Karena Onno yang minta, dan karena Bandung dan Warnet yang menjadi korban Rontokbro, maka pertamakali informasi ini kami upload ke milis Asosiasi Warnet :) sebelum ke milis vaksin sendiri. Moga-moga gua ngga di banned lagi seperti dulu :P.
PS : Tulisan ini merupakan Copyright dari Vaksincom ditulis oleh Vaksinis (teknisi Vaksincom) AJT, silahkan disebarluaskan tetapi mohon apresiasinya untuk menyebutkan sumber informasi Vaksincom. Untuk informasi lebih lanjut atau ada pertanyaan silahkan ke http://forum.vaksin.com sekalian jadi tidak usah tanyakan ulang kalau ada pertanyaan yang sama dan sudah ada jawabannya. Kalau bisa untuk Rontokbro N, harusnya untuk Rontokbro.A juga bisa, kalau tidak bisa mohon bantuan rekan-rekan warnet juga sharingnya sehingga kami bisa kompilasi jadi satu tabel removal rontokbro A - N seperti tabel membasmi Kangen A - I http://vaksin.com/remove_all_kangen.htm Salam, Alfons Here is the solution : How to remove Rontokbro.N Virus lokal yang aktif di mode "safe mode" Dewasa ini penyebaran virus lokal sudah semakin pesat, merekapun berlomba-lomba dalam membuat suatu virus sehingga varian-varian barupun bermunculan dengan sedikit modifikasi pada script yang mereka buat jadilah varian baru yang siap menyerang siapa saja dan kapan saja, walau media penyebaran yang digunakan masih sederhana tetapi terbukti masih efektif hal ini ditunjang dengan semakin banyaknya user yang menggunakan media disket/USB. USB kini makin digemari dikalangan pengguna komputer karena mudah dibawa dan mempunyai kapasitas yang lebih besar dari pada disket serta mempunyai ukuran yang kecil, dengan adanya trend seperti ini rupanya dimanfaatkan oleh sebagian kecil orang sebagai media yang cocok dan mudah untuk menyebarkan virus yang mereka buat, maka lahirlah virus-virus lokal yang kita kenal sekarang ini. Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi "momok" dalam beberapa bulan yang lalu, walaupun sebagian besar antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal. Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi yaitu rontokbro, kangen dan fawn. Tetapi dari 3 jinis virus tersebut hanya rontokbro yang mampu memberikan kerugian psikologi yang cukup besar dibandingkan dengan yang virus lokal yang lain. Dengan up-date terbaru antivirus Norman sudah dapat mengenali virus ini dengan baik. Mengapa rontokbro ? Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus sasser/blaster, bedanya komputer yang terinfeksi rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak menggunakan celah keamanan seperti yang dilakukan oleh sasser/blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelabihan dari virus ini dimana walaupun komputer dalam posisi "safe mode" komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket killbox atau HijeckThis, dimana kita tahu jika komputer dijalankan dalam mode "safe mode" virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan rontokbro suatu kemajuan yang luar biasa rupanya team pembuat rontobro sudah mengetahui titik kelemahan yang ada pada mode "safe mode", lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak? Berdasarkan pemantauan yang dilakukan oleh vaksincom (www.vaksin.com) banyak user yang terinfeksi virus rontokbro, ini dibuktikan dengan banyaknya user yang berkonsultasi dengan vaksincom baik melalui email, telepon maupun forum vaksin (vorum.vaksin.com) dari sekian pengaduan yang ada sebagian besar mengeluhkan komputer mereka terinfeksi virus rontokbro varian N dimana virus ini akan menyebabkan komputer restart walau dalam posisi "safe mode" sekalipun, oleh karena itu team vaksincom mencoba untuk memberikan sedikit trik dan tips yang dapat digunakan untuk mengatasi virus rontokbro apalagi bagi mereka yang menginstal antivirus yang belum dapat mengenali varian ini. Sebelum melangkah ke masalah bagaimana cara pembersihan rontokbro ada baiknya mengetahui secara umum apa yang dilakukan oleh rontobro. File yang terinfeksi Rontobro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuat beberapa file yaitu . C:\Windows dengan nama file eksplorasi.exe (hidden) . C:\Windows\shellnew dengan nama sempalong.exe (hidden) . C:\WINDOWS\system32 dengan nama %username"s Setting.scr (hidden) . C:\Documents and Settings\%user%\Local Settings\Application Data dengan nana file - Bron.tok-x-y, dimana x dan y menunukan angka - Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari komputer yang terinfeksi - Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim - csrss.exe - inetinfo.exe - Kosong.Bron.Tok.txt - lsass.exe - NetMailTmp.bin - services.exe - smss.exe - Update.3.Bron.Tok.bin - winlogon.exe . C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama file o Empty . C:\Documents and settings\%Users%\Templates o Brengkolang.com . Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri o Icon yang digunakan berupa Folder o Ukuran file 42 Kb o Ekstension .EXE Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah " PAUSE" Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa registry key yaitu: . Bron-Spizaetus HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run . Tok-Cirrhatus HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run . Shell dengan value Explorer.exe "C:\Windows\Eksplorasi.