1. Disable [System Restore] selama proses pembersihan. Masuk menu Start>>Control Panel>>System>>System Restore>>Pilih turn off
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager, seperti Process Explorer, kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe
Silahkan download tools tersebut di url berikut:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008, dengan cara:
- Klik menu [Start]
- Klik menu [Run]
- Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
- Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
- Pada menu Software Restriction Policies, klik Additional Rules
- Klik kanan pada Additional Rules, kemudian pilih New Hash Rule..., kemudian akan muncul layar New Hash Rule
- Pada kolom File hash klik tombol Browse kemudian arahkan ke direktori [C:-Windows-system32-apache.exe]
- Kemudian klik tombol [Open]
- Pada kolom Security level pilih [Disallowed]
- Pada kolom description boleh di isi atau dikosongkan saja
- Klik tombol [Apply]
- Klik tombol [Ok]
Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara
- Klik kanan file repair.inf
- Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software-CLASSES-batfile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-comfile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-exefile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-piffile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-regfile-shell-open-command,,,"regedit.exe "%1""
HKLM, Software-CLASSES-scrfile-shell-open-command,,,"""%1"" %*"
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software-Microsoft-Windows-CurrentVersion-Policies-Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Run, apache
HKLM, Software-Microsoft-Windows-CurrentVersion-Run, mysql
5. Hapus file induk virus yang ada di direktori
- C:-Windows-system32-apache.exe
- C:-Windows-system32-mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut http://www.norman.com/support/support_tools/58732/en-us
Catatan:
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager, seperti Process Explorer, kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe
Silahkan download tools tersebut di url berikut:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008, dengan cara:
- Klik menu [Start]
- Klik menu [Run]
- Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
- Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
- Pada menu Software Restriction Policies, klik Additional Rules
- Klik kanan pada Additional Rules, kemudian pilih New Hash Rule..., kemudian akan muncul layar New Hash Rule
- Pada kolom File hash klik tombol Browse kemudian arahkan ke direktori [C:-Windows-system32-apache.exe]
- Kemudian klik tombol [Open]
- Pada kolom Security level pilih [Disallowed]
- Pada kolom description boleh di isi atau dikosongkan saja
- Klik tombol [Apply]
- Klik tombol [Ok]
Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara
- Klik kanan file repair.inf
- Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software-CLASSES-batfile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-comfile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-exefile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-piffile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-regfile-shell-open-command,,,"regedit.exe "%1""
HKLM, Software-CLASSES-scrfile-shell-open-command,,,"""%1"" %*"
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software-Microsoft-Windows-CurrentVersion-Policies-Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Run, apache
HKLM, Software-Microsoft-Windows-CurrentVersion-Run, mysql
5. Hapus file induk virus yang ada di direktori
- C:-Windows-system32-apache.exe
- C:-Windows-system32-mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut http://www.norman.com/support/support_tools/58732/en-us
Catatan:
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.