Hacked by Godzilla

Written on 9 March, 2007 – 11:12 | by Rahmat Zikri |

Minggu ini laptop saya bervirus. Karena ada sebuah pekerjaan yang mesti saya lakukan yang mengharuskan saya mematikan fungsi realtime scanning pada perangkat lunak antivirus yang terpasang “kalau tidak si antivirus akan selalu menghapus file yang saya pakai karena dianggap berisi perangkat lunak untuk melakukan hijacking ternyata berakibat masuknya beberapa virus lewat jaringan.

Beberapa di antaranya bisa dengan sukses dibersihkan setelah saya mengaktifkan kembali realtime scanning nya dan segera menjalankan proses scanning ke semua drive yang ada. Namun ternyata ada yang tersisa. Untungnya menarik perhatian, karena si virus menambahkan kalimat Hacked by Godzilla di bar bagian atas window Internet Explorer yang saya gunakan.

Selidik punya selidik, virus ini sepertinya tidak berbahaya. Namun cukup merepotkan karena jadinya kita tidak bisa membuka drive yang ada dengan cara men-double click pada nama drive yang muncul di Windows Explorer. Celakanya lagi, ternyata setiap kali kita hendak membuka drive, program akan menjalankan file autorun.inf yang terdapat di root setiap drive.

File autorun.inf ini akan menjalankan program utamanya yang dibikin dengan menggunakan Visual Basic Script pada file MS32DLL.dll.vbs. Trik standar untuk melakukan penipuan, karena jika dilihat sekilas, apalagi jika wellknown extention disembunyikan, terlihat seakan-akan sebuah library file MS32DLL.dll.

Untuk membersihkannya sederhana saja. Berikut langkah-langkahnya:

  1. Pastikan Windows Explorer anda telah di-set untuk bisa melihat operating system files. Kalau belum, buka menu Tools – Folder Options – View. Hilangkan pilihan Hide protected operating systems files (Recommended) dan Show hidden files and folders.
  2. Buka Windows Taks Manager dengan menekan tombol CTRL+ALT+DEL, pilih tab Processes, cari proses yang menjalankan file wscript.exe. Kalau ada, matikan semuanya dengan meng-klik End Process.
  3. Hapus semua file autorun.inf yang anda temukan di semua drive (C, D, E, dsb).
  4. Hapus script utama virus, MS32DLL.dll.vbs yang terdapat di folder Windows (biasanya C:\Windows\MS32DLL.dll.vbs)
  5. Kosongkan isi Recycle Bin agar lebih pasti bahwa skrip virus ini tidak akan kembali lagi.
  6. Jalankan regedit dari menu Start – Run, lantas cari baris berikut: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run. Di sana ada MS32DLL. Hapus tulisan MS32DLL ini.
  7. Setelah itu, cari entry berikutnya di HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title. Di
    sana ada tulisan “Hacked by Godilla”. Hapus atau ganti dengan tulisan apa pun yang ingin anda tampilkan di bar Internet Explorer anda *wink*
  8. Jalankan msconfig dari menu Start – Run, masuk ke tab Startup, jika ada baris yang berisi MS32DLL, hilangkan pilihan (checkmark) yang ada di baris tersebut.

That’s all. Tapi untuk lebih meyakinkan, bisa saja kita ambil langkah berikutnya lagi. Yaitu memastikan bahwa autorun tidak lagi dijalankan di semua drive yang ada. Karena ada banyak virus yang berjalan dengan memanfaatkan fitur autorun. Caranya, Masuk ke Control Panel – Administrative Tools – Local Security Policy. Setelah terbuka, masuk ke bagian User Configuration – Administrative Templates – System. Di sana terdapat baris Turn off Autoplay. Double click baris tersebut, lantas pilih enabled dan pilih All drives.

Cukup sampai di situ. Namun, jika anda berminat untuk melihat-lihat, silahkan bersenang-senang di bagian ini. Karena ini adalah salah satu kekuatan dari Windows, anda bisa mendefinisikan policy atau kebijakan apa yang akan diterapkan di komputer anda.

Be Sociable, Share!

Related Posts

--related post--
  1. 48 Responses to “Hacked by Godzilla”

  2. By pitcan on Mar 26, 2007 | Reply

    hey.. senangnya akhirnya ada yang senasib.. gw da pusink tanya sana-sini.. malah disaranin format.. hix.. gw bakal coba saran loe.. ntar gw kabarin lg.. thx a lotz…

  3. By admin on Mar 26, 2007 | Reply

    #1
    good luck ya… gampang kok.

