08 June 2008

Cara menghapus virus W32/Mybro

Cara menghapus virus W32/Mybro

1. Jika menggunakan windows XP Matikan [System Restore] untuk sementara selama proses pembersihan
2. Sebaiknya lakukan pembersihan melalui “safe mode”
3. Matikan proses dari virus W32/mybro, Anda dapat menggunakan tools pengganti Task manager seperti [Security task manager], tools tersebut dapat didownload di website http://www.neuber.com/taskmanager/ matikan proses berikut [ingat !! cari file yang mempunyai bentuk folder].

o Winlogon

o Services

o Lsass

o Smss

o Csrss

4. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di notepad kemudian simpan menjadi repair.inf, jalankan file tersebut

o Klik kanan repair.inf

o Klik [install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"reg edit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \Explorer\run

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus-3444Admc

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus-2733VIRM

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer,ShowSuperHidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies \Explorer\run

5. Hapus file Empty.pif pada direktori

o C:\Documents and Settings\suport\Start Menu\Programs\Startup

6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah menampilkan semua file yang disembunyikan, jika folder option belum muncul juga coba restart komputer terlebih dahulu kemudian booting ke mode “safe mode”, setelah itu hapus file berikut:

o

C:\Windows
+

_default17832
+

Cinderawasih-4178327
+

Komodo-6178322
o

C:\Windows\Ad22098
+

Smss.exe
o

C:\Windows\System32\S8787
+

Csrss.exe
+

Lsass.exe
+

Services.exe
+

Winlogon.exe
+

Smss.exe
+

Zh592115084y.exe
+

C.bron.tok.txt, berisi text

Brontok.C

By:Jowobot

+

Spread.mail.bro, berisi alamat email yang telah diperoleh dari komputer yang terinfeksi
+

Spread.sent.Bro, berisi alamat email yang berhasil dikirimkan
o

C:\Documents and Settings\%user%\Local Settings\Application Data
+

Jalak-932115015-bali.com
+

Winlogon.exe [berbentuk notepad]
o

Dv6211500x, berisi file:
+

Yesbron.com
o

C:\Windows\system32
+

C_17832k.com
o

C:\Documents and Settings\suport\Start Menu\Programs\Startup
+

Empty.pif
o

C:\
+

Baca Bro !!!.txt

Anda harus perhatikan juga ukuran file yang terinfeksi tersebut, karena jika file yang terinfeksi [file induk] mempunyai ukuran 51 KB W32/Mybro selain membuat file induk diatas juga akan membuat beberapa file induk tambahan diantaranya:

*

C:\Windows\System32\n8127
o

Csrss.exe
o

Lsass.exe
o

Services.exe
o

Winlogon.exe
o

C.Bron.Tok.txt
o

Spread.mail.bro
o

Spread.sent.bro
o

Sv711917030r.exe
o

Smss.exe
*

C:\Windows\SY20118
o

Smss.exe
7. Hapus file [task scheduled] yang dibuat oleh W32/Mybro
*

Klik [start]
*

Klik [Settings]
*

Klik [control panel]
*

Klik 2 kali menu [Scheduled task]
*

Hapus file AT1 dan AT2
8. Hapus string [daftar website yang diblok] yang dibuat oleh W32/Mybro pada file HOST yang berada dilokasi

C:\Windows\System32\Drivers\ETC

9. Ubah kembali file MSVBVM60.dll.xxx [dimana xxx menunjukan angka] menjadi nama file MSVBVM60.dll pada direktori C:\Windows\system32
10. Coba cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri

· Ukuran 48 KB atau 51 KB

· Icin yang digunakan berbentuk FOLDER

· Ekstensi file EXE

· Type file “Application”

Catatan:

Dari hasil pengujian virus ini tidak membuat file duplikat pada local disk

11. Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus ini dengan baik. (AJT)

No comments: