1. Jika menggunakan windows XP Matikan [System Restore] untuk sementara selama proses pembersihan
2. Sebaiknya lakukan pembersihan melalui “safe mode”
3. Matikan proses dari virus W32/mybro, Anda dapat menggunakan tools pengganti Task manager seperti [Security task manager], tools tersebut dapat didownload di website http://www.neuber.com/taskmanager/ atau juga bisa langsung diambil disini matikan proses berikut [ingat !! cari file yang mempunyai bentuk folder].
o Winlogon
o Services
o Lsass
o Smss
o Csrss
4. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di notepad kemudian simpan menjadi repair.inf, jalankan file tersebut
o Klik kanan repair.inf
o Klik [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer\run
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus-3444Admc
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus-2733VIRM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer,ShowSuperHidden
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer\run
5. Hapus file Empty.pif pada direktori
o C:\Documents and Settings\suport\Start Menu\Programs\Startup
6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah menampilkan semua file yang disembunyikan, jika folder option belum muncul juga coba restart komputer terlebih dahulu kemudian booting ke mode “safe mode”, setelah itu hapus file berikut:
o
C:\Windows
+
_default17832
+
Cinderawasih-4178327
+
Komodo-6178322
o
C:\Windows\Ad22098
+
Smss.exe
o
C:\Windows\System32\S8787
+
Csrss.exe
+
Lsass.exe
+
Services.exe
+
Winlogon.exe
+
Smss.exe
+
Zh592115084y.exe
+
C.bron.tok.txt, berisi text
Brontok.C
By:Jowobot
+
Spread.mail.bro, berisi alamat email yang telah diperoleh dari komputer yang terinfeksi
+
Spread.sent.Bro, berisi alamat email yang berhasil dikirimkan
o
C:\Documents and Settings\%user%\Local Settings\Application Data
+
Jalak-932115015-bali.com
+
Winlogon.exe [berbentuk notepad]
o
Dv6211500x, berisi file:
+
Yesbron.com
o
C:\Windows\system32
+
C_17832k.com
o
C:\Documents and Settings\suport\Start Menu\Programs\Startup
+
Empty.pif
o
C:\
+
Baca Bro !!!.txt
Anda harus perhatikan juga ukuran file yang terinfeksi tersebut, karena jika file yang terinfeksi [file induk] mempunyai ukuran 51 KB W32/Mybro selain membuat file induk diatas juga akan membuat beberapa file induk tambahan diantaranya:
*
C:\Windows\System32\n8127
o
Csrss.exe
o
Lsass.exe
o
Services.exe
o
Winlogon.exe
o
C.Bron.Tok.txt
o
Spread.mail.bro
o
Spread.sent.bro
o
Sv711917030r.exe
o
Smss.exe
*
C:\Windows\SY20118
o
Smss.exe
7. Hapus file [task scheduled] yang dibuat oleh W32/Mybro
*
Klik [start]
*
Klik [Settings]
*
Klik [control panel]
*
Klik 2 kali menu [Scheduled task]
*
Hapus file AT1 dan AT2
8. Hapus string [daftar website yang diblok] yang dibuat oleh W32/Mybro pada file HOST yang berada dilokasi
C:\Windows\System32\Drivers\ETC
9. Ubah kembali file MSVBVM60.dll.xxx [dimana xxx menunjukan angka] menjadi nama file MSVBVM60.dll pada direktori C:\Windows\system32
10. Coba cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri
· Ukuran 48 KB atau 51 KB
· Icin yang digunakan berbentuk FOLDER
· Ekstensi file EXE
· Type file “Application”
Catatan:
Dari hasil pengujian virus ini tidak membuat file duplikat pada local disk
11. Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus ini dengan baik. (AJT)
Publisher : Kapanlagi.com
Sothink Logo Maker Professional 44 Fullpatch
-
Main Features: (1) Master Color Schemes-Preset professional color schemes
for any DIY design. (2) Plentiful Logo Effects-Rich effect for logo in
Effect Pan...
11 years ago
3 comments:
wadohhh ini bahasa apa,bro? hehe aku ngga ngerti. Ya wes bookmark dulu aja deh buat jaga2. thx,bro
virus W32 tuh virus opo toh bro? aku kok baca lagi mumuet lagi hehe...btw nice info
@BloGendeng = Kalo ga salah W32 itu semacam virus brontok atau rontokbro gitu loh bro..sekarang dia sudah mempunyai banyak varian, biasanya komputer yang terjangkit ini akan restart dengan sendirinya, terus akan terasa lambat.. (cuma itu yang aku tau, padahal masih banyak lagi lo..ehehh)
Post a Comment
Informasi Pilihan Identitas:
Google/Blogger : Khusus yang punya Account Blogger.
Lainnya : Jika tidak punya account blogger namun punya alamat Blog atau Website.
Anonim : Jika tidak ingin mempublikasikan profile anda (tidak disarankan).