W32/Xorer.AM          2 Juni 2010

Mengubah Safe Mode menjadi Blue Screen

 

Serangan virus mancanegara kembali datang, dan kali ini berasal dari varian keluarga W32/Xorer. Setelah lama tidak terdengar, virus mancanegara ini kembali menyerang pengguna komputer di Indonesia dan salah satu yang terdeteksi adalah W32/Xorer.AM.

 

Virus ini memiliki kemampuan seperti halnya seorang penyusup yang masuk ke dalam komputer yang kemudian beraksi dan mengacaukan system komputer. Untuk dapat melakukan tersebut, pembuat virus menggunakan teknik "social engineering" untuk mengelabui korbannya dalam rangka menyebarkan dirinya. Pembuat virus berusaha mengelabui korban dengan memberikan sebuah link program/software pada website tertentu atau memberikan sebuah informasi seperti cheat/kode, dengan kesan korban tidak melakukan sesuatu hal yang salah.

 

Keluarga W32/Xorer

W32/Xorer.AM merupakan salah satu virus dari varian keluarga W32/Xorer. Virus yang diduga berasal dari negeri Tirai Bambu ini muncul pertama kali pada akhir tahun 2007. Hingga kini sudah puluhan varian virus W32/Xorer yang bermunculan dan memiliki kemampuan yang berbeda-beda.

 

Gejala & Efek Virus

Beberapa gejala dan efek yang terjadi jika anda terinfeksi virus ini yaitu sebagai berikut :

 

ü  CPU Usage 100%

Bagi para pengguna komputer, salah satu hal yang tidak diinginkan terjadi adalah jika komputer anda terasa sangat lambat. W32/Xorer.AM menjadikan komputer anda terasa sangat lambat dengan menggunakan resource CPU hingga 100%, sehingga akan sangat sulit bagi anda untuk beraktivitas menggunakan komputer. (lihat gambar 1)

Gambar 1. CPU Usage 100%

 

ü  Cek Koneksi Internet

Seperti halnya kebanyakan virus mancanegara, W32/Xorer.AM juga mencoba melakukan koneksi internet ke beberapa website yang dituju. Untuk itu, virus mengecek terlebih dahulu koneksi internet dengan melakukan ping pada website www.baidu.com dengan menggunakan perintah berikut :

 

ping.exe –f –n 1 www.baidu.com

 

Gunakan Windows Task Manager untuk melihat aksi virus melakukan ping atau cek koneksi internet. (lihat gambar 2)

Gambar 2. Virus melakukan proses ping

 

Anda dapat pula menggunakan program seperti “Wireshark” untuk melihat aksi yang dilakukan oleh virus. (lihat gambar 3)

Gambar 3. Virus mengecek koneksi internet

 

ü  Koneksi Remote Server

Jika koneksi internet sudah terhubung (setelah memastikan koneksi internet melalui proses ping ke www.baidu.com), W32/Xorer.AM akan mencoba melakukan koneksi ke remote server dengan tujuan mendowload file virus lain.

 

Beberapa IP remote server yang dituju antara lain :

o   222.73.218.96

o   220.181.6.175

o   210.14.65.53

o   205.209.142.21

o   202.169.45.219

o   199.7.51.190

o   199.7.48.190

o   125.252.235.191

o   118.214.114.70

o   61.172.246.180

 

ü  Disable Safe-Mode

Salah satu efek yang membedakan W32/Xorer.AM dengan beberapa varian W32/Xorer yang lain adalah dengan mematikan fungsi Safe-Mode Windows. Dengan cara ini, W32/Xorer.AM akan sulit dilakukan pembersihan secara manual. Jika tetap mencoba menggunakan Safe Mode, baik lewat Command Prompt maupun Networking maka akan muncul jendela Blue Screen dan secara otomatis akan kembali Restart. (lihat gambar 4)

Gambar 4. Blue Screen akan muncul jika menggunakan Safe Mode

 

ü  Membuka Web tertentu

Jika komputer yang terinfeksi W32/Xorer.AM sedang terkoneksi internet, terkadang jendela Internet Explorer/Mozilla akan terbuka secara tiba-tiba dan meng-akses web/situs tertentu. Web/situs yang akan terbuka yaitu antara lain : (lihat gambar 5)

-          http://img2.51wan.com

-          http://camp.jooov.cn

-          http://kz.zqgame.com

Gambar 5. Jendela Internet Explorer yang muncul dan membuka web tertentu

 

