hmm... virus again.. meski bukan pengguna microsoft windows, sering juga pelanggan yang datang bawa "oleh-oleh" berupa virus di flashdisknya. entah untuk ngrental, ngeprint atau cuma ngambil data di internet. ga ngefek juga meski virus apapun yang klien bawa, coz memakai linux. cuma ya kasihan juga melihat mereka datang, flashdisknya terinfeksi virus, sedang di rumahnya (kalau punya) ndak ada anti virusnya atau minimal ada, tapi up date nya lawas (^_^)
virus scvhosts.exe, naah.. entah tu termasuk virus lawas ataupun terbaru, aku ndak tau juga. karena aku ndak begitu mendalami yang namanya perkembangan virus. cuma minimal bisa ngasih saran seandainya ada yang nanya tentang virus itu (lucu kallao cuma jawabnya ma klien yang nanya, "tuh gimana penanggulangannya?" "ga tau ya" waah... apa kata dunia he he he)
biasanya, virus scvhost.exe itu dikenal dengan beberapa nama. seperti dibawah :
% System% \ blastclnnn.exe |
%System%\scvhosts.exe % System% \ scvhosts.exe |
%Temp%\00050c1d_rar\scvhosts.exe % Temp% \ 00050c1d_rar \ scvhosts.exe |
%Temp%\000544c1_rar\scvhosts.exe % Temp% \ 000544c1_rar \ scvhosts.exe |
%Temp%\0005451f_rar\hinhem.scr % Temp% \ 0005451f_rar \ hinhem.scr |
%Temp%\0005452e_rar\scvhosts.exe % Temp% \ 0005452e_rar \ scvhosts.exe |
%Temp%\000545ab_rar\blastclnnn.exe % Temp% \ 000545ab_rar \ blastclnnn.exe |
%Temp%\0005553c_rar\scvhosts.exe % Temp% \ 0005553c_rar \ scvhosts.exe |
%Temp%\0005554b_rar\scvhosts.exe % Temp% \ 0005554b_rar \ scvhosts.exe |
%Temp%\00055655_rar\scvhosts.exe % Temp% \ 00055655_rar \ scvhosts.exe |
%Temp%\00055693_rar\scvhosts.exe % Temp% \ 00055693_rar \ scvhosts.exe |
%Temp%\00058dc0_rar\scvhosts.exe % Temp% \ 00058dc0_rar \ scvhosts.exe |
%Temp%\00058dff_rar\scvhosts.exe % Temp% \ 00058dff_rar \ scvhosts.exe |
%Temp%\00058e2e_rar\hinhem.scr % Temp% \ 00058e2e_rar \ hinhem.scr |
%Temp%\00058e4d_rar\scvhosts.exe % Temp% \ 00058e4d_rar \ scvhosts.exe |
%Temp%\00058e7c_rar\blastclnnn.exe % Temp% \ 00058e7c_rar \ blastclnnn.exe |
%Temp%\00058eba_rar\scvhosts.exe % Temp% \ 00058eba_rar \ scvhosts.exe |
%Temp%\00058ee9_rar\scvhosts.exe % Temp% \ 00058ee9_rar \ scvhosts.exe |
%Temp%\00058f57_rar\blastclnnn.exe % Temp% \ 00058f57_rar \ blastclnnn.exe |
%Temp%\00058f57_rar\hinhem.scr % Temp% \ 00058f57_rar \ hinhem.scr |
%Temp%\00058f76_rar\scvhosts.exe % Temp% \ 00058f76_rar \ scvhosts.exe |
%Temp%\00058fa5_rar\hinhem.scr % Temp% \ 00058fa5_rar \ hinhem.scr |
%Temp%\00058ff3_rar\hinhem.scr % Temp% \ 00058ff3_rar \ hinhem.scr |
%Temp%\00059051_rar\scvhosts.exe % Temp% \ 00059051_rar \ scvhosts.exe |
%Temp%\00059060_rar\blastclnnn.exe % Temp% \ 00059060_rar \ blastclnnn.exe |
%Temp%\00059060_rar\scvhosts.exe % Temp% \ 00059060_rar \ scvhosts.exe |
%Temp%\0005a5dc_rar\scvhosts.exe % Temp% \ 0005a5dc_rar \ scvhosts.exe |
%Temp%\0005d299_rar\scvhosts.exe % Temp% \ 0005d299_rar \ scvhosts.exe |
%Temp%\0005d374_rar\blastclnnn.exe % Temp% \ 0005d374_rar \ blastclnnn.exe |
%Temp%\0005d393_rar\hinhem.scr % Temp% \ 0005d393_rar \ hinhem.scr |
%Temp%\0005d3b3_rar\scvhosts.exe % Temp% \ 0005d3b3_rar \ scvhosts.exe |
%Temp%\traffic-bot.exe % Temp% \ lalu lintas-bot.exe |
%Windir%\hinhem.scr % Windir% \ hinhem.scr |
%Windir%\scvhosts.exe % Windir% \ scvhosts.exe |
aplikasi ini terdapat secara default terdapat pada :
C: \ Documents and Settings \ [User] \ Local Settings \ Temp \........ pada Windows NT/2000/XP.
