Hacked by Godzilla

Written on 9 March, 2007 – 11:12 | by Rahmat Zikri |

Minggu ini laptop saya bervirus. Karena ada sebuah pekerjaan yang mesti saya lakukan yang mengharuskan saya mematikan fungsi realtime scanning pada perangkat lunak antivirus yang terpasang “kalau tidak si antivirus akan selalu menghapus file yang saya pakai karena dianggap berisi perangkat lunak untuk melakukan hijacking ternyata berakibat masuknya beberapa virus lewat jaringan.

Beberapa di antaranya bisa dengan sukses dibersihkan setelah saya mengaktifkan kembali realtime scanning nya dan segera menjalankan proses scanning ke semua drive yang ada. Namun ternyata ada yang tersisa. Untungnya menarik perhatian, karena si virus menambahkan kalimat Hacked by Godzilla di bar bagian atas window Internet Explorer yang saya gunakan.

Selidik punya selidik, virus ini sepertinya tidak berbahaya. Namun cukup merepotkan karena jadinya kita tidak bisa membuka drive yang ada dengan cara men-double click pada nama drive yang muncul di Windows Explorer. Celakanya lagi, ternyata setiap kali kita hendak membuka drive, program akan menjalankan file autorun.inf yang terdapat di root setiap drive.

File autorun.inf ini akan menjalankan program utamanya yang dibikin dengan menggunakan Visual Basic Script pada file MS32DLL.dll.vbs. Trik standar untuk melakukan penipuan, karena jika dilihat sekilas, apalagi jika wellknown extention disembunyikan, terlihat seakan-akan sebuah library file MS32DLL.dll.

Untuk membersihkannya sederhana saja. Berikut langkah-langkahnya:

  1. Pastikan Windows Explorer anda telah di-set untuk bisa melihat operating system files. Kalau belum, buka menu Tools – Folder Options – View. Hilangkan pilihan Hide protected operating systems files (Recommended) dan Show hidden files and folders.
  2. Buka Windows Taks Manager dengan menekan tombol CTRL+ALT+DEL, pilih tab Processes, cari proses yang menjalankan file wscript.exe. Kalau ada, matikan semuanya dengan meng-klik End Process.
  3. Hapus semua file autorun.inf yang anda temukan di semua drive (C, D, E, dsb).
  4. Hapus script utama virus, MS32DLL.dll.vbs yang terdapat di folder Windows (biasanya C:\Windows\MS32DLL.dll.vbs)
  5. Kosongkan isi Recycle Bin agar lebih pasti bahwa skrip virus ini tidak akan kembali lagi.
  6. Jalankan regedit dari menu Start – Run, lantas cari baris berikut: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run. Di sana ada MS32DLL. Hapus tulisan MS32DLL ini.
  7. Setelah itu, cari entry berikutnya di HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title. Di
    sana ada tulisan “Hacked by Godilla”. Hapus atau ganti dengan tulisan apa pun yang ingin anda tampilkan di bar Internet Explorer anda *wink*
  8. Jalankan msconfig dari menu Start – Run, masuk ke tab Startup, jika ada baris yang berisi MS32DLL, hilangkan pilihan (checkmark) yang ada di baris tersebut.

That’s all. Tapi untuk lebih meyakinkan, bisa saja kita ambil langkah berikutnya lagi. Yaitu memastikan bahwa autorun tidak lagi dijalankan di semua drive yang ada. Karena ada banyak virus yang berjalan dengan memanfaatkan fitur autorun. Caranya, Masuk ke Control Panel – Administrative Tools – Local Security Policy. Setelah terbuka, masuk ke bagian User Configuration – Administrative Templates – System. Di sana terdapat baris Turn off Autoplay. Double click baris tersebut, lantas pilih enabled dan pilih All drives.

Cukup sampai di situ. Namun, jika anda berminat untuk melihat-lihat, silahkan bersenang-senang di bagian ini. Karena ini adalah salah satu kekuatan dari Windows, anda bisa mendefinisikan policy atau kebijakan apa yang akan diterapkan di komputer anda.

Popularity: 34% [?]

Share and Enjoy:
  • Print
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • email
  • Live
  • MySpace
  • PDF
  • Technorati
  • Twitter
  • Profil Outlook yang Corrupt

    • Related Posts

    --related post--

    1. 48 Responses to “Hacked by Godzilla”

    2. By pitcan on Mar 26, 2007 | Reply

      hey.. senangnya akhirnya ada yang senasib.. gw da pusink tanya sana-sini.. malah disaranin format.. hix.. gw bakal coba saran loe.. ntar gw kabarin lg.. thx a lotz…

    3. By admin on Mar 26, 2007 | Reply

      #1
      good luck ya… gampang kok.