Web/situs tersebut menampilkan animasi software/games yang menawarkan cheat/kode/patch. Selain itu, pada setiap web/situs yang dibuka, virus akan menambahkan beberapa URL script pada source, yaitu :

-          http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70 ( jika di translate menjadi) http://js.k0102.com  )

 

ü  Mematikan proses Program/Software

Untuk mempertahankan diri proses pembersihan antivirus dan mencegah aksi pengguna komputer mematikan proses virus yang berjalan, maka W32/Xorer.AM melakukan proteksi dengan menutup/mematikan proses program/software yang berjalan yang menggunakan string sebagai berikut :

o   360anti

o   360safe

o   afx:

o   AfxControlBar42s

o   antivir

o   avast

o   avg

o   bitdefender

o   cabinetwclass

o   dr.web

o   eset

o   ewido

o   facelesswndproc

o   firewall

o   guard

o   HOOK

o   ieframe

o   KeServiceDescriptorTable

o   kissvc

o   mcafee

o   mcagent

o   metapad

o   monitor

o   mozillauiwondowclass

o   NetApi000

o   NtQuerySystemInformation

o   scan

o   tapplication

o   thunderrt6formdc

o   thunderrt6main

o   ThunderRT6Timer

o   watch

 

Jika tetap mencoba menggunakan program/software yang memiliki string tersebut diatas, program/software tersebut tidak berjalan secara normal atau hang (not responding).

 

ü  Modifikasi key Folder Options

Secara umum, W32/Xorer.AM tidak akan melakukan blok terhadap bebrapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi W32/Xorer.AM menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu : (lihat gambar 6)

-          Hide protected operating system files (recommended)

Gambar 6. Fitur Folder Options yang lengkap

 

Dengan menghapus key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya. (lihat gambar 7)

Gambar 7. Salah satu fitur pada folder options yang dihilangkan

 

File Virus

W32/Xorer.AM dibuat dengan menggunakan script bahasa C yang di kompress menggunakan UPX unpacker. Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file utama sebagai berikut : (lihat gambar 8)

-          C:\AUTORUN.inf (1 kb)

-          C:\pagefile.pif (92 kb)

-          C:\Documents and Settings\All Users\Start Menu\Programs\Startup\~.exe.[angka_acak].exe (92 kb)

-          C:\WINDOWS\system32\[angka_acak].log (92 kb)

-          C:\WINDOWS\system32\dnsq.dll (32 kb)

-          C:\WINDOWS\system32\Com\lsass.exe (92 kb)

-          C:\WINDOWS\system32\Com\smss.exe (40 kb)

-          C:\WINDOWS\system32\Com\netfcg.000 (16 kb)

-          C:\WINDOWS\system32\Com\netcfg.dll (16 kb)

Gambar 8. File virus W32/Xorer.AM

 

Selain itu jika komputer memiliki partisi drive lain atau memiliki mapping drive, maka virus akan membuat 2 file virus yaitu :

-          AUTORUN.inf (semua drive)

-          Pagefile.pif (semua drive)

 

Metode Penyebaran

Pada awalnya pembuat virus melakukan metode penyebaran dengan melakukan beberapa hal seperti :

-          Melakukan posting pada forum software, menyediakan link untuk di download.

-          Melakukan posting pada forum games, menyediakan link cheat/kode/patch.

 

Tetapi setelah komputer pengguna terinfeksi, selanjutnya akan memanfaatkan penggunaan media removable seperti flashdisk, external harddisk dan media eksternal USB lainnya. (lihat gambar 9)

Gambar 9. File virus infeksi flashdisk/removable drive

 

Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat 2 file virus yang sama.

 

Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh W32/Xorer.AM yaitu :

 

ü  Menghapus registry

o   Startup

Agar program/software tidak berjalan pada saat start-up (khususnya program security), maka virus menghapus key berikut :

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o   Safe Mode

Agar komputer tidak dapat dijalankan melalui safe-mode, virus menghapus key berikut :

§  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

§  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

§  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

§  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

o   Software Restriction Policies (secpol.msc)

Agar virus tidak dapat di blok melalui salah satu fitur windows yaitu “Software Restriction Policies”, maka virus menghapus key berikut :

§  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer

 

ü  Merubah registry

o   Folder Options

Agar file virus tidak dapat dilihat, maka virus merubah key pada Folder Options, untuk itu virus merubah key menjadi berikut :

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

Type = “radio”

o   Component Classes

Agar script file virus dapat berjalan saat membuka browser tanpa muncul warning, maka virus merubah key berikut :

§  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}

409 = "Controls safely scriptable!"

o   AppInit

Agar file virus dapat berjalan saat membuka proses program/aplikasi, maka virus merubah key berikut :

§  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs = "C:\WINDOWS\system32\dnsq.dll.."

