengubah atribut file menggunakan command prompt, anda bisa melihat posting-an saya sebelumnya mengenai “ubah atribut file melalui command prompt”.

Command prompt

Sekian pembahasan mengenai virus Alice ini.

* Alice yang saya maksudkan di sini adalah nama virus, bukan nama tokoh dalam sebuah cerita fiksi “Alice in The Wonderland”; judul yang saya berikan adalah plesetan dari judul cerita fiksi tersebut.

sumber http://fide1ity.wordpress.com

Advertisements

4 comments on “Basmi Virus Alice.alc (.vbe)

  1. gan nanya, kalo udah di scan semua, apakah file wscript.exe ga perlu dihapus? saya gagal terus gan ketika ngapusnya 😦

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s