Ada cara yg lebih cepat yaitu dengan download dua aplikasi berikut: - unhookexec.inf di http://securityresponse.symantec.com/avcenter/UnHookExec.inf - http://www.sysinternals.com/Utilities/ProcessExplorer.html
detailnya : http://www.detikinet.com/index.php/detik.read/tahun/2005/bulan/11/tgl /20/time/103736/idnews/482150/idkanal/327 --- In ITCENTER@yahoogroups.com, "Seno Handoro" <[EMAIL PROTECTED]> wrote: > > Ini artikel yang Saya dapet dapat Forum tetangga sebelah yng Khusus ttg > Security. masukkan dari Saudara dengan alamat E-mail > [EMAIL PROTECTED] > > Maaf saya hanya mau sharing sedikit artikel yg lumayan bagus tentang virus > > "RONTOKBRO" mungkin bisa anda sebarkan ke yang membutuhkannya. > > Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui > attachment email (email virus). > > Nama lain virus: brorontok, Rontokbro, Brontok.. > > > Virus ini kira2 pertama kali menyebar di bulan September 2005,dibuat oleh > > orang Indonesia karena signature email nya berbahasa Indonesia dan juga saya > melihat isi virus dalam binari dan dan menemukan > > nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia > seperti keluarDOng(), dsb... > > Alasan saya menulis artikel ini adalah karena banyaknya teman- teman saya > yang terkena virus ini dan sampai artikel ini dibuat belum ada Antivirus > yang dapat mendeteksi virus ini. (it's 4 u guys.. :-) > > > > ========================================================== > Langkah-langkah membersihkan komputer dari virus Barontok: > ========================================================== > > (Untuk win 95, 98, ME) > - Masuk ke safe mode: Reboot lalu setelahh muncul tampilan bios > tekan Ctrl, pilih Safe mode dan tekan enter > - Lanjut langsung mulai dari langkah 5 > > (Untuk windows ME dan XP) > Matikan System Restore Windows > Start->Settings->Control panel->System atau > Start->Control PAnel->System > > pada System restore tab... pilih opsi "Turn off System Restore" > > > (Untuk Win 2000, XP Home/Pro, Server 2003) > > 1. Reboot dan masuk ke safe mode. > ** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ad > pilihan: Safe mode, Normal,.... pilih safe mode lalu tekan enter > > 2. Setelah itu masuk windows dengan login administrator atau user lain yang > mempunyai auth sebagai administrator, > > 3. Buat User account baru DENGAN account type: Computer Administrator > lalu logoff dan login dengan account yang baru dibuat. > > > ------------------------------------------ > Menghilangkan autostart virus di registry > ------------------------------------------ > > 4. Buka regedit: Start menu->Run->Regedit.exe lalu tekan enter > Di panel kiri pilih key: > HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run > lalu di panel kanan, hapus key: > Bron-Spizaetus = "........" > Di panel kiri pilih key: > HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run > lalu di panel kanan, hapus key: > Tok-Cirrhatus = "......" > > ** Catatan: > Jika regedit tidak dapat dibuka (muncul pesan error).. ini merupakan > salah satu akibat virus barontok. > Untuk itu saya telah membuat file untuk mengatasi masalah tsb: > > Download file PatchRegKey.inf (600 Bytes) di : > > http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf > > atau > > http://www.geocities.com/aquata1ne/PatchRegKey.inf > > Setelah di download, klik kanan file tsb lalu pilih "Install.." lalu > lanjutkan langkah 4. > > ------------------------------------------------ > Menghilangkan autostart virus di scheduled task > ------------------------------------------------ > > 5. Buka Secheduled Task di Control Panel: > Start->Settings->Control Panel->Scheduled Task lalu tekan enter > > Hapus task dengan nama "At1" atau apapun yang berhubungan dengan virus. > Tips: Klik kanan task->properties, lalu lihat isi properties dan jika > ad isi command yang mencurigakan contoh: BArontok.com , dsb.. hapus > task tersebut. > > --------------------------------------------------------- > Cari dan Hapus file-file virus di seluruh drive komputer > --------------------------------------------------------- > > 6. Aktifkan opsi Show hidden Files dan Ekstensi: > Start->Settings->Control panel atau > Start->Control Panel > > Klik Folder Options dan pada Tab view aktifkan opsi: > > 1. Show hidden files&Folders > > dan matikan opsi > > 2. Hide Extensions for known file types > 3. Hide Protected Operating System > > 7. Gunakan Search File Windows: > Start->Search lalu tekan enter > > Cari di seluruh drive windows yang ad: C,D, .... > > pada input Search for files or folders names masukkan: > > *.exe > lalu pada search options pilih opsi Range Size-> At most: 81 Kb dan > pada Advanced Options pilih opsi Search system folders, > search hidden files&folders, search subfolders > pilihan lain biarkan kosong > > Lalu klik search now.. > > Pada hasil pencarian di panel kanan hapus semua file yang: > 1. berukuran TEPAT 80 kb DAN > 2. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN > 3. File nya memiliki icon folder/direktori windows > > ** perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas > dan BUKAN yang memenuhi salah satu saja. > > (File yang sering ditemukan: Barontok.com, ElnorB.exe ,cari file ini) > > * Tips: Sort hasil pencarian berdasarkan size untuk memudahkan > penghapusan > > * Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman > dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb), > dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file > satu2 secara manual :-p > > ** Sorry, i don't have time to write the removal program now > (cuz too busy with my fuckin' study) maybe next time ;-) > > 7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat > > ------------- > Finishing :-p > ------------- > > 8. Jika ada, Hapus semua shortcut virus Startup Menu di > setiap account profile: > C:/Document Settings/<nama_profile/Start Menu/Programs/Startup > > ** Saran: jika memungkinkan misal pada komputer pribadi dan bukan > multi user, hapus user account selain user account > yang dibuat pada langkah 3 di atas (misal:Administrator,...). > > 9. Reboot dan masuk windows seperti biasa. > > Catatan: > Cara ini sudah BERHASIL diterapkan di banyak komputer > (pastikan Anda sudah mengikuti semua langkah di atas) > > Komentar,saran,pertanyaan (I don't need your money :-p) > harap di kirim ke email saya: > > --- > END > --- > > To Virus Writer...!!!! > I think u're good enough in windows environment (and also > our nation problems-> as your political signature), > but still u SUCK!!, u know why: > First: U use visual basic to write program (yeaah..i know it) > (basic is ridiculous language.. it sucks!!) > 2nd : Your virus is too weak, too many similarity > with other previous virus. Write better codes, guy.. > 3rd : U use microsoft products to write codes.. > (they don't even can truly find good algorithm, > they only buy or steal it) > last : Pathetic... u can't solve our nation problems with > your fucking code. > Get a real life, man... > > Semoga Membantu! > > > > > > > ----- Original Message ----- > From: "Antivirus Administrator" <[EMAIL PROTECTED]> > To: <ITCENTER@yahoogroups.com> > Sent: Tuesday, November 29, 2005 2:35 PM > Subject: Re: [ITCENTER] Rontokbro LAgi > > > > Hehehe sini yee gwe bisikin... > > > > Coba loe patch selengkap"nya komputer elo trus disable dulu anti virus elo > > udah tuh jalanin file yang ada diattachment berikut... > > buktikan klo patch yang ente banggakan bisa memblcok ini file... File ada > > di > > attachment.... catatan ext txt rubah ke zip > > > > Salam sayang. selalu... > > > > member yang lain harap jangan dibuka ini file, cukup Om Purwanto aja yang > > buka hehehhehe > > > > > > > > On 11/28/05, [EMAIL PROTECTED] < > > [EMAIL PROTECTED]> wrote: > >> > >> Bener lagi tuh bung Albert.......... > >> > >> Memang yang paling penting adalah patchesnya yang terupdate terus, dan > >> software antivirus hanyalah pelengkap saja... > >> > >> regards, > >> > >> > >> > >> > >> > >> "Albert Siagian" <[EMAIL PROTECTED]> > >> Sent by: ITCENTER@yahoogroups.com > >> 11/28/2005 03:50 PM > >> Please respond to > >> ITCENTER@yahoogroups.com > >> > >> > >> To > >> <ITCENTER@yahoogroups.com> > >> cc > >> > >> Subject > >> RE: [ITCENTER] Rontokbro LAgi > >> > >> > >> > >> > >> > >> > >> > >> -----Original Message----- > >> From: ITCENTER