  4. By kohee on Mar 27, 2007 | Reply

    halo

    saya baru aja kena problem ini dan setelah googling kebawa ke blog mu
    thx banget ya atas tips and tricknya skrg dah bebas dari godzilla nya

  5. By randy on Mar 30, 2007 | Reply

    mas kalo tool removalnya sudah ada blom?

  6. By admin on Mar 31, 2007 | Reply

    #4:
    AFAIK sih belum ada.

  7. By bimo on Apr 9, 2007 | Reply

    saya juga kena mas, sindromnya sama seperti ya mas tulis diatas..pas saya cek MS32DLL.dll.vbs dah gak ada , godzilla juga dah ilang…usut punya usut semalem saya iseng, mereplace file autoru.inf yang saya buat sendiri dan mengganti isi file kosong trus saya replace ditempat folder terinfeksi….dan drive bisa kebuka lagi tuh mas..ya itu sedikit masukan dari saya , makasih ya udah membantu…

  8. By rifie on Apr 13, 2007 | Reply

    Saya pake Avira update-an terbaru udah terdeteksi…. :)
    kena juga ni boss…

  9. By akiong on Apr 20, 2007 | Reply

    Makasih Mas atas tips nya… very2 useful :D

  10. By Eko BS on May 5, 2007 | Reply

    Thanks Mas,
    Komputer saya juga kena. Saya akan coba bersihkan komputer saya dengan cara yang mas usulkan. TQ

  11. By christian on May 5, 2007 | Reply

    gw kena virus yang parah gw pki antivir yang update dr imternet jg ngak bisa virusnya smcm trojan gimana ya?

  12. By Zikri on May 5, 2007 | Reply

    #10
    coba produk yang berbeda. updating dari tiap vendor belum tentu seragam. bisa jadi bulan ini di produk X belum bisa membersihkan virus tsb, tapi di produk Y bisa.

  13. By Nila on May 12, 2007 | Reply

    Belakangan ini beberapa tmn di kntr kena ‘Hacked By Zay’,, hampir2 mirip sih sm Hacked By Godzilla, cuma klo si ‘Zay’ ini lebih ngerepotin,, Anti virus, folder option, run, task manager n regedit semuanya di disable.. dan setiap kita klik folder atau apapun yg ada kata ‘virus’ atau ‘anti virus’ ngga akan bisa dijalanin..

  14. By asoy on May 14, 2007 | Reply

    ati2 skrg ud ganti nama. gw baru kena NOVI.dll.vbs
    sama kek godzilla. cuma diganti nama. ud bersih virusnya. tapi gimana caranya biar bisa double click lg ya ? helep..

  15. By indra on May 16, 2007 | Reply

    trim’s atas tips nya. Laptop saya juga terinfeksi ‘Hacked by Zay’. Saya coba saran mas Zikri di menu Tools – Folder Options – View. Saya buka Tools kok tdk ada Folder Options nya? Help plizz buat yg awam2 banget spt saya.. Tq ya

  16. By Nila on May 18, 2007 | Reply

    #14
    Klo Notebook terhubung jaringan akan lebih mudah, karena kita bisa utak atik regedit dan mapping ke System&Local Disk nya dari PC/Notebook lain (setingkat admin di Notebook yg terkena virus) yang sudah di setting Folder Options nya (view, uncheck mark pad hide ext.. dan hide protected…)
    Tapi coba aja jalankan script ini di Notebook yang terinfeksi :
    Untuk menghapus virus tsb gunakan script dibawah ini, copikan script dibawah ini ke notepad kemudain save file tsb dg extension *.inf, kemudian jalankan dg cara klik kanan file script tbs pilih install
    Version]
    Signature=”$Chicago$”
    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del
    [UnhookRegKey]
    HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
    HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
    HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
    HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,0, “Owner”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization,0, “Organization”
    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistriTools
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, hidden
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, r4n694-24y
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ms32dll
    CKCR, VBSFile, DefaultIcon
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

