Virus : w32.coolface@d1w13
Ukuran : 90,6 kb

CIRI – CIRI YANG TERKENA VIRUS

Jika anda sudah terkena virus ini:

1. File exe yang ada di komputer berubah ekstensinya menjadi .scr dan icon-nya jadi icon file yang berekstensi .jpg, loh kok bisa?? Yaiyalah, virus gitu loh .. hahahahaha!!!!
2. ctrl+alt+del atau taskkill diblok
3. msconfig diblok jugak
4. registry atau regedit sudah tentu diblok
5. Tiap drive akan ditemukan file mr.coolface.scr dengan icon file .jpg atau file gambar.
6. Demikian pula file gambar yang berekstensi .jpg,.bmp dan lainnya akan menjadi file .scr tapi dengan icon gambar atau .jpg
7. dan ketika anda menjalankan RUN, maksudnya klik start terus klik RUN, akan muncul tulisan di kotak run tersebut yaitu MR.COOLFACE

FILE PEMICU VIRUS

Nah ini nih…banyak banget file pemicu virus nya yaitu:

1. File dgn nama mr.coolface.scr di tiap2 drive, beratribut hidden
2. File Autorun.inf di tiap2 drive, beratribut hidden dengan isi:

[autorun]
open=MR.COOLFACE
action= MR.COOLFACE
shell\open\command= MR.COOLFACE.PIF
shell\open= MR.COOLFACE.EXE

Waw sebaiknya anda harus berhati – hati jika menemukan file autorun.inf seperti ini, karena jika nyangkut di flashdisk anda akan bahadur, ahaya maksudnya….apalagi dengan adanya file pemicu di flashdisk anda.

3. tskmgr.exe yang ada di C:\Program files\Common Files
4. kartu.exe yang ada di C:\Program files\Common Files
5. kalkulator.exe yang ada di C:\Program files\Common Files
6. sol.exe yang ada di C:\Program files\Common Files
7. spider.exe yang ada di C:\Program files\Common Files
8. hearts.exe yang ada di C:\Program files\Common Files
9. freecell.exe yang ada di C:\Program files\Common Files
10. Mr_Coolface.pif ada di tiap –tiap drive
11. winlogon di C:\Documents and Settings\NamaUser\Start Menu\Program\Startup
12. pantai.exe C:\Documents and Settings\AllUser\Local Settings
13. nitip jangan dihapus C:\Documents and Settings\AllUser\Documents
14. Samudra Pasai.exe C:\Windows
15. beberapa file .exe di C:\Windows\System32
16. YANG PALING PENTING Explorer.exe di drive C: anda atau di drive di mana windows terinstall

Semua berukuran 90.6 Kb terkadang ada pembengkakan dari ukurannya, ada yang 200 kb atau 100 kb.

MANIPULASI REGISTRI

Registry yang telah dimanipulasi oleh virus ini:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon\Userinit\ C:\WINDOWS\system32\userinit.exe, C:\Explorer.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

PENANGGULANGAN

1. Seperti biasa donlot pengontrol virus di link di bawah ini, yaitu
SINTAX MANIA (Buatan anak –anak sintax_mania)


Sintax mania Tools (develop by jan kristanto)

Kemudian masukkan flashdisk

2. Jangan lupa cepet cepet buka program namanya jan_mod.exe karena keburu virus tersebut menggantinya dengan file virus sehingga takutnya ntar kita malah menjalankan virus.

3. Kemudian cari proses yang bernama MR_Coolface.exe atau Explorer.exe tapi dengan catatan iconya icon jpg, berwarna putih tengahnya ada orange-nya. Lalu kill prosesnya.

4. Lalu jalankan regedit_jan.exe soalnya kalau kita menjalankan regedit.exe secara langsung, hal tersebut akan memicu virus untuk aktif lagi.

5. kemudian pergi ke alamat registry di bawah ini:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Nah disitu ntar ada banyak direktori berwarna kuning, klik folder tersebut, kemudian cari value di direktori tersebut yang ada tulisan:

C:\Explorer.exe

Atau

C:\Program Files\Common Files\xxxx.exe

Di mana xxxx.exe adalah file pemicu virus yang telah diberi tahu di penjelasan sebelumnya. Kemudian HAPUS Direktori tersebut.

6. Cari :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\ C:\WINDOWS\system32\userinit.exe, C:\Explorer.exe

Hapus tulisan C:\Explorer.exe tersebut

7. kemudian jalankan WAV.exe untuk menghajar registry atau memunculkan file system yang tersembunyi.
8. PERHATIKAN BAGIAN YANG PENTING ANDA HARUS MENEMUKAN FILE Explorer.exe DI DRIVE C:, karena file tersebut adalah pemicu virus, jika sampai sini kemudian anda tidak menemukan file tersebut lalu merestart ulang, maka virus akan muncul lagi. Anda bisa menggunakan bantuan NERO, yaitu program untuk membakar atau burning CD, dari situ anda bisa melihat file yang tersembunyi di C:\
9. Kemudian temukan dan hapus file yang ada di list berikut:

a. File dgn nama mr.coolface.scr di tiap2 drive, beratribut hidden
b. File Autorun.inf di tiap2 drive, beratribut hidden dengan isi:

c. [autorun]
d. open=MR.COOLFACE
e. action= MR.COOLFACE
f. shell\open\command= MR.COOLFACE.PIF
g. shell\open= MR.COOLFACE.EXE

h. Waw sebaiknya anda harus berhati – hati jika menemukan file autorun.inf seperti ini, karena jika nyangkut di flashdisk anda akan bahadur, ahaya maksudnya….apalagi dengan adanya file pemicu di flashdisk anda.

i. tskmgr.exe yang ada di C:\Program files\Common Files
j. kartu.exe yang ada di C:\Program files\Common Files
k. kalkulator.exe yang ada di C:\Program files\Common Files
l. sol.exe yang ada di C:\Program files\Common Files
m. spider.exe yang ada di C:\Program files\Common Files
n. hearts.exe yang ada di C:\Program files\Common Files
o. freecell.exe yang ada di C:\Program files\Common Files
p. Mr_Coolface.pif ada di tiap –tiap drive
q. winlogon di C:\Documents and Settings\NamaUser\Start Menu\Program\Startup
r. pantai.exe C:\Documents and Settings\AllUser\Local Settings
s. nitip jangan dihapus C:\Documents and Settings\AllUser\Documents
t. Samudra Pasai.exe C:\Windows
u. beberapa file .exe di C:\Windows\System32
v. YANG PALING PENTING Explorer.exe di drive C: anda atau di drive di mana windows terinstall

10. Cari file berukuran 90.6 kb yang berekstensi .scr dan .exe, kemudian hapus semuanya

Semoga dapat membantu memecahkan masalah coolface ….