    4. By kohee on Mar 27, 2007 | Reply

      halo

      saya baru aja kena problem ini dan setelah googling kebawa ke blog mu
      thx banget ya atas tips and tricknya skrg dah bebas dari godzilla nya

    5. By randy on Mar 30, 2007 | Reply

      mas kalo tool removalnya sudah ada blom?

    6. By admin on Mar 31, 2007 | Reply

      #4:
      AFAIK sih belum ada.

    7. By bimo on Apr 9, 2007 | Reply

      saya juga kena mas, sindromnya sama seperti ya mas tulis diatas..pas saya cek MS32DLL.dll.vbs dah gak ada , godzilla juga dah ilang…usut punya usut semalem saya iseng, mereplace file autoru.inf yang saya buat sendiri dan mengganti isi file kosong trus saya replace ditempat folder terinfeksi….dan drive bisa kebuka lagi tuh mas..ya itu sedikit masukan dari saya , makasih ya udah membantu…

    8. By rifie on Apr 13, 2007 | Reply

      Saya pake Avira update-an terbaru udah terdeteksi…. :)
      kena juga ni boss…

    9. By akiong on Apr 20, 2007 | Reply

      Makasih Mas atas tips nya… very2 useful :D

    10. By Eko BS on May 5, 2007 | Reply

      Thanks Mas,
      Komputer saya juga kena. Saya akan coba bersihkan komputer saya dengan cara yang mas usulkan. TQ

    11. By christian on May 5, 2007 | Reply

      gw kena virus yang parah gw pki antivir yang update dr imternet jg ngak bisa virusnya smcm trojan gimana ya?

    12. By Zikri on May 5, 2007 | Reply

      #10
      coba produk yang berbeda. updating dari tiap vendor belum tentu seragam. bisa jadi bulan ini di produk X belum bisa membersihkan virus tsb, tapi di produk Y bisa.

    13. By Nila on May 12, 2007 | Reply

      Belakangan ini beberapa tmn di kntr kena ‘Hacked By Zay’,, hampir2 mirip sih sm Hacked By Godzilla, cuma klo si ‘Zay’ ini lebih ngerepotin,, Anti virus, folder option, run, task manager n regedit semuanya di disable.. dan setiap kita klik folder atau apapun yg ada kata ‘virus’ atau ‘anti virus’ ngga akan bisa dijalanin..

    14. By asoy on May 14, 2007 | Reply

      ati2 skrg ud ganti nama. gw baru kena NOVI.dll.vbs
      sama kek godzilla. cuma diganti nama. ud bersih virusnya. tapi gimana caranya biar bisa double click lg ya ? helep..

    15. By indra on May 16, 2007 | Reply

      trim’s atas tips nya. Laptop saya juga terinfeksi ‘Hacked by Zay’. Saya coba saran mas Zikri di menu Tools – Folder Options – View. Saya buka Tools kok tdk ada Folder Options nya? Help plizz buat yg awam2 banget spt saya.. Tq ya

    16. By Nila on May 18, 2007 | Reply

      #14
      Klo Notebook terhubung jaringan akan lebih mudah, karena kita bisa utak atik regedit dan mapping ke System&Local Disk nya dari PC/Notebook lain (setingkat admin di Notebook yg terkena virus) yang sudah di setting Folder Options nya (view, uncheck mark pad hide ext.. dan hide protected…)
      Tapi coba aja jalankan script ini di Notebook yang terinfeksi :
      Untuk menghapus virus tsb gunakan script dibawah ini, copikan script dibawah ini ke notepad kemudain save file tsb dg extension *.inf, kemudian jalankan dg cara klik kanan file script tbs pilih install
      Version]
      Signature=”$Chicago$”
      [DefaultInstall]
      AddReg=UnhookRegKey
      DelReg=del
      [UnhookRegKey]
      HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
      HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
      HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
      HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
      HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
      HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
      HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
      HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
      HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,0, “Owner”
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization,0, “Organization”
      [del]
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistriTools
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, hidden
      HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, r4n694-24y
      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ms32dll
      CKCR, VBSFile, DefaultIcon
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe
      HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

