Halaman

scvhosts.exe

scvhosts.exe


hmm... virus again.. meski bukan pengguna microsoft windows, sering juga pelanggan yang datang bawa "oleh-oleh" berupa virus di flashdisknya. entah untuk ngrental, ngeprint atau cuma ngambil data di internet. ga ngefek juga meski virus apapun yang klien bawa, coz memakai linux. cuma ya kasihan juga melihat mereka datang, flashdisknya terinfeksi virus, sedang di rumahnya (kalau punya) ndak ada anti virusnya atau minimal ada, tapi up date nya lawas (^_^)


virus scvhosts.exe, naah.. entah tu termasuk virus lawas ataupun terbaru, aku ndak tau juga. karena aku ndak begitu mendalami yang namanya perkembangan virus. cuma minimal bisa ngasih saran seandainya ada yang nanya tentang virus itu (lucu kallao cuma jawabnya ma klien yang nanya, "tuh gimana penanggulangannya?" "ga tau ya" waah... apa kata dunia he he he)

biasanya, virus scvhost.exe itu dikenal dengan beberapa nama. seperti dibawah :

% System% \ blastclnnn.exe
%System%\scvhosts.exe % System% \ scvhosts.exe
%Temp%\00050c1d_rar\scvhosts.exe % Temp% \ 00050c1d_rar \ scvhosts.exe
%Temp%\000544c1_rar\scvhosts.exe % Temp% \ 000544c1_rar \ scvhosts.exe
%Temp%\0005451f_rar\hinhem.scr % Temp% \ 0005451f_rar \ hinhem.scr
%Temp%\0005452e_rar\scvhosts.exe % Temp% \ 0005452e_rar \ scvhosts.exe
%Temp%\000545ab_rar\blastclnnn.exe % Temp% \ 000545ab_rar \ blastclnnn.exe
%Temp%\0005553c_rar\scvhosts.exe % Temp% \ 0005553c_rar \ scvhosts.exe
%Temp%\0005554b_rar\scvhosts.exe % Temp% \ 0005554b_rar \ scvhosts.exe
%Temp%\00055655_rar\scvhosts.exe % Temp% \ 00055655_rar \ scvhosts.exe
%Temp%\00055693_rar\scvhosts.exe % Temp% \ 00055693_rar \ scvhosts.exe
%Temp%\00058dc0_rar\scvhosts.exe % Temp% \ 00058dc0_rar \ scvhosts.exe
%Temp%\00058dff_rar\scvhosts.exe % Temp% \ 00058dff_rar \ scvhosts.exe
%Temp%\00058e2e_rar\hinhem.scr % Temp% \ 00058e2e_rar \ hinhem.scr
%Temp%\00058e4d_rar\scvhosts.exe % Temp% \ 00058e4d_rar \ scvhosts.exe
%Temp%\00058e7c_rar\blastclnnn.exe % Temp% \ 00058e7c_rar \ blastclnnn.exe
%Temp%\00058eba_rar\scvhosts.exe % Temp% \ 00058eba_rar \ scvhosts.exe
%Temp%\00058ee9_rar\scvhosts.exe % Temp% \ 00058ee9_rar \ scvhosts.exe
%Temp%\00058f57_rar\blastclnnn.exe % Temp% \ 00058f57_rar \ blastclnnn.exe
%Temp%\00058f57_rar\hinhem.scr % Temp% \ 00058f57_rar \ hinhem.scr
%Temp%\00058f76_rar\scvhosts.exe % Temp% \ 00058f76_rar \ scvhosts.exe
%Temp%\00058fa5_rar\hinhem.scr % Temp% \ 00058fa5_rar \ hinhem.scr
%Temp%\00058ff3_rar\hinhem.scr % Temp% \ 00058ff3_rar \ hinhem.scr
%Temp%\00059051_rar\scvhosts.exe % Temp% \ 00059051_rar \ scvhosts.exe
%Temp%\00059060_rar\blastclnnn.exe % Temp% \ 00059060_rar \ blastclnnn.exe
%Temp%\00059060_rar\scvhosts.exe % Temp% \ 00059060_rar \ scvhosts.exe
%Temp%\0005a5dc_rar\scvhosts.exe % Temp% \ 0005a5dc_rar \ scvhosts.exe
%Temp%\0005d299_rar\scvhosts.exe % Temp% \ 0005d299_rar \ scvhosts.exe
%Temp%\0005d374_rar\blastclnnn.exe % Temp% \ 0005d374_rar \ blastclnnn.exe
%Temp%\0005d393_rar\hinhem.scr % Temp% \ 0005d393_rar \ hinhem.scr
%Temp%\0005d3b3_rar\scvhosts.exe % Temp% \ 0005d3b3_rar \ scvhosts.exe
%Temp%\traffic-bot.exe % Temp% \ lalu lintas-bot.exe
%Windir%\hinhem.scr % Windir% \ hinhem.scr
%Windir%\scvhosts.exe % Windir% \ scvhosts.exe

aplikasi ini terdapat secara default terdapat pada :

C: \ Documents and Settings \ [User] \ Local Settings \ Temp \........ pada Windows NT/2000/XP.

C:\Windows\System32 pada Windows XP.
% System% adalah variabel yang merujuk pada System folder.

Secara default, ini adalah C: \ Windows atau C: \ WinNT.
% Windir% adalah variabel yang merujuk ke folder instalasi Windows.

scvhost.exe itu sendiri sebenarnya bukan virus, hanya saja terkadang si pembuat virus menyamarkan virusnya lewat program-program pada windows dan salah satunya ini.

terus seadainya scvhost.exe tu sendiri virus, apa-apa saja kemungkinan virus yang terbawa ya?
kalau ndak salah, ada beberapa virus yang menyamarkan diri sebagai program default windows ini, diantaranya adalah :

Worm.AutoIt.S [PC Tools]
Trojan Horse [Symantec] Trojan Horse [Symantec]
WORM_YAHLOVER.AL [Trend Micro] WORM_YAHLOVER.AL [Trend Micro]
W32.SillyFDC [Symantec] W32.SillyFDC [Symantec]
Virus.Win32.AutoIt.a [Kaspersky Lab] Virus.Win32.AutoIt.a [Kaspersky Lab]
Virus.Win32.AutoRun.jq [Ikarus] Virus.Win32.AutoRun.jq [Ikarus]
W32/Sohana-AH [Sophos] W32/Sohana-AH [Sophos]
W32/YahLover.worm [McAfee] W32/YahLover.worm [McAfee]
TrojanDownloader:Win32/Agent.B [Microsoft] TrojanDownloader: Win32/Agent.B [Microsoft]
Worm.IM.Sohanad [PC Tools] Worm.IM.Sohanad [PC Tools]
Virus.Win32.AutoRun.mq [Kaspersky Lab] Virus.Win32.AutoRun.mq [Kaspersky Lab]
Trojan-Downloader.Win32.AutoIt.x [Kaspersky Lab] Trojan-Downloader.Win32.AutoIt.x [Kaspersky Lab]
Virus:Win32/Sality.AM [Microsoft] Virus: Win32/Sality.AM [Microsoft]
W32/Sality-AM [Sophos] W32/Sality-AM [Sophos]
PE_SALITY.EN-1 [Trend Micro] PE_SALITY.EN-1 [Trend Micro]
W32/Sality.ag [McAfee] W32/Sality.ag [McAfee]
W32/YahLover.worm.a [McAfee] W32/YahLover.worm.a [McAfee]
W32/Sohana-AM [Sophos] W32/Sohana-AM [Sophos]
Trojan.Win32.Autoit.bb [Kaspersky Lab] Trojan.Win32.Autoit.bb [Kaspersky Lab]
W32/YahLover.worm.gen [McAfee] W32/YahLover.worm.gen [McAfee]
WORM_YAHLOVER.BF [Trend Micro] WORM_YAHLOVER.BF [Trend Micro]
Worm:Win32/Nuqel.J [Microsoft] Worm: Win32/Nuqel.J [Microsoft]
WORM_YAHLOVER.AK [Trend Micro] WORM_YAHLOVER.AK [Trend Micro]
Backdoor.Win32.IRCBot [Ikarus] Backdoor.Win32.IRCBot [Ikarus]
Backdoor:Win32/Gaertob.A [Microsoft] Backdoor: Win32/Gaertob.A [Microsoft]
Virus.Win32.Agent.SWR [Ikarus] Virus.Win32.Agent.SWR [Ikarus]
W32.IRCBot.Gen [Symantec] W32.IRCBot.Gen [Symantec]
W32/Generic.b.worm [McAfee] W32/Generic.b.worm [McAfee]
Email-Worm.Win32.Runouce.b [Kaspersky Lab] Email-Worm.Win32.Runouce.b [Kaspersky Lab]
PE_Chir.B [Trend Micro] PE_Chir.B [Trend Micro]
PE_PARITE.A [Trend Micro] PE_PARITE.A [Trend Micro]