C:\Windows\System32 pada Windows XP.
% System% adalah variabel yang merujuk pada System folder.
Secara default, ini adalah C: \ Windows atau C: \ WinNT.
% Windir% adalah variabel yang merujuk ke folder instalasi Windows.
scvhost.exe itu sendiri sebenarnya bukan virus, hanya saja terkadang si pembuat virus menyamarkan virusnya lewat program-program pada windows dan salah satunya ini.
terus seadainya scvhost.exe tu sendiri virus, apa-apa saja kemungkinan virus yang terbawa ya?
kalau ndak salah, ada beberapa virus yang menyamarkan diri sebagai program default windows ini, diantaranya adalah :
Worm.AutoIt.S [PC Tools] | |
Trojan Horse [Symantec] Trojan Horse [Symantec] | |
WORM_YAHLOVER.AL [Trend Micro] WORM_YAHLOVER.AL [Trend Micro] | |
W32.SillyFDC [Symantec] W32.SillyFDC [Symantec] | |
Virus.Win32.AutoIt.a [Kaspersky Lab] Virus.Win32.AutoIt.a [Kaspersky Lab] | |
Virus.Win32.AutoRun.jq [Ikarus] Virus.Win32.AutoRun.jq [Ikarus] | |
W32/Sohana-AH [Sophos] W32/Sohana-AH [Sophos] | |
W32/YahLover.worm [McAfee] W32/YahLover.worm [McAfee] | |
TrojanDownloader:Win32/Agent.B [Microsoft] TrojanDownloader: Win32/Agent.B [Microsoft] | |
Worm.IM.Sohanad [PC Tools] Worm.IM.Sohanad [PC Tools] | |
Virus.Win32.AutoRun.mq [Kaspersky Lab] Virus.Win32.AutoRun.mq [Kaspersky Lab] | |
Trojan-Downloader.Win32.AutoIt.x [Kaspersky Lab] Trojan-Downloader.Win32.AutoIt.x [Kaspersky Lab] | |
Virus:Win32/Sality.AM [Microsoft] Virus: Win32/Sality.AM [Microsoft] | |
W32/Sality-AM [Sophos] W32/Sality-AM [Sophos] | |
PE_SALITY.EN-1 [Trend Micro] PE_SALITY.EN-1 [Trend Micro] | |
W32/Sality.ag [McAfee] W32/Sality.ag [McAfee] | |
W32/YahLover.worm.a [McAfee] W32/YahLover.worm.a [McAfee] | |
W32/Sohana-AM [Sophos] W32/Sohana-AM [Sophos] | |
Trojan.Win32.Autoit.bb [Kaspersky Lab] Trojan.Win32.Autoit.bb [Kaspersky Lab] | |
W32/YahLover.worm.gen [McAfee] W32/YahLover.worm.gen [McAfee] | |
WORM_YAHLOVER.BF [Trend Micro] WORM_YAHLOVER.BF [Trend Micro] | |
Worm:Win32/Nuqel.J [Microsoft] Worm: Win32/Nuqel.J [Microsoft] | |
WORM_YAHLOVER.AK [Trend Micro] WORM_YAHLOVER.AK [Trend Micro] | |
Backdoor.Win32.IRCBot [Ikarus] Backdoor.Win32.IRCBot [Ikarus] | |
Backdoor:Win32/Gaertob.A [Microsoft] Backdoor: Win32/Gaertob.A [Microsoft] | |
Virus.Win32.Agent.SWR [Ikarus] Virus.Win32.Agent.SWR [Ikarus] | |
W32.IRCBot.Gen [Symantec] W32.IRCBot.Gen [Symantec] | |
W32/Generic.b.worm [McAfee] W32/Generic.b.worm [McAfee] | |
Email-Worm.Win32.Runouce.b [Kaspersky Lab] Email-Worm.Win32.Runouce.b [Kaspersky Lab] | |
PE_Chir.B [Trend Micro] PE_Chir.B [Trend Micro] | |
PE_PARITE.A [Trend Micro] PE_PARITE.A [Trend Micro] | |
PE_SALITY.JER [Trend Micro] PE_SALITY.JER [Trend Micro] | |
TROJ_Generic.A [Trend Micro] TROJ_Generic.A [Trend Micro] | |
Virus.Win32.Parite.b [Kaspersky Lab] Virus.Win32.Parite.b [Kaspersky Lab] | |
Virus.Win32.Sality.aa [Kaspersky Lab] Virus.Win32.Sality.aa [Kaspersky Lab] | |
Virus:Win32/Chir.B@mm [Microsoft] Virus: Win32/Chir.B @ mm [Microsoft] | |
W32/Chir.b@MM [McAfee] W32/Chir.b @ MM [McAfee] | |
W32/Chir-B [Sophos] W32/Chir-B [Sophos] | |
W32/Pate.b [McAfee] W32/Pate.b [McAfee] | |
Win32/ChiHack.6652 [AhnLab] Win32/ChiHack.6652 [AhnLab] | |
Win32/IRCBot.worm.Gen [AhnLab] Win32/IRCBot.worm.Gen [AhnLab] | |
WORM_VB.FAS [Trend Micro] WORM_VB.FAS [Trend Micro] | |
Backdoor.IRCBot!sd6 [PC Tools] Backdoor.IRCBot! SD6 [PC Tools] | |
Worm.Win32.AutoRun.fbr [Kaspersky Lab] Worm.Win32.AutoRun.fbr [Kaspersky Lab] | |
Gen.Trojan [Ikarus] Gen.Trojan [Ikarus] | |
IM-Worm.Win32.Sohanad.ao [Kaspersky Lab] IM-Worm.Win32.Sohanad.ao [Kaspersky Lab] | |
PE_VIRUT.JN [Trend Micro] PE_VIRUT.JN [Trend Micro] | |
Virus.Win32.Virut.as [Kaspersky Lab] Virus.Win32.Virut.as [Kaspersky Lab] | |
Virus:Win32/Parite.B [Microsoft] Virus: Win32/Parite.B [Microsoft] | |
Virus:Win32/Virut.AB [Microsoft] Virus: Win32/Virut.AB [Microsoft] | |
W32/Parite-B [Sophos] W32/Parite-B [Sophos] | |
W32/Virut.gen.a [McAfee] W32/Virut.gen.a [McAfee] | |
W32/Virut-X [Sophos] W32/Virut-X [Sophos] | |
Win32/YahLover.worm.226217 [AhnLab] Win32/YahLover.worm.226217 [AhnLab] | |
WORM_AUTORUN.EU [Trend Micro] WORM_AUTORUN.EU [Trend Micro] | |
WORM_AUTORUN.RW [Trend Micro] WORM_AUTORUN.RW [Trend Micro] | |
WORM_SOHANAD.EO [Trend Micro] WORM_SOHANAD.EO [Trend Micro] | |
WORM_YAHLOVER.AJ [Trend Micro] WORM_YAHLOVER.AJ [Trend Micro] | |
Backdoor.Win32.VB.hxq [Kaspersky Lab] Backdoor.Win32.VB.hxq [Kaspersky Lab] | |
Generic BackDoor [McAfee] Generic BackDoor [McAfee] | |
Generic MultiDropper.a [McAfee] Generic MultiDropper.a [McAfee] | |
Generic PWS.y [McAfee] Generic PWS.y [McAfee] | |
Mal/Generic-A [Sophos] Mal / Generic-A [Sophos] | |
PE_CORELINK.C-1 [Trend Micro] PE_CORELINK.C-1 [Trend Micro] | |
Trojan.Generic [Ikarus] Trojan.Generic [Ikarus] | |
Trojan:Win32/Ircbrute [Microsoft] Trojan: Win32/Ircbrute [Microsoft] | |
Trojan-Dropper.Win32.VB.kxo [Kaspersky Lab] Trojan-Dropper.Win32.VB.kxo [Kaspersky Lab] | |
Virus.Win32.Alman.b [Kaspersky Lab] Virus.Win32.Alman.b [Kaspersky Lab] | |
Virus:Win32/Almanahe.B [Microsoft] Virus: Win32/Almanahe.B [Microsoft] | |
Virus:Win32/Virut.AP [Microsoft] Virus: Win32/Virut.AP [Microsoft] | |
W32/Almanahe.c [McAfee] W32/Almanahe.c [McAfee] | |
W32/Alman-C [Sophos] W32/Alman-C [Sophos] | |
Win-Trojan/Xema.variant [AhnLab] Win-Trojan/Xema.variant [AhnLab] | |
Worm.Win32.AutoRun.abed [Kaspersky Lab] Worm.Win32.AutoRun.abed [Kaspersky Lab] |
lumayan banyak juga ya (^_^) terus buat antivirusnya, coba dengan antivirus produk indonesia sendiri. beberapa antivirus yang dapat mengenali virus ini, diantaranya McAfee atau NOD32.
namun jika anda ingin mencoba menghilangkan secara manual, langkah-langkahnya sebagai berikut :
- Restart ulang komputer dan masuk ke Safe Mode Command Prompt. dengan cara menekan tombol F8 pada keyboard, sebuah menu akan ditampilkan dan pilih pilihan.
- Setelah itu masuk pd command prompt dan loginlah sebagai administrator, jika komputer anda terdapat pada jaringan. namun jika tidak, loginlah seperti biasa (tanpa memasukkan password)
- Ketik CD C: \ WINDOWS \ system32 (diasumsikan bahwa Sistem file Windows Anda terletak di Drive C)
- Ketik DIR / AH, ini akan menampilkan semua file tersembunyi dari folder ini. Anda akan melihat file berikut ini yang digunakan oleh virus untuk menyebarkan dirinya: AUTORUN.INI, BLASTCLNNN.EXE, dan SCVHOST.EXE
- Ketik ATTRIB-H-R-S SCVHOST.EXE
- Ketik ATTRIB-H-R-S BLASTCLNNN.EXE
- Type ATTRIB -H -R -S AUTORUN.INI
- Jenis DEL SCVHOST.EXE
- Jenis DEL BLASTCLNNNN.EXE
- Jenis DEL AUTORUN.INI
- Ketik CD \
- Ketik ATTRIB-H-R-S AUTORUN.INF
- Jenis DEL AUTORUN.INF
Setelah menghapus virus / worm file, ia harus dihapus dari sistem registry Anda.
- Dari command prompt REGEDIT.EXE jenis ini akan menjalankan Registry Editor
- Dari registri, cari tombol: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, Anda akan melihat entri Yahoo!Messengger (seperti ini) dengan nilai c: \ windows \ system32 \ scvhost.exe, kemudian Hapus entri ini.
- Lihatlah lagi untuk tombol: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, ada entri bernama: SHELL, memiliki nilai = Explorer.exe SCVHOST.EXE, jangan menghapus entri ini! Hanya mengedit entri ini dan menghapus SCVHOST.EXE sehingga Explorer.exe akan menjadi satu-satunya nilai yang akan tetap dari entri registri.
- Restart ulang lagi komputer anda.
ribet, kalo pcmedia terbaru, atau punya antivirusnya yang kira-kira bisa detect skaligus cge-clean ada ga mas? kirimin di emailku ya. trims
BalasHapuspakai antivir update terbaru saja di sini :
BalasHapushttp://www.free-av.com/en/products/1/avira_antivir_
personal__free_antivirus.html
semoga bisa membantu
pakai antivir update terbaru saja di sini :
BalasHapushttp://www.free-av.com/en/products/1/avira_antivir_
personal__free_antivirus.html
semoga bisa membantu
mas, saya lebih suka hapus manual gitu, sekalian buat belajar dan lebih kenal sama pc sendiri, masalahnya exe command promtnya udah di infeksi, saya kurang yakin yang infeksi apa? soalnya kena win32/virut.gen juga (kalau gak salah tulisannya gitu), ada hubungannya gak virus itu sama scvhost.exe? tanpa cmd ada cara manual lain gak?
BalasHapussaya sudah menangani jenis ini hampir 1 tahun, dari yang mudah ampe bikin putus asa. tapi amasih heran, klien yang pakai Windows original n registered tidak terpengaruh oleh virus jenis ini, mungkin firewallnya sangat kuat.
BalasHapus