Mengatasi Virus TR/Crypt.ZPACK.Gen

Mungkin anda merupakan salah satu pengguna software bajakan. Software bajakan memanglah murah dan bahkan gratis. Namun jangan tergiur dengan isitilah ”murah bahkan gratis”, dibalik itu semua pasti timbal balik yang kurang enak didengar yaitu Software Telah diCRACK artinya software tersebut memang diberikan secara gratis, namun dengan imbalan harus melakukan instalasi dengan menginjeksikan virus (hayo kebayang nggak...). Intinya software bajakan memang banyak beresiko. Salah satu yang penulis alami adalah mendapati virus koda troya yang terus menerus menyerang sistem berikut ini. Penulis mencoba untuk mengantisipasi kedatangan virus ini, bahkan hingga sekarang virus ini tetap menyerang (Yah, inilah resiko menggunakan software bajakan maka harus senantiasa waspada...). Indikasi virus ini terdeteksi pada antivirus AVIRA dengan nama TR/Crypt.ZPACK.Gen [trojan]. Virus ini menciptakan file :

1. File Igfx****.exe di c:\windows\system32
2. File Autorun.inf pada flashdisk untuk mengakses pada RecycleBin\rc829310.exe

Virus ini dikategorikan ringan tapi mengganggu. Dia memiliki ciri khas :

1. Menonaktifkan show file hidden
2. Memperlambat akses internet karena memberikan akses pengecualian pada Firewal windows
3. Sifat-sifat umum virus kuda TROYA

Register yang diserang dan dihilangkan adalah :

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

Sedangkan register dimodif adalah :

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\String “C:\WINDOWS\system32\igfx****.exe” berisi igfx****.exe
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IntelUpdateServer :

          - Command = C:\WINDOWS\system32\igfx****.exe
          - hkey = HKLM
          - inimapping = 0
          - item = igfx****.exe
          - key = SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
          IntelUpdateServer = C:\WINDOWS\system32\igfx****.exe
      4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
          \AppCompatFlags\Layers
          C:\WINDOWS\system32\igfx****.exe = DisableNXShowUI
      5. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
          \FirewallPolicy\DomainProfile\AuthorizedApplications\List
          C:\WINDOWS\system32\igfx****.exe = C:\WINDOWS\system3\igfx****.exe:*:Enabled:LANMG
      6. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
          \FirewallPolicy\StandardProfile\AuthorizedApplications\List
          C:\WINDOWS\system32\igfx****.exe = C:\WINDOWS\system3\igfx****.exe:*:Enabled:LANMG
      7. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters
          \FirewallPolicy\DomainProfile\AuthorizedApplications\List
          C:\WINDOWS\system32\igfx****.exe = C:\WINDOWS\system3\igfx****.exe:*:Enabled:LANMG
      8. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters
          \FirewallPolicy\StandardProfile\AuthorizedApplications\List
          C:\WINDOWS\system32\igfx****.exe = C:\WINDOWS\system32     
          \igfx****.exe:*:Enabled:LANMG
      9. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache
          C:\WINDOWS\system32\ igfx****.exe = igfx****

Cara mengatasinya adalah  :

1. Lakukan Reboot system
2. Reboot dengan media bootable yang bersih
3. Hapuslah file igfx****.exe (biasanya disembunyikan = superhidden)
4. Lalu Reboot kembali dan masuk kedalam system
5. Lakukan perubahan register pada register2 termodif diatas
6. Lakukan pembersihan register dengan Antivirus ini

Selamat bereksperimen....Semoga bermanfaat