      Kemudian buka task manager matikan process wscript.exe,
      Kemudian hapus file induk dari virus tsb ada di c:\windows\ r4n694-24y.dll.vbs. dan autorun.inf
      Hapus semua file r4n694-24y.dll.vbs. dan autorun.inf
      File virus tsb di sembunyikan, oleh karena itu buka folder options >> view, uncheck mark pad hide ext.. dan hide protected…

    17. By Zikri on May 18, 2007 | Reply

      #15
      Nila akuw emang mantapppsss :)

    18. By joe on May 19, 2007 | Reply

      btw saya masih kurang jelas nih gimana caranya biar drive bisa dibuka dengan double click lagi.. kalo bisa sih dijelasin step by step gitu soalnya saya kurang ngerti hehehe.. thx banget kalo ada yg mau jelasin ^^

    19. By anto on Jun 8, 2007 | Reply

      Mas, aku juga dah bisa semuanya.. Tetapi kalo kita browse folder windows ada background kartun jepang ganggu banget.. gmn ngilanginnya ya..?
      anto

    20. By pour on Jun 11, 2007 | Reply

      bagaimana sih cara menghapus recycle ben gw bingung banget. tolong ya kalau temen temen tau kirim ke email aku!!!

    21. By aris on Jun 29, 2007 | Reply

      Mas tolong dong di komputer saya banyak shorcut internet expl untuk file file yang saya buka..apakah ini kerjaan spyware wor apa virus.. gimana cara ngatasinnya nih.. dah pusing banget..trus ada juga file run32dll.exe di flash disk apa itu virus?..trus gimana cara nanganinnya.. trims before ya mas ..

    22. By Damai on Jul 5, 2007 | Reply

      ternyata laptop saya juga kebagian “Hacked by Zay”
      selama ini selalu digunakan untuk email.
      apakah mcaffee enterprise 8.0.0 bisa menghilangkan si “hacked by Zay” ini ?

    23. By ricquee on Jul 6, 2007 | Reply

      Mas… kalau yang terinfeksi virus tsb adalah usb flashdisk…
      gimana cara ngatasinya…

      Mohon pencerahan…

      makasih banyak.

    24. By junilovers on Jul 7, 2007 | Reply

      pengalaman saya nih selama ini..walau sering diubex-ubex virus,spyware dan temen-temenya, tapi kalo udah direstart lagi tuh PC or laptop..greeng lagi deh…(dulu udah kapok mainin registry..eh malah tambah ancur..jadi blue screen)..caranya pake aja DEEP FREEZE buat ngonci tuh drive C: (OS windowsnya or other OS) klo mo install sesuatu buka lagi deep frezee nya…tapi tetep ja up date antivirusnya ya supaya aman drive yang laen.

    25. By h3n22 on Jul 22, 2007 | Reply

      Saya juga mengalami masalah dengan virus ini, saya rasa virus di laptop saya telah berkembang, sehingga tidak mempan jika mengikuti saran mas, karena saya tidak bisa menemukan file ms32dll nya, semua autorun telah saya hapus, tetapi virus tersebut tetap aktif. jika saya buka regedit, msconfig maupun taskmanager, laptop saya akan langsung restat. jadi mnrt saya sebaik nya langsung gunakan file Fix-VBWorm-Rontok-Lightmoon saja,
      program normal ini akan langsung menghapus semua file induk nya.

    26. By Sinan on Jul 24, 2007 | Reply

      Abang dan None bisa nanya nggak nich!
      folder di D-qu kok gak bisa dibuka sama sekali.
      setiap aku klik folder tsb. keluar peringatan “… is not accsessible. Access is denied” tolong ya! tolong

    27. By anjar on Aug 13, 2007 | Reply

      plz dong lagi kena virusyang menyerang data dbf atau tabel neh,,,

    28. By heaven on Aug 27, 2007 | Reply

      helep…
      klu virus NOVI.dll.vbs sama cara ilanginnya ky godzilla?
      TQ B4

    29. By star on Aug 31, 2007 | Reply

      komp saya juga kena nih, dan kaykanya uda beres,…

      tapi ternyata pas saya cek usb flashdisk saya .. saya format pun masih ada autorun.inf dan MS32DLL.dll.vbs

      gmn nih?

    30. By yoghy on Sep 1, 2007 | Reply

      thaks brooww…..

