IT kntrku ngirim email masalah ini..... coba deh.... tapii klo' ada pertanyaan jgn tanya ke saya krn saya cuma meneruskan saja dan sayapun belum baca semuanya..... (butuh wkt.....biarngerti !) ======================= Bagi yang ingin langsung basmi virus, download file antivirusnya di sini <http://www.ahlul.web.ugm.ac.id/me/index.php?case=download> , bagi yang ingin baca panduan cara pakai antivirusnya di sini <http://www.ahlul.web.ugm.ac.id/me/index.php?case=download>.
Bagi yang ingin semi-manual bersihinnya dan pingin tau apa itu Brontok, baca dulu artikel di bawah ini: Pengenalan Virus Brontok 1. Virus ini menyamar sebagai sub folder master contoh : Folder Lucu maka virus ini akan menyamar sebagai sub folder Lucu. 2. Bedakan folder dengan virus, Jika itu bener folder maka folder tersebut tidak memiliki size, jika itu virus maka folder tersebut memiliki size, terus ada extention misal : Lucu.exe dan mempunyai size yang sama 42 KB pada setiap folder (virus). Jangan sekali2x meng-compile (Doble klik folder tersebut), jika itu di lakukan maka akan masuk ke register dan membuat sistem kerja windows mengalami gangguan. 3. Ciri komputer yang sudah terkena virus - Di windows explorer menu Tools -> Folder Options tidak muncul. - Jika menjalankan file/perintah tertentu seperti "cmd" maka komputer akan Restart sendiri - Tidak bisa masuk ke regedit atau msconfig Pencegahan awal jangan sharing Folder dan jangan asal double klik folder.!! (sumber: v3 boleh.com) Rontokbro menyerbu Indonesia Virus Lokal Kelas Dunia yang memiliki SMTP sendiri Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus "kelas 2" karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang digunakan Tabloid PC Plus dan mayoritas menyebar di Indonesia atau Asia Tenggara. Maka kini para pengguna internet Indonesia dan di belahan dunia lain seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama W32/[EMAIL PROTECTED], sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya. Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan "icon" dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai "mengerjai" Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir. Mengapa Rontokbro Tentunya anda bertanya, kok namanya susah amat Rontokbro ? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? . Atau apa alasan lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen. Detail Email yang mengandung virus Rontokbro Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut : From: [Dipalsukan] Subject: kosong Message: BRONTOK.A [ By: HVM**-Jowo*** #** Community ] -- Hentikan kebobrokan di negeri ini -- 1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN") 2. Stop Free Sex, Absorsi, & Prostitusi 3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!! -- KIAMAT SUDAH DEKAT -- Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM**-Jowo*** #** Community-- Attachment: Kangen.exe Uniknya, rontokbro akan menghindari pengiriman email ke alamat-alamat dengan domain sebagai berikut : PLASA TELKOM INDO .CO.ID .GO.ID .MIL.ID .SCH.ID .NET.ID .OR.ID .AC.ID .WEB.ID .WAR.NET.ID ASTAGA GAUL BOLEH EMAILKU SATU Apa alasan di balik aksinya ini ? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup "pede" dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar Indonesia mencatat "prestasi" yang cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain. Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32/[EMAIL PROTECTED] dan W32/[EMAIL PROTECTED] saja. Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/[EMAIL PROTECTED] Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi. Komputer restart terus menerus Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro ? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama : .. .@ @. .ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN ALERT ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL CRACK DARK DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALL FOO@ FUCK FUJITSU GATEWAY GOOGLE GRISOFT GROUP HACK HAURI HIDDEN HP. IBM. INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS LOTUS MACRO MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL NETSCAPE NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT PROXY RECIPIENT REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT HOST SEARCH R SECURE SECURITY SEKUR SENIOR SERVER SERVICE SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE SPAM SPERSKY SUN. SUPPORT SYBARI SYMANTEC SYSTEM CONFIGURATION TEST TREND TRUST UPDATE UTILITY VAKSIN VIRUS W3. WINDOWS SECURITY.VBS WWW XEROX XXX YOUR ZDNET ZEND ZOMBIE dimana tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi. Selain itu Rontokbro juga berusaha menyerang website israel.gov.il playboy.com dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh /down. Bagaimana kalau saya sudah terinfeksi Rontokbro Pembersihan Rontokbro sebaiknya dilakukan melalui "safe mode" karena jika mencoba pembersihan melalui mode "normal" komputer akan langsung restart begitu komputer dijalankan. 1. Lakukan pembersihan melalui "safe mode" 2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke <http://www.norman.com/Download/Trial_versions/en-us> (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/[EMAIL PROTECTED] dan variannya 3. Untuk mengaktifkan kembali fungsi registry editor hapus value: * DisableRegistryTools =1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat : <http://www.spywareinfo.com/~merijn/downloads.html> Setelah dijalankan, cari option HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked] Hapus registri : * Bron-Spizaetus HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run * Tok-Cirrhatus HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run * Disable CMD=0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry: * NoFolderOptions=dword:00000001 pada registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 4. Hapus opsi pada menu [Startup] pada msconfig o NorBtok o Smss o Empty Hapus Schedule Task yang dibuat oleh W32/RontokBro.B o Buka [Windows Explorer] o Klik [Control Panel] o Klik 2 kali [Schedule Tasks] (sumber: pt. vaksincom) Last edited by ketok on Sun Dec 25, 2005 8:11 pm; edited 20 times in total <http://www.ketok.com/forum/viewtopic.php?p=73#73>Posted: Mon Dec 05, 2005 6:26 am Post subject: <http://www.ketok.com/forum/posting.php?mode=quote&p=73> _____ Di atas adalah tampilan kalau anda terkena Brontok (Rontokbro) Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan. tapi kalau anda ingin manual, berikut adalah cara membersihkan Rontokbro: 1. Lakukan pembersihan melalui "safe mode" 2. Matikan proses virus Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika Anda menjalankan tools ini, kami sarankan untuk menggunakan tools lain seperti PROCEXP.EXE dapat didownload di situs <http://www.sysinternals.com/Utilities/ProcessExplorer.html.> Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill process tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti - smss.exe - services.exe - winlogon.exe Atau Anda juga dapat melakukan langkah berikut: a. Restart komputer dan masuk dalam mode "safe mode with command prompt", dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi "safe mode" dan komputer tidak melakukan restart selama proses pembersihan. b. Setelah masuk mode "Command Prompt" tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter. c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode") d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install] e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig ditabulasi [startup) f. Agar "Folder option" pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b) g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembunyikan (lakukan perubahan ini pada "folder option", lihat point [5], selanjutnya ikuti petunjuk pembersihan Rontokbro seperti yang ada pada point (6-9) 3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus: [Version] Signature="$Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe" [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus 4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posisi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe) 5. Tampilkan file yang disembunyikan, lakukan perubahan pada [folder Option] 6. Hapus file yang dibuat oleh Rontokbro - C:\Windows dengan, nama file eksplorasi.exe (hidden) - C:\windows\shellnew, dengan nama sempalong.exe(hidden) - C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden) - C:\Windows\pss, dengan nama file [Empty.pifStartup] - C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file: - Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka -- Loc.Mail.Bron.Tok -- Ok-SendMail-Bron-tok -- csrss.exe -- inetinfo.exe -- Kosong.Bron.Tok.txt -- lsass.exe -- NetMailTmp.bin -- services.exe -- smss.exe -- Update.3.Bron.Tok.bin -- winlogon.exe -- smss.exe 7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause] 8. Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks]. 9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [search] - Klik [Start] - Klik [Search], kemudian klik [For Files or Folders] - Kemudian pilih [All files or Folders] - Klik option [What size is it ?] - Kemudian pilih option [Specify Size (in Kb)] - Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search] - Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE. 10. Untuk pembersihan lebih cepat sebaiknya Anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini dengan baik. Kalau cara di atas kurang jelas atau detil, anda bisa lihat manual yang lebih komplit di sini <http://www.vaksin.com/remove_rontokbro_n.htm> Tips terhindar dari serangan virus lokal: 1. Jangan sembarangan dalam melakukan pertukaran data melalui disket/usb 2. Pastikan disket/USB Flash Drive bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan. 3. Kenali jenis file yang akan dijalankan 4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan. 5. Rajin mengikuti perkembangan virus 6. Install antivirus yang mempunyai dukungan lokal dan update otomatis Back to top <http://www.ketok.com/forum/viewtopic.php?p=58#top#top> Salam, ~ Umminya Abi n Farras ~ http://www.babiesonline.com/babies/a/abifarras > -----Original Message----- > From: hera suroso [SMTP:[EMAIL PROTECTED] > Sent: Wednesday, January 18, 2006 12:59 PM > To: balita-anda@balita-anda.com > Subject: Re: [balita-anda] Virus BrontokRe: [balita-anda] (Tolong dong) > (OOT) kenapa PC tiba2 lemot..?? > > iya pak, usb saya juga kena virus brontok ini, apesnya pas lagi mau ngajar, > eh tiba2 file materi kuliah yang mau diajar tiba2 gak ada isinya, hiks :( > trus di dalem folder ada folder2 duplikat yang ternyata isinya virus.. > kl kata murid2 saya, di laptop kampus emang udah bercokol virus ini, mereka > juga banyak yang jadi korban soalnya, lewat usb :-p > katanya bisa disembuhin pake mcafee yang terbaru.. blon coba siy.. di rumah > juga adanya symantec. > > > On 1/18/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > > > Terima kasih pak, n juga bapaks dan ibus lainnya yang udh kasih saran > > mengenai kasus PC saya ini. > > > > Kayaknya sih emang kena Brontok neh. Kemaren saya cek di RUN terus ketik > > regedit PC saya langsung reboot. Terus coba lagi ctrl alt del trus klik > > performance, CPU usagenya ada tulisan 100%. > > > > Sorenya saya coba2 googling mengenai virus ini.Ketemu downloadan dari > > vaksin.com. Tapi begitu diklik website ini, websitenya gak bisa tampil. > > Terus ada saran ambil antivirus di antivir.com, krn downlodnya lebih > > praktis > > katanya, tapi pas saya klik downloadnya, komputer langsung reboot > > lagi. Ada > > saran juga pakai anti virus lokal. Kebetulan dapet via googling juga. > > Hasilnya sama, pas saya klik Pc saya langsung rebooot (restart). Akhirnya > > saya tinggal pulang. (Oia.., di PC saya yg udh ada antivirusnya yg > > Symantec > > punya) > > > > Pagi ini saya nyalain kayaknya gak terlalu lemot. Saya cek ctrl alt del > > performancenya, CPU usagenya gak 100% lagi, tapi keap kelip antara 16 > > sampe > > 65%. > > > > Kenapa ya..?. Apa virus brontok ini kerjanya gak kontinyu..?. > > > > Ada saran lain kah untuk membantai virus ini..??? > > > > Maaf via jarum, barangkali ada yg punya pengalaman ama virus ini, atau ada > > yg senasib ama saya, hiks. > > > > Txs n rgrd > > ----- Original Message ----- > > From: "Rahaditomo Muktiwibowo" <[EMAIL PROTECTED]> > > To: <balita-anda@balita-anda.com> > > Sent: Tuesday, January 17, 2006 2:31 PM > > Subject: RE: [balita-anda] (Tolong dong) (OOT) kenapa PC tiba2 lemot..?? > > > > > > > Check dulu swap file settingnya (virtual memory), bisa juga karena sudah > > > tidak ada free space yang cukup (HDD Free Space) untuk buat swap file > > saat > > > buka aplikasi. > > > > > > > > > > > > > >