Simak 9 langkah untuk membersihkan virus paling ganas dan paling banyak mengganggu di awal tahun 2010 ini menurut analis virus dari Vaksincom, Adang Jauhar Taufik:

1. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet

2. Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.

3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus.

Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:

a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [File Management]
d. Klik menu [Windows Explorer]
e. Kemudian hapus file berikut:
-. C:\Windows\System32
-. Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
-. %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
-. secupdat.dat
-. C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi).
-. C:\Windows\System32\drivers
-. Kernelx86.sys
-. %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
-. Ndisvvan.sys
-. krndrv32.sys
-. C:\Documents and Settings\%user%\secupdat.dat
-. C:\Windows\INF
-. netsf.inf
-. netsf_m.inf

4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan “Avas! Registry Editor”, caranya:

a. Klik menu [Mini PE2XT]
b. Klik menu [Programs]
c. Klik menu [Registry Tools]
d. Klik [Avast! Registry Editor]
e. Jika muncul layar konfirmasi kelik tombol “Load…..”
f. Kemudain hapus registry:

ü  LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentverson\run\\ctfmon.exe
ü  LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kernelx86
ü  LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\kernelx86
ü  LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\passthru
ü  LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe
ü  LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§  Ubah value pada string Userinit menjadi = userinit.exe,
ü  LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon
§   Ubah value pada string Shell menjadi = Explorer.exe
ü  LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%
ü  LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\%xx%
ü  LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)
ü  LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)

Catatan: %xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]

5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, software\microsoft\ole, EnableDCOM,0, “Y”

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0×00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0×00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0×00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0×00010001,0

HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0×00010001,0

HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0×00010001,0

HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0×00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe

HKLM, SYSTEM\ControlSet001\Services\kernelx86

HKLM, SYSTEM\ControlSet002\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\mojbtjlt

HKLM, SYSTEM\ControlSet002\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\Passthru

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

6. Fix registry Windows untuk mengembalikan agar komputer dapat booting “safe mode with command prompt” dengan download file FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara:

o Klik menu [Start]
o Klik [Run]
o Ketik REGEDIT.EXE kemudian klik tombol [OK]
o Pada layar “Registry Editor”, klik menu [File | Import]
o Tentukan file .REG yang baru anda buat
o Klik tombol [Open]

7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di sini.

8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut.

Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.

9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.

Langkahnya untuk downgrade

1. Sebelum dihapus backup dulu squid.conf yang mungkin sudah jadi sebelumnya biar tinggal dirubah-rubah sedikit nantinya

2.  Hapus Squid 3 bawaan Fedora 11

# yum remove squid

atau

# rpm -e squid

2.  Download source code squid-2.7.STABLE7 letakkan di /usr/local/src

3.  Ekstrak tuh paket

# tar -zxvf squid-2.7.STABLE7.tar.gz

4.  Install

# cd squid-2.7.STABLE7

# ./configure –prefix=/etc/squid/

# make

# make install

perhatikan pada --prefix=/etc/squid/ ini menunjukkan letak installan squid nantinya, ini terserah mo diletakkan dimana (kalo mo ngikutin diatas ya silahkan )

5.  Konfigurasi squid

silahkan copas dech konfigurasi squid dibawah ini.. terus modifikasi lagi menjadi lebih optimal.. tapi kasih kabar ya kalo dah nemu squid yang optimal

# ACCESS CONTROLS
# —————————————————————————–
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl SSL_ports port 5050        # YM
acl SSL_ports port 5101        # YM
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 5050    # YM
acl Safe_ports port 5101    # YM
acl CONNECT method CONNECT

# ACCESS CONTROLS MIME
# —————————————————————————–
acl x-type req_mime_type -i ^application/x-mplayer2$
acl x-type req_mime_type -i application/x-mplayer2
acl x-type req_mime_type -i ^application/x-oleobject$
acl x-type req_mime_type -i application/x-oleobject
acl x-type req_mime_type -i application/x-pncmd
acl x-type req_mime_type -i ^video/x-ms-asf$

acl x-type req_mime_type -i ^application/x-shockwave-flash$
acl x-type req_mime_type -i application/x-shockwave-flash

acl x-type req_mime_type -i video/flv
acl x-type req_mime_type -i video/swf
acl x-type req_mime_type -i application/x-msn-messenger
acl x-type req_mime_type -i ^application/x-msn-messenger$

acl x-type2 rep_mime_type -i ^application/x-mplayer2$
acl x-type2 rep_mime_type -i application/x-mplayer2
acl x-type2 rep_mime_type -i ^application/x-oleobject$
acl x-type2 rep_mime_type -i application/x-oleobject
acl x-type2 rep_mime_type -i application/x-pncmd
acl x-type2 rep_mime_type -i ^video/x-ms-asf$

acl x-type2 rep_mime_type -i ^application/x-shockwave-flash$
acl x-type2 rep_mime_type -i application/x-shockwave-flash