    31. By no_machi on Sep 6, 2007 | Reply

      alow…

      mo tanya neh
      apakah komp saya terkena virus???

      soalnya bgini , pas mo ubah jam….tiba2 ada tulisan gini
      “you do not have the proper privilege level to change the system

      mohon bantuannya…..thanks

    32. By Rahmat Zikri on Sep 7, 2007 | Reply

      #27: sama
      #28: flashdisk diformat, tapi di harddisk komputernya masih ada, ya percuma.
      #30: itu sih bukan virus. tapi anda ngga punya hak administratif di komputer yang dipakai, karena bukan sebagai administrator komputer tsb.

    33. By Marthin on Sep 13, 2007 | Reply

      wach sama aku juga kena nich….Mas Thx yah ….

    34. By aput on Sep 20, 2007 | Reply

      thanks

    35. By YA on Sep 20, 2007 | Reply

      pliz tolong dong..ni sudah saya turuti dengan cara2 dari senior2..tapi koq masih gak bisa ya di double klik..apa saya ada yg salah..terus terang..tadi ada virus..terus kedetect dengan nodnya lalu di quaratine..kemudian saya hapus..apa itu salah..saya sdh mengembalikan semuanya..dari run program gak bs kluar jadi bisa lagi..tapi problemnya..napa saya gak bisa double klik ya…ama pas saya klik kanan di drivenya slh st c ato d ..ada tulisan2 aneh kyk gak ada languagenya di pop upnya..bisa tolong berikan saya caranya agar berfungsi seperti biassanya lagi??thanks berat

    36. By bandi on Sep 25, 2007 | Reply

      mas,,,gmana sich menghidden ma ngeblok drive pake VBS,,,saya bru mo blajar bkin virus nie,,,tapi hanya untuk pendidikan aja loh,,,,?

    37. By dwie on Dec 13, 2007 | Reply

      salut to NILA…..

    38. By Hendro Lumbanraja on Dec 15, 2007 | Reply

      halo, bagaimana kalo ternyat virusnya sudah menutup akses kita ke folder option dan task manager? Itu yang terjadi kpd kompi ku ini. Saya mau buka folder option seperti saran di atas tapi gak ada. Dan ternyata task managernya pun sudah dia kunci. please ditolongin ya. Internet Explorerku pun di HACK by Zay. Si pembuat virus pun memberi pesan di sistem information begini: “Don’t Panic! Sistem anda sudah kami ambil alih.

    39. By adan on Dec 30, 2007 | Reply

      hmm… sempet hampir masuk virus ini, tapi kaspersky yg aku pake memblok dan mendelete virusnya, jadi lom sempet kena bener2 ama ni virus.

    40. By theshadow on Jan 2, 2008 | Reply

      @Nila, thanx berat ^ ^
      udah berhasil kebuka nh drivenya setelah coba stepnya copy scriptnya ke notepad & save ke extention *.inf lalu install.

      Berhasil, hebat eyi, selain cantik abisssss, jago lagi.Hehe.
      Cuma anehnya, di notebookqu ada 3 partisi ( C: , F:, G: )
      Yang Drive C: dan F: bisa sekarang kebuka dengan cara klik dua kali drive tsb, cuma anehnya kok drive G: masih gak mau kebuka y kl klik dua kali, masih muncul pop-up dengan pesan :

      Window Script Host

      Can not find script file “G:\NOVI.dll.vbs”

      kenaapa ya?

      Ada yg tau gak y ??? Binggung nh, nanggung banget benernya nh OSnya :(

      dari situ, sptnya port usb juga jadi bermasalah.Notebooqu udh gk mau baca flashdisc atau usb device apapun, hanya beberapa saja yg mau.Sy udh cb ke notebook lain gk masalah.

      Pesan error di task tray sbg brkt:

      USB Device Not Recognized

      One of teh USB devices attached to this computer malfunctioned, and Windows does not recognize it.

      |- USB Root Hub (2 ports)
      |- Unused Port
      |- Unknown Device

      Ditunggu y sharingnya rekan2 kl ada yg pernah ngalamin masalah yg sama dan ditunggu y resolve problemnya.

      @ Zikri, thanx y, udah bisa hilang sekarang Hack by-nya.