PE_SALITY.JER [Trend Micro] PE_SALITY.JER [Trend Micro]
TROJ_Generic.A [Trend Micro] TROJ_Generic.A [Trend Micro]
Virus.Win32.Parite.b [Kaspersky Lab] Virus.Win32.Parite.b [Kaspersky Lab]
Virus.Win32.Sality.aa [Kaspersky Lab] Virus.Win32.Sality.aa [Kaspersky Lab]
Virus:Win32/Chir.B@mm [Microsoft] Virus: Win32/Chir.B @ mm [Microsoft]
W32/Chir.b@MM [McAfee] W32/Chir.b @ MM [McAfee]
W32/Chir-B [Sophos] W32/Chir-B [Sophos]
W32/Pate.b [McAfee] W32/Pate.b [McAfee]
Win32/ChiHack.6652 [AhnLab] Win32/ChiHack.6652 [AhnLab]
Win32/IRCBot.worm.Gen [AhnLab] Win32/IRCBot.worm.Gen [AhnLab]
WORM_VB.FAS [Trend Micro] WORM_VB.FAS [Trend Micro]
Backdoor.IRCBot!sd6 [PC Tools] Backdoor.IRCBot! SD6 [PC Tools]
Worm.Win32.AutoRun.fbr [Kaspersky Lab] Worm.Win32.AutoRun.fbr [Kaspersky Lab]
Gen.Trojan [Ikarus] Gen.Trojan [Ikarus]
IM-Worm.Win32.Sohanad.ao [Kaspersky Lab] IM-Worm.Win32.Sohanad.ao [Kaspersky Lab]
PE_VIRUT.JN [Trend Micro] PE_VIRUT.JN [Trend Micro]
Virus.Win32.Virut.as [Kaspersky Lab] Virus.Win32.Virut.as [Kaspersky Lab]
Virus:Win32/Parite.B [Microsoft] Virus: Win32/Parite.B [Microsoft]
Virus:Win32/Virut.AB [Microsoft] Virus: Win32/Virut.AB [Microsoft]
W32/Parite-B [Sophos] W32/Parite-B [Sophos]
W32/Virut.gen.a [McAfee] W32/Virut.gen.a [McAfee]
W32/Virut-X [Sophos] W32/Virut-X [Sophos]
Win32/YahLover.worm.226217 [AhnLab] Win32/YahLover.worm.226217 [AhnLab]
WORM_AUTORUN.EU [Trend Micro] WORM_AUTORUN.EU [Trend Micro]
WORM_AUTORUN.RW [Trend Micro] WORM_AUTORUN.RW [Trend Micro]
WORM_SOHANAD.EO [Trend Micro] WORM_SOHANAD.EO [Trend Micro]
WORM_YAHLOVER.AJ [Trend Micro] WORM_YAHLOVER.AJ [Trend Micro]
Backdoor.Win32.VB.hxq [Kaspersky Lab] Backdoor.Win32.VB.hxq [Kaspersky Lab]
Generic BackDoor [McAfee] Generic BackDoor [McAfee]
Generic MultiDropper.a [McAfee] Generic MultiDropper.a [McAfee]
Generic PWS.y [McAfee] Generic PWS.y [McAfee]
Mal/Generic-A [Sophos] Mal / Generic-A [Sophos]
PE_CORELINK.C-1 [Trend Micro] PE_CORELINK.C-1 [Trend Micro]
Trojan.Generic [Ikarus] Trojan.Generic [Ikarus]
Trojan:Win32/Ircbrute [Microsoft] Trojan: Win32/Ircbrute [Microsoft]
Trojan-Dropper.Win32.VB.kxo [Kaspersky Lab] Trojan-Dropper.Win32.VB.kxo [Kaspersky Lab]
Virus.Win32.Alman.b [Kaspersky Lab] Virus.Win32.Alman.b [Kaspersky Lab]
Virus:Win32/Almanahe.B [Microsoft] Virus: Win32/Almanahe.B [Microsoft]
Virus:Win32/Virut.AP [Microsoft] Virus: Win32/Virut.AP [Microsoft]
W32/Almanahe.c [McAfee] W32/Almanahe.c [McAfee]
W32/Alman-C [Sophos] W32/Alman-C [Sophos]
Win-Trojan/Xema.variant [AhnLab] Win-Trojan/Xema.variant [AhnLab]
Worm.Win32.AutoRun.abed [Kaspersky Lab] Worm.Win32.AutoRun.abed [Kaspersky Lab]

lumayan banyak juga ya (^_^) terus buat antivirusnya, coba dengan antivirus produk indonesia sendiri. beberapa antivirus yang dapat mengenali virus ini, diantaranya McAfee atau NOD32.

namun jika anda ingin mencoba menghilangkan secara manual, langkah-langkahnya sebagai berikut :

  1. Restart ulang komputer dan masuk ke Safe Mode Command Prompt. dengan cara menekan tombol F8 pada keyboard, sebuah menu akan ditampilkan dan pilih pilihan.
  2. Setelah itu masuk pd command prompt dan loginlah sebagai administrator, jika komputer anda terdapat pada jaringan. namun jika tidak, loginlah seperti biasa (tanpa memasukkan password)
  3. Ketik CD C: \ WINDOWS \ system32 (diasumsikan bahwa Sistem file Windows Anda terletak di Drive C)
  4. Ketik DIR / AH, ini akan menampilkan semua file tersembunyi dari folder ini. Anda akan melihat file berikut ini yang digunakan oleh virus untuk menyebarkan dirinya: AUTORUN.INI, BLASTCLNNN.EXE, dan SCVHOST.EXE
  5. Ketik ATTRIB-H-R-S SCVHOST.EXE
  6. Ketik ATTRIB-H-R-S BLASTCLNNN.EXE
  7. Type ATTRIB -H -R -S AUTORUN.INI
  8. Jenis DEL SCVHOST.EXE
  9. Jenis DEL BLASTCLNNNN.EXE
  10. Jenis DEL AUTORUN.INI
  11. Ketik CD \
  12. Ketik ATTRIB-H-R-S AUTORUN.INF
  13. Jenis DEL AUTORUN.INF

Setelah menghapus virus / worm file, ia harus dihapus dari sistem registry Anda.

  • Dari command prompt REGEDIT.EXE jenis ini akan menjalankan Registry Editor
  • Dari registri, cari tombol: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, Anda akan melihat entri Yahoo!Messengger (seperti ini) dengan nilai c: \ windows \ system32 \ scvhost.exe, kemudian Hapus entri ini.
  • Lihatlah lagi untuk tombol: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, ada entri bernama: SHELL, memiliki nilai = Explorer.exe SCVHOST.EXE, jangan menghapus entri ini! Hanya mengedit entri ini dan menghapus SCVHOST.EXE sehingga Explorer.exe akan menjadi satu-satunya nilai yang akan tetap dari entri registri.
  • Restart ulang lagi komputer anda.

Baca selengkapnya