    Kemudian buka task manager matikan process wscript.exe,
    Kemudian hapus file induk dari virus tsb ada di c:\windows\ r4n694-24y.dll.vbs. dan autorun.inf
    Hapus semua file r4n694-24y.dll.vbs. dan autorun.inf
    File virus tsb di sembunyikan, oleh karena itu buka folder options >> view, uncheck mark pad hide ext.. dan hide protected…

  17. By Zikri on May 18, 2007 | Reply

    #15
    Nila akuw emang mantapppsss :)

  18. By joe on May 19, 2007 | Reply

    btw saya masih kurang jelas nih gimana caranya biar drive bisa dibuka dengan double click lagi.. kalo bisa sih dijelasin step by step gitu soalnya saya kurang ngerti hehehe.. thx banget kalo ada yg mau jelasin ^^

  19. By anto on Jun 8, 2007 | Reply

    Mas, aku juga dah bisa semuanya.. Tetapi kalo kita browse folder windows ada background kartun jepang ganggu banget.. gmn ngilanginnya ya..?
    anto

  20. By pour on Jun 11, 2007 | Reply

    bagaimana sih cara menghapus recycle ben gw bingung banget. tolong ya kalau temen temen tau kirim ke email aku!!!

  21. By aris on Jun 29, 2007 | Reply

    Mas tolong dong di komputer saya banyak shorcut internet expl untuk file file yang saya buka..apakah ini kerjaan spyware wor apa virus.. gimana cara ngatasinnya nih.. dah pusing banget..trus ada juga file run32dll.exe di flash disk apa itu virus?..trus gimana cara nanganinnya.. trims before ya mas ..

  22. By Damai on Jul 5, 2007 | Reply

    ternyata laptop saya juga kebagian “Hacked by Zay”
    selama ini selalu digunakan untuk email.
    apakah mcaffee enterprise 8.0.0 bisa menghilangkan si “hacked by Zay” ini ?

  23. By ricquee on Jul 6, 2007 | Reply

    Mas… kalau yang terinfeksi virus tsb adalah usb flashdisk…
    gimana cara ngatasinya…

    Mohon pencerahan…

    makasih banyak.

  24. By junilovers on Jul 7, 2007 | Reply

    pengalaman saya nih selama ini..walau sering diubex-ubex virus,spyware dan temen-temenya, tapi kalo udah direstart lagi tuh PC or laptop..greeng lagi deh…(dulu udah kapok mainin registry..eh malah tambah ancur..jadi blue screen)..caranya pake aja DEEP FREEZE buat ngonci tuh drive C: (OS windowsnya or other OS) klo mo install sesuatu buka lagi deep frezee nya…tapi tetep ja up date antivirusnya ya supaya aman drive yang laen.

  25. By h3n22 on Jul 22, 2007 | Reply

    Saya juga mengalami masalah dengan virus ini, saya rasa virus di laptop saya telah berkembang, sehingga tidak mempan jika mengikuti saran mas, karena saya tidak bisa menemukan file ms32dll nya, semua autorun telah saya hapus, tetapi virus tersebut tetap aktif. jika saya buka regedit, msconfig maupun taskmanager, laptop saya akan langsung restat. jadi mnrt saya sebaik nya langsung gunakan file Fix-VBWorm-Rontok-Lightmoon saja,
    program normal ini akan langsung menghapus semua file induk nya.

  26. By Sinan on Jul 24, 2007 | Reply

    Abang dan None bisa nanya nggak nich!
    folder di D-qu kok gak bisa dibuka sama sekali.
    setiap aku klik folder tsb. keluar peringatan “… is not accsessible. Access is denied” tolong ya! tolong

  27. By anjar on Aug 13, 2007 | Reply

    plz dong lagi kena virusyang menyerang data dbf atau tabel neh,,,

  28. By heaven on Aug 27, 2007 | Reply

    helep…
    klu virus NOVI.dll.vbs sama cara ilanginnya ky godzilla?
    TQ B4

  29. By star on Aug 31, 2007 | Reply

    komp saya juga kena nih, dan kaykanya uda beres,…

    tapi ternyata pas saya cek usb flashdisk saya .. saya format pun masih ada autorun.inf dan MS32DLL.dll.vbs

    gmn nih?

  30. By yoghy on Sep 1, 2007 | Reply

    thaks brooww…..

