| Home | | |


Thursday, October 27, 2005

Membersihkan Worm, Virus, Trojan.

Rontokbro Virus Lokal Kelas Dunia yang memiliki SMTP sendiri.
Sekilas tentang rontokbro
. Aksi virus baru berplatform windows yang diberi nama W32/Rontokbro@mm, sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya. Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai "mengerjai" Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir.

Pembasmian infeksi Rontokbro

1. Lakukan pembersihan melalui “safe mode”
untuk menghindari restart yang terus menerus pada normal mode. Caranya pada saat
reebot system tekan key (F8) dan pilih ‘safe mode’. Dan masuklah pada acount Administrator (hak akses tak terbatas).
2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us
(jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/Rontokbro@mm dan variannya
3. Untuk mengaktifkan kembali fungsi registry editor hapus value:
~ DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat
didownload dialamat :
http://www.spywareinfo.com/~merijn/downloads.htm

setelah itu cari option;
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked]
4. Hapus registri .
Pada menu [start] pilih [run] ketik ‘regedit’ untuk masuk ke system registry. Hapuslah registri:
• Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry:
• NoFolderOptions=dword:00000001
pada registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Untuk memastikan registri sudah aman dari infeksi coba jalankan [find] atau tekan Crrl+F lalu isikan identifikasi virus yang menginfeksi misal ‘rontok’(ketik). Karena pengalaman membuktikan file virus yang menginfeksi tidak bisa di delete akibat masih adanya registri yang menginfeksi.

5. Hapus opsi pada menu [Startup] pada msconfig.
pada menu [start] pilih [run] kemudian ketikan ‘msconfig’, dan apabila sudah muncul system configurasi utility pada startup hilangi check pada startup item.
o NorBtok
o Smss
o Empty

6. Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
o Buka [Windows Explorer]
o Klik [Control Panel]
o Klik 2 kali [Schedule Tasks]

7. Apabila system anda memiliki gejala infeksi penyerangan yang berbeda maka lakukanlah System Restore dan masih pada “safe mode”.
Klick menu [start] allprogram [Accessories] [System tools] [System Restore] select task Restore my computer… kemudian klik [next] pilihlah hari dimana system anda sebelum terinfeksi virus klik [next] setelah system reboot tetap masuk ke safe mode untuk memastikan System Restore telah sukses.

Memastikan System telah pulih dari infeksi virus Rontokbro
~Anda bisa membuka registri, msconfig, dan cmd.
~Pada windows explorer sudah terdapat folder option
~Anda sudah bisa menjalankan aplikasi .exe antivirus dll pada mode normal.
~Komputer anda tidak sering restart, lambat atau sering hang dan semacamnya

Identifikasi Virus Rontokbro
Pertama: Apabila anda mendapatkan imel yang berciri-ciri dibawah ini sudah bisa dipastikan imel tersebut adalah virus.
From: [Dipalsukan]
Subject: kosong
Message:
BRONTOK.A [ By: HVM**-Jowo*** #** Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM**-Jowo*** #** Community--

Attachment:
Kangen.exe
Kedua: Apabila anda sering menggunakan UFD(usb flash disk) perhatikan isi dari UFD tersebut.
Sebelumnya pada windows explorer di menu [Tools] [folder option] aktifkan chek pada show hidden file or folder.
~ file name yang mencurigakan misalnya “brontok” dll
~ folder pada view details bertype aplikasi dengan kapasitas sekitar sebesar 48Kb
~ pada user acount di komputer anda yang terletak di folder (Local Settings) (Application Data) terdapat file atau folder seperti kriteria di atas. Berarti komputer anda sudah terinfeksi.
Solusi apabila terdapat file atau folder tsb pada komputer atau pada UFD kususnya jangan di double klik. Coba di hapus (Shift+Delete) atau di scan apabila anda sudah menginstall Norman antivirus. Atau anda ingin mencoba pengalaman saya dalam membrantas virus brontok yang menginfeksi laptop saya dan hampir semua desktop teman-teman di kosan saya.


Remove W32/Kangen.I
Virus yang mengusung cinta ini memiliki varian dimana akan muncul pesan yang isinya antara lain Untuk Yang Tercinta Juwita Ningrum, pesan ini muncul ketika file yang terinfeksi dijalankan, pesan ini disampaikan dari seorang kekasih yang mempunyai inisial helsspawn. Virus ini menggunakan icon ms word kapasitasnya kira-kira 48Kb.

Apa saja yang di oprek oleh virus ini?
~Disable Task Manager
~Menyebar melalui DISKET/USB/File Sharing
~Merubah volume/nama drive dari suatu Hard Disk
~Menyembunyikan file MS.Word

Bagaimana menghentikan virus ini?
Apabila anda sudah menginstall Norman antivirus ini adalah solusi jitu untuk memukul telak virus kangen ini.
Jika antivirus yang Anda install belum dapat mengenali virus ini, ikuti langkah pembersihan berikut:
1. Matikan proses file tskmgr.exe
Bagi Anda yang menggunakan Windows XP/Server 2003 dapat menggunakan perintah “taskkill” untuk mematikan proses tersebut.
Untuk mematikan proses dengan menggunakan perintah taskkill, caranya adalah
* Klik [Start] [Run]
* Ketik [cmd]
* Matikan proses ”tskmgr.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im tskmgr.exe], dan tekan enter.
Atau Anda dapat menggunakan tools freeware seperti Pocket killbox (khusunya untuk windows diluar XP/2003 server). Tools ini dapat di download di alamat:
http://www.bleepingcomputer.com/files/killbox.php
Cara menggunakannya:
· Jalankan Killbox.exe pada komputer yang terinfeksi virus
· Cari proses tskmgr.exe pada kolom [system prosess]
· Kemudian isi lokasi file tersebut pada kolom [Full path file of file to delete]
o C:\Windows\fonts\tskmgr.exe
· Setelah itu klik [delete file] pada tanda gambar silang merah
2. Hapus file yang dibuat oleh virus
* Tskmgr.exe pada direktori C:\windows\fonts
* Rundll32.exe pada direktori C:\windows
* Syslove.exe pada direktori C:\windows\system32
* love1.dot dan love.dot pada direktori C:\Documents and settings * untukmu.exe pada direktori C: 3. Hapus semua registry key yang dibuat oleh virus
* local Service
* Security
Pada registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Hapus option pada msconfig pada menu [startup]
* Witta I Love You
* Tskmgr
5. Tampilkan kembali file MS. WORD yang telah disembunyikan dengan cara:
* Klik [Start] [Run]
* Ketik [cmd] untuk masuk ke command prompt.
* Pada layar command prompt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip)
Catatan:
Jika drive anda lebh dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh “attrib –s –h d:\*.doc /s”
Saya sarankan anda harus curiga dan hapus file yang mempunyai icon MS. WORD dengan ekstension. Doc.exe dengan ukuran file 48 kb).

Beruntunglah jika anda sudah menginstall Norman antifirus anda akan terproteksi dari gangguan semacam virus diatas. Dan apabila anda baru menginstall Norman antivirus untuk mengeksekusi virus tersebut maka anda tidak akan mendapat banyak kesulitan. Seperti pengalaman saya di desktop teman kosan. Cukup scan Virus dan hapus registri.
Serta lakukan System Restore agar anda tidak setres membayangkan hal yang aneh-aneh.

Selamat mencoba dan semoga berhasil.
Reference: http://www.vaksin.com

Posted by el-Hafiy | Permalink |  

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)
 

Home | Blogging Tips | Blogspot HTML | Make Money | Payment | PTC Review

Denoxcyber © Template Design by Herro | Publisher : Templatemu