 

ü  Membuat registry

Beberapa registry yang dibuat yaitu :

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1

(Default) = "IfObj Control"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1\CLSID

(Default) = "{D9901239-34A2-448D-A000-3705544ECE9D}"

 

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}

(Default) = "IfObj Property Page"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}\InprocServer32

(Default) = "%System%\com\netcfg.dll"

 

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}

(Default) = "IfObj Control"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\Control

(Default) = ""

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\InprocServer32

(Default) = "%System%\com\netcfg.dll"

ThreadingModel = "Apartment"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\MiscStatus

(Default) = "0"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\MiscStatus\1

(Default) = "131473"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\ProgID

(Default) = "IFOBJ.IfObjCtrl.1"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\ToolboxBitmap32

(Default) = "%System%\com\netcfg.dll, 1"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\TypeLib

(Default) = "{814293BA-8708-42E9-A6B7-1BD3172B9DDF}"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\Version

(Default) = "1.0"

 

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}

(Default) = "_DIfObjEvents"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid

(Default) = "{00020420-0000-0000-C000-000000000046}"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid32

(Default) = "{00020420-0000-0000-C000-000000000046}"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\TypeLib

(Default) = "{814293BA-8708-42E9-A6B7-1BD3172B9DDF}"

Version = "1.0"

 

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}

(Default) = "_DIfObj"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid

(Default) = "{00020420-0000-0000-C000-000000000046}"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid32

(Default) = "{00020420-0000-0000-C000-000000000046}"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\TypeLib

(Default) = "{814293BA-8708-42E9-A6B7-1BD3172B9DDF}"

Version = "1.0"

 

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0

(Default) = "ifObj ActiveX Control module"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\FLAGS

(Default) = "2"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\HELPDIR

(Default) = "%System%\com"

o    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\0\win32

(Default) = "%System%\com\netcfg.dll"

 

Pembersihan Virus

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus adalah :

ü  Matikan System Restore (lihat gambar 10)

o   Klik kanan My Computer, pilih Properties.

o   Pilih tab System Restore, beri ceklist pilihan “Turn off System restore”.

o   Klik Apply, Klik OK.

Gambar 10. Matikan System restore

 

ü  Matikan dan hapus virus.

o   Download tools Norman Malware Cleaner pada :

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

o   Jalankan file tools tersebut, kemudian pilih semua drive yang ada.

o   Klik Scan, biarkan hingga selesai. PENTING !! Jangan restart komputer dulu. (lihat gambar 11).

Gambar 11. Scan dengan Norman Malware Cleaner

 

ü  Repair Registry Windows

Perbaiki Registry Windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :

o   Salin script dibawah ini dengan menggunakan notepad :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}, 409,0, "Controls that are safely scriptable"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, Type,0, “checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM, SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}, Description,0

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}, SaferFlags,0x00000000,0

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, Description,0, "Stop the download of this file"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, Friendlyname,0, "Mdac11.cab"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, HashAlg,0x00008003,32771

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, SaferFlags,0x00000000,0

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, Description,0, "Stop the download of this file"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, Friendlyname,0, "mdac20.cab"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, HashAlg,0x00008003,32771

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, SaferFlags,0x00000000,0

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, Description,0, "Stop the download of this file"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, Friendlyname,0, "mdac20_a.cab"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, HashAlg,0x00008003,32771

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, SaferFlags,0x00000000,0

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, Description,0, "Stop the download of this file"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, Friendlyname,0, "_msadc10.cab"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, HashAlg,0x00008003,32771

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, SaferFlags,0x00000000,0

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, Description,0, "Stop the download of this file"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, Friendlyname,0, "msadc11.cab"

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, HashAlg,0x00008003,32771

HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, SaferFlags,0x00000000,0

 

[del]

HKLM, SOFTWARE\Classes\IFOBJ.IfObjCtrl.1

HKLM, SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}

HKLM, SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}

HKLM, SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}

HKLM, SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}

HKLM, SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0

 

o   Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.

o   Klik kanan file “repair.inf”, kemudian pilih “install”.

o   Restart komputer.

 

ü  Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

 

Salam,

Ad Sap

info@vaksin.com

 

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851