Re: [asosiasi-warnet] need help : virus BRONTOK.A[10]

yulius aryakusumah Thu, 17 Nov 2005 10:44:17 -0800

Halo Rekan2,

Kemarin saya juga terkena Virus brontoks ini.
Untuk menghilangkannya rekan-rekan dapat melihat nya di

http://www.vaksin.com/rontokbro.htm

Saya telah membersihkan nya dari semua komputer saya dan berhasil tuntas.
Setelah saya mengamati cara penyebarannya, virus ini akan menyebar melalui
LAN jika komputer2 tersebut di full access sharing (writable) dan jika hanya
sharing biasa tanpa full access sharing, maka virus ini tidak bisa menyebar
lewat jaringan. Apalagi setelah bersih dari virus tersebut rekan2 menggunakan
deepfreeze.

Cara sederhana yg saya temukan dan berhasil adalah:

1. Install Norman anti-virus trial version juga bisa (www.norman.com)
kemudian update terbaru, keterangan menginstall dapat dilihat di
http://www.vaksin.com/rontokbro.htm
2. Download patch registry dari Symantec unhookexec.inf taruh di
desktop,berguna untuk membuka regedit karena virus ini akan memblok regedit

http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html
3. Boot safe mode
4. Matikan system restore
5. Scan all harddrive dengan Norman antivirus
6. Setelah selesai "put in quarantine", masuk ke utility Norman ,
quarantine, kemudian hapus semua file yang terdeteksi sebagai virus
7. kemudian klik kanan pada file unhookexec.inf klik install sehingga kita
dapat membuka regedit
8. Run -> regedit

9. Hapus registri :
Bron-Spizaetus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


   Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

   Disable CMD=0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  
  Untuk mengembalikan option [Folder option] pada windows explore, hapus string 
registry:
    
   NoFolderOptions=dword:00000001
pada registry key

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 
  
  Hapus opsi pada menu [Startup] pada msconfig - jika masih ada
  
    
      NorBtok

      Smss

      Empty

  
  Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
    
      Buka [Windows Explorer]

      Klik [Control Panel]

      Klik 2 kali [Schedule Tasks]

      Hapus schedule yang dibuat oleh virus ex: AT1      
      Empty recycle bin
          
  
  
  10. Jika komputer tersebut terdapat sharing, pastikan semua folder yang anda 
sharing hanya limited access sharing
  Pada pilihan sharing:
  hanya"share this folder on network" yang anda centang
  Hilangkan centang pada "allow network users to change my files"
  
  11. Boot ke normal mode - kemudian check kembali apakah masih terdapat tanda2 
dari virus tersebut.
  
  Semoga berhasil
  
  Thanks,
  
  yuliusarya
  
  
Ron1N <[EMAIL PROTECTED]> wrote:          pakai deepfree bisa jebol juga yach 
partisi tsb?
  aztau kali aja deepfreeze dimatikan
  
  ron1n
  Pada tanggal 11/17/05, Operator Warnet <[EMAIL PROTECTED]> menulis:
  ---------------------cut---------------
  
  >
  > windows sudah saya protek pakai PC Cilin 2004 yg selalu saya update,
  > harddisk saya partisi 3 bagian , dimana drive C saya freeze pakai
  > deepfreeze. saya tidak tahu apakah ada orang yg jahil menyebarkan virus ini
  > ke seluruh pc client saya, atau dia masuk melalui internet & menyebar dengan
  > sendirinya melalui LAN, tapi saya dapat info warnet tetangga saya juga
  > terkena virus ini, kira2 antivirus apa yg bisa membasmi virus ini ya ? ada
  > rekan2 yg bisa membantu ? terima kasih sebelumnya.
  >
  > ---------------------------------
  >
  >
  
  
  [Non-text portions of this message have been removed]
  
  
  
            



----
Best Regards,

Yulius Aryakusumah
http://yuliusarya.blogs.friendster.com/my_blog/
                
---------------------------------
 Yahoo! FareChase - Search multiple travel sites in one click.  

[Non-text portions of this message have been removed]





------------------------ Yahoo! Groups Sponsor --------------------~--> 
Get fast access to your favorite Yahoo! Groups. Make Yahoo! your home page
http://us.click.yahoo.com/dpRU5A/wUILAA/yQLSAA/vbOolB/TM
--------------------------------------------------------------------~-> 

Official Web Site : http://www.awari.or.id
 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/asosiasi-warnet/

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/

Re: [asosiasi-warnet] need help : virus BRONTOK.A[10]

Kirim email ke