  31. By no_machi on Sep 6, 2007 | Reply

    alow…

    mo tanya neh
    apakah komp saya terkena virus???

    soalnya bgini , pas mo ubah jam….tiba2 ada tulisan gini
    “you do not have the proper privilege level to change the system

    mohon bantuannya…..thanks

  32. By Rahmat Zikri on Sep 7, 2007 | Reply

    #27: sama
    #28: flashdisk diformat, tapi di harddisk komputernya masih ada, ya percuma.
    #30: itu sih bukan virus. tapi anda ngga punya hak administratif di komputer yang dipakai, karena bukan sebagai administrator komputer tsb.

  33. By Marthin on Sep 13, 2007 | Reply

    wach sama aku juga kena nich….Mas Thx yah ….

  34. By aput on Sep 20, 2007 | Reply

    thanks

  35. By YA on Sep 20, 2007 | Reply

    pliz tolong dong..ni sudah saya turuti dengan cara2 dari senior2..tapi koq masih gak bisa ya di double klik..apa saya ada yg salah..terus terang..tadi ada virus..terus kedetect dengan nodnya lalu di quaratine..kemudian saya hapus..apa itu salah..saya sdh mengembalikan semuanya..dari run program gak bs kluar jadi bisa lagi..tapi problemnya..napa saya gak bisa double klik ya…ama pas saya klik kanan di drivenya slh st c ato d ..ada tulisan2 aneh kyk gak ada languagenya di pop upnya..bisa tolong berikan saya caranya agar berfungsi seperti biassanya lagi??thanks berat

  36. By bandi on Sep 25, 2007 | Reply

    mas,,,gmana sich menghidden ma ngeblok drive pake VBS,,,saya bru mo blajar bkin virus nie,,,tapi hanya untuk pendidikan aja loh,,,,?

  37. By dwie on Dec 13, 2007 | Reply

    salut to NILA…..

  38. By Hendro Lumbanraja on Dec 15, 2007 | Reply

    halo, bagaimana kalo ternyat virusnya sudah menutup akses kita ke folder option dan task manager? Itu yang terjadi kpd kompi ku ini. Saya mau buka folder option seperti saran di atas tapi gak ada. Dan ternyata task managernya pun sudah dia kunci. please ditolongin ya. Internet Explorerku pun di HACK by Zay. Si pembuat virus pun memberi pesan di sistem information begini: “Don’t Panic! Sistem anda sudah kami ambil alih.

  39. By adan on Dec 30, 2007 | Reply

    hmm… sempet hampir masuk virus ini, tapi kaspersky yg aku pake memblok dan mendelete virusnya, jadi lom sempet kena bener2 ama ni virus.

  40. By theshadow on Jan 2, 2008 | Reply

    @Nila, thanx berat ^ ^
    udah berhasil kebuka nh drivenya setelah coba stepnya copy scriptnya ke notepad & save ke extention *.inf lalu install.

    Berhasil, hebat eyi, selain cantik abisssss, jago lagi.Hehe.
    Cuma anehnya, di notebookqu ada 3 partisi ( C: , F:, G: )
    Yang Drive C: dan F: bisa sekarang kebuka dengan cara klik dua kali drive tsb, cuma anehnya kok drive G: masih gak mau kebuka y kl klik dua kali, masih muncul pop-up dengan pesan :

    Window Script Host

    Can not find script file “G:\NOVI.dll.vbs”

    kenaapa ya?

    Ada yg tau gak y ??? Binggung nh, nanggung banget benernya nh OSnya :(

    dari situ, sptnya port usb juga jadi bermasalah.Notebooqu udh gk mau baca flashdisc atau usb device apapun, hanya beberapa saja yg mau.Sy udh cb ke notebook lain gk masalah.

    Pesan error di task tray sbg brkt:

    USB Device Not Recognized

    One of teh USB devices attached to this computer malfunctioned, and Windows does not recognize it.

    |- USB Root Hub (2 ports)
    |- Unused Port
    |- Unknown Device

    Ditunggu y sharingnya rekan2 kl ada yg pernah ngalamin masalah yg sama dan ditunggu y resolve problemnya.

    @ Zikri, thanx y, udah bisa hilang sekarang Hack by-nya.

    Cheers

  41. By uniza on Jan 17, 2008 | Reply

    hi…g juga kena ni ma virus “hacked by godzilla” itu..
    dan g da coba ikutin semua langkah2 diatas..
    tapi kok g ga bisa nemuin “wscript.exe’ di task manager ya??
    begitu juga autorun.inf dan MS32DLL.dll.vbs nya ga ada..

    sejauh ini saya masi bs browsing dan doble klik..

    apakah wscript.exe dan yg lainnya sudah ganti nama?
    atao memang baru terkena virus ini jadi belum parah??

    THANX.

  42. By wave on Jan 30, 2008 | Reply

    A.
    aku kemaren nemuin masalah yang sama trus aku langsung pake avast untuk ngilangin PIRUSnya terus,

    B.
    udah diapus semua PIRUSnya waktu aku klik drive flash disk berada kok muncul pesan

    Can not find script file “J:\NOVI.dll.vbs”

    J itu drive dimana flash disk berada

    C.
    trus aku iseng pake ANSAV 1.8.9 ama SMP 102807
    abis itu ketemu spywarenya autorun.inf
    trus aku kill aja

    D.
    setlah itu aku coba lagi lakukan point B
    dan hasilnya sama aja
    trus aku coba dir /ah pake run command
    ketemu file aneh yaitu msvbvm60.dll
    kok bisa ada di flashdisk aku delete ga bisa
    trus banyak file diluar yang di-hidden

    E.
    karena ga bisa aku delete, aku coba untk plug-off flashdisknya, trus coba lagi point D
    sampai beberapa kali
    sampe akhirnya file msvbvm60.dll dapet aku delete dan ketika aku klik di drive flashdisknya sudah tidak ada lagi pesan di point B

    cuman masalahnya masih banyak file yang statusnya “hidden” dan ga bisa dinormalin biar ga hidden

    so …. ada yang bisa bantu ga ???

    thanx b4

  43. By Meme on Feb 4, 2008 | Reply

    Salam kenal mas Zikri,

    Saya dateng ke blog mas setelah scavenging di internet tentang dllcache32.exe. Saya sendiri pengguna Toshiba A105 S361 yang sekarang haddisknya udah lebih kaya live cd karena nggak bisa ditulis pun diinstall ulang OSnya.
    Mohon bantuannya ya mas.
    Trims

  44. By Rahmat Zikri on Feb 19, 2008 | Reply

    to uniza: sepertinya view option di explorer belum di-set memunculkan file yang statusnya hidden.

    to wave: sorry, belum pernah lihat.

    to meme: sorry 2 mingguan ini saya jarang online, baru ganti notebook :) sepertinya harddisk notebook meme mesti di-slave di tempat lain, lalu di-scan.

  45. By mico on Feb 26, 2008 | Reply

    thanks atas ilmunya zikri.
    saya mu tanya ni, mungkin zikri tau.
    entah kenapa tiba2 PC saya gabisa akses Task Manager dan hidden files&folder. udah discan pake avg, Pc saya nampak tak beracun.
    bingung deh~

  46. By xegawon on Mar 8, 2008 | Reply

    Thanks infonya Rahmat n Nila,i’ll try that.

    Oiya ya mngkn bs berguna buat yg lain. Kl flash disk sdh diformat ulang ttp gak bisa diakses (access is denied), format saja jadi FAT bkn FAT32, flashdisk saya sejauh ini bs diakses normal lg.

  47. By Q on Apr 4, 2008 | Reply

    slm mas zikri…
    hmm,,,sdh dicoba tp langkah 2,4 dan 6 tdk ada,,,file yg dimaksud tdk di kompi saya,,,jd,hrs gmn donk? tolong dibahas lg lbh detail,,,,pliiizzz,,,,thx a lot,,,,

  48. By Rahmat Zikri on Apr 8, 2008 | Reply

    @ Q: kalau begitu virus yg ada di tempat anda dari varian yang berbeda :)

  49. By I GEDE on Dec 20, 2009 | Reply

    thanks for info langsung bertindak ie di pc adik terpasang tulisan dibar atasnya mohon unutk tip trick lainnya di kupas tuntas lagi khususnya windows nya matur nuwun

Post a Comment

About Me

The smiling geekIndependent IT Consultant and Trainer, mastering in Microsoft technologies. 13 years experience in all level of systems and network engineering. Currently being awarded as Microsoft MVP in Exchange Server. Live in Jakarta, Indonesia. Claimed himself as a not ordinary geek, who loves photography and hanging out with friends. More.

Want to subscribe?

 Subscribe in a reader Or, subscribe via email:
Enter your email address:  
Google