      Cheers

    41. By uniza on Jan 17, 2008 | Reply

      hi…g juga kena ni ma virus “hacked by godzilla” itu..
      dan g da coba ikutin semua langkah2 diatas..
      tapi kok g ga bisa nemuin “wscript.exe’ di task manager ya??
      begitu juga autorun.inf dan MS32DLL.dll.vbs nya ga ada..

      sejauh ini saya masi bs browsing dan doble klik..

      apakah wscript.exe dan yg lainnya sudah ganti nama?
      atao memang baru terkena virus ini jadi belum parah??

      THANX.

    42. By wave on Jan 30, 2008 | Reply

      A.
      aku kemaren nemuin masalah yang sama trus aku langsung pake avast untuk ngilangin PIRUSnya terus,

      B.
      udah diapus semua PIRUSnya waktu aku klik drive flash disk berada kok muncul pesan

      Can not find script file “J:\NOVI.dll.vbs”

      J itu drive dimana flash disk berada

      C.
      trus aku iseng pake ANSAV 1.8.9 ama SMP 102807
      abis itu ketemu spywarenya autorun.inf
      trus aku kill aja

      D.
      setlah itu aku coba lagi lakukan point B
      dan hasilnya sama aja
      trus aku coba dir /ah pake run command
      ketemu file aneh yaitu msvbvm60.dll
      kok bisa ada di flashdisk aku delete ga bisa
      trus banyak file diluar yang di-hidden

      E.
      karena ga bisa aku delete, aku coba untk plug-off flashdisknya, trus coba lagi point D
      sampai beberapa kali
      sampe akhirnya file msvbvm60.dll dapet aku delete dan ketika aku klik di drive flashdisknya sudah tidak ada lagi pesan di point B

      cuman masalahnya masih banyak file yang statusnya “hidden” dan ga bisa dinormalin biar ga hidden

      so …. ada yang bisa bantu ga ???

      thanx b4

    43. By Meme on Feb 4, 2008 | Reply

      Salam kenal mas Zikri,

      Saya dateng ke blog mas setelah scavenging di internet tentang dllcache32.exe. Saya sendiri pengguna Toshiba A105 S361 yang sekarang haddisknya udah lebih kaya live cd karena nggak bisa ditulis pun diinstall ulang OSnya.
      Mohon bantuannya ya mas.
      Trims

    44. By Rahmat Zikri on Feb 19, 2008 | Reply

      to uniza: sepertinya view option di explorer belum di-set memunculkan file yang statusnya hidden.

      to wave: sorry, belum pernah lihat.

      to meme: sorry 2 mingguan ini saya jarang online, baru ganti notebook :) sepertinya harddisk notebook meme mesti di-slave di tempat lain, lalu di-scan.

    45. By mico on Feb 26, 2008 | Reply

      thanks atas ilmunya zikri.
      saya mu tanya ni, mungkin zikri tau.
      entah kenapa tiba2 PC saya gabisa akses Task Manager dan hidden files&folder. udah discan pake avg, Pc saya nampak tak beracun.
      bingung deh~

    46. By xegawon on Mar 8, 2008 | Reply

      Thanks infonya Rahmat n Nila,i’ll try that.

      Oiya ya mngkn bs berguna buat yg lain. Kl flash disk sdh diformat ulang ttp gak bisa diakses (access is denied), format saja jadi FAT bkn FAT32, flashdisk saya sejauh ini bs diakses normal lg.

    47. By Q on Apr 4, 2008 | Reply

      slm mas zikri…
      hmm,,,sdh dicoba tp langkah 2,4 dan 6 tdk ada,,,file yg dimaksud tdk di kompi saya,,,jd,hrs gmn donk? tolong dibahas lg lbh detail,,,,pliiizzz,,,,thx a lot,,,,

    48. By Rahmat Zikri on Apr 8, 2008 | Reply

      @ Q: kalau begitu virus yg ada di tempat anda dari varian yang berbeda :)

    49. By I GEDE on Dec 20, 2009 | Reply

      thanks for info langsung bertindak ie di pc adik terpasang tulisan dibar atasnya mohon unutk tip trick lainnya di kupas tuntas lagi khususnya windows nya matur nuwun

    Post a Comment

    About Me

    The smiling geekIndependent IT Consultant and Trainer, mastering in Microsoft technologies. 10 years experience in all level of systems and network engineering. Currently being awarded as Microsoft MVP in Exchange Server. Live in Jakarta, Indonesia. Claimed himself as a not ordinary geek, who loves photography and hanging out with friends. More.

    Want to subscribe?

     Subscribe in a reader Or, subscribe via email:
    Enter your email address:  
    Google