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, Disable Registry editor Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan "mereka" diantaranya fungsi registry editor dengan menambahkan sebuah registry key: . DisableRegistryTools =1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Jika fungsi registry editor dijalankan maka akan muncul pesan error: . DisableCMD Pada registry HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig. . Sempalong . Smss . Empty Menyembunyikan Folder Option Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value : . "NoFolderOptions"=dword:00000001 pada registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore r Rontonbrojuga akan membuat task schedule pada windows dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori: . C:\Documents and Settings\%Users%\Templates Restart Komputer Otomatis Salah satu kelebihdan yang dimiliki oleh rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena rontokbro tidak menggunakan celah keamanan seperti yang biasa digunakan oleh virus sasser atau Blaster. Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode "safe mode" walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. Rontokbro akan mengambil alamat email pada semua file yang mengandung ext. . .asp . .cfm . .csv . .doc . .eml . .html . .php . .txt . .wab Jika Anda menerima email dengan karakteristik berikut dan terdapat atachment Kangen.exe, sebaiknya HAPUS file tersebut ---------------------------------------------------------------------------- ----------------------------------------------- From: [Dipalsukan] Subject: kosong Message: BRONTOK.A [ By: HVM31-Jowobot #VM Community ] -- Hentikan kebobrokan di negeri ini -- 1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN") 2. Stop Free Sex, Absorsi, & Prostitusi 3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!! -- KIAMAT SUDAH DEKAT -- Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM31-Jowobot #VM Community-- Attachment: Kangen.exe ---------------------------------------------------------------------------- ----------------------------------------------- Selain menyebar melaui email, rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri: . Icon menyerupai Folder . Ukuran 42 Kb . Ext. EXE Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs XXX seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Cara membersihkan Rontokbro 1. Lakukan pembersihan melalui "safe mode" 2. Matikan proses virus Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs http://www.sysinternals.com/Utilities/ProcessExplorer.html Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill prosess tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti - smss.exe - services.exe - winlogon.exe Catatan: Atau Anda juga dapat melakukan langkah berikut: a. Restart komputer dan masuk dalam mode "safe mode with command prompt", dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus rontokbro tidak aktif pada posisi "safe mode" dan komputer tidak melakukan restart selama proses pembersihan. b. Setelah masuk mode "Command Prompt" tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter. c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode") d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install] e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup) f. Agar "Folder option" pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b) g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan rontokbro seperti yang ada pda point (6-9) 3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus [Version] Signature="$Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryToo ls HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus 4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posiosi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe) 5. Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option] 6. Hapus file yang dibuat oleh rontokbro - C:\Windows dengan, nama file eksplorasi.exe (hidden) - C:\windows\shellnew, dengan nama sempalong.exe(hidden) - C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden) - C:\Windows\pss, dengan nama file [Empty.pifStartup] - C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file - Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka - Loc.Mail.Bron.Tok - Ok-SendMail-Bron-tok - csrss.exe - inetinfo.exe - Kosong.Bron.Tok.txt - lsass.exe - NetMailTmp.bin - services.exe - smss.exe - Update.3.Bron.Tok.bin - winlogon.exe - smss.exe 7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause] 8. Hapus scheduled tasks yang dibuat oleh rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks]. 9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [serach] . Klik [Start] . Klik [Search], kemudian klik [For Files or Folders] . Kemudian pilih [All files or Folders] . Klik option [What size is it ?] . Kemudian pilih option [Specify Size (in Kb)] . Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search] . Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE, seperti gambar dibawah ini: 9. Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang sudah dapat mengenali rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini engan baik. Tips Berikut ada beberapa tips dan trik yang dapat digunakan terhindar dari serangan virus lokal 1. Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb 2. Patikan disket/Usb bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan. 3. Kenali jensi file yang akan dijalankan 4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan. 5. Rajin mengikuti perkembangan virus 6. Install antivirus yang mempunyai dukungan support lokal dan up-date otomatis Salam, Alfons ------------------------ Yahoo! Groups Sponsor --------------------~--> Get fast access to your favorite Yahoo! Groups. Make Yahoo! your home page http://us.click.yahoo.com/dpRU5A/wUILAA/yQLSAA/vbOolB/TM --------------------------------------------------------------------~-> Official Web Site : http://www.awari.or.id Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/asosiasi-warnet/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/