# Mime blocking
# Blocking reqested mine types
acl mimeblockq req_mime_type ^app/x-hotbar-xip20$
acl mimeblockq req_mime_type ^application/x-icq$
acl mimeblockq req_mime_type ^application/x-comet-log$

# Blocking sent mime types
acl mimeblockp rep_mime_type ^app/x-hotbar-xip20$
acl mimeblockp rep_mime_type ^application/x-icq$
acl mimeblockp rep_mime_type ^application/x-comet-log$
acl mimeblockp rep_mime_type ^application/x-chaincast$

# ACCESS CONTROLS VIRUS
# —————————————————————————–

acl IpAddressOnly url_regex ^http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
acl IpAddressOnly url_regex ^http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$

acl VIRUS urlpath_regex winnt/system32/cmd.exe?
acl YAHOOATTACK urlpath_regex akamai.*yahoo.*config/login
acl IKLAN url_regex -i “/etc/squid/ads.txt”
acl noIKLAN url_regex -i “/etc/squid/noads.txt”

# HTTP_ACCESS CONTROLS
# —————————————————————————–

http_access allow manager localhost
http_access deny manager

# Deny requests to unknown ports
http_access deny !Safe_ports
http_reply_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access deny CONNECT !SSL_ports

# Adapt localnet in the ACL section to list your (internal) IP networks
#http_access allow localnet

# DENY LIST
http_access deny IpAddressOnly
http_access deny VIRUS
http_access deny x-type
http_reply_access deny x-type
http_access deny x-type2
http_reply_access deny x-type2
http_access deny mimeblockq
http_reply_access deny mimeblockq
http_access deny mimeblockp
http_reply_access deny mimeblockp
http_access deny IKLAN !noIKLAN
http_reply_access deny IKLAN !noIKLAN

# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

#Allow ICP queries from local networks only
icp_access deny all

# NETWORK OPTIONS
# —————————————————————————–
http_port 3128

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# —————————————————————————–

hierarchy_stoplist cgi-bin ? .js .jsp
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# DISK CACHE OPTIONS
# —————————————————————————–
cache_mem 64 MB
cache_swap_low 80
cache_swap_high 90
maximum_object_size 16 MB             ## Old = 128 MB
maximum_object_size_in_memory 16 KB
ipcache_size 8192
ipcache_low 90
ipcache_high 91

# LOGFILE OPTIONS
# —————————————————————————–

logformat squid  %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A
cache_dir ufs /etc/squid/var/cache 100 16 256
cache_access_log /etc/squid/var/logs/access.log
cache_store_log none
cache_log /etc/squid/var/logs/cache.log
mime_table /etc/squid/etc/mime.conf
emulate_httpd_log on
log_fqdn off
log_icp_queries off
buffered_logs on
memory_pools off

# OPTIONS FOR TUNING THE CACHE
# —————————————————————————–

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern (cgi-bin|\?)    0    0%    0
refresh_pattern .        0    20%    4320

# ADMINISTRATIVE PARAMETERS
# —————————————————————————–

visible_hostname paidjo

# DNS OPTIONS
# —————————————————————————–

fqdncache_size 1024
dns_nameservers 202.155.0.10 202.155.0.15

# MISCELLANEOUS
# —————————————————————————–

store_objects_per_bucket 10
store_dir_select_algorithm round-robin
client_db on
reload_into_ims on
pipeline_prefetch on
ie_refresh on
vary_ignore_expire on
#debug_options aLL,1 33,2 28,9

# ZPH TOS #
zph_mode tos
zph_local 0×30
zph_parent 0
tcp_outgoing_tos 0×30 localhost

6.  Buat cache disknya

# /etc/squid/sbin/squid -z

7.  Kemudian jalankan squidnya

# /etc/squid/sbin/squid -D

agar bisa berjalan waktu startup silahkan tambahkan di rc.local

# echo “/etc/squid/sbin/squid -D” >> /etc/rc.d/rc.local

OK dah cukup kayaknya.. kalo ada pertanyaan silahkan kirim email or comment dibawah dech..

yang jelas dengan squid 2.7 Yahoo Messenger bisa running

Kemudian pastikan browsernya menyorot pada “C:\Program Files\Yahoo!” klik Patch tinggal klik “Yes” sampai selesai

OK semoga berhasil. lumayan kl koneksi menggunakan GRPS matrix or IM3 or Mentari (kok Indosat smua ya) hehehee.. Semoga ada pihak Indosat yang tau nih tulisan, sapa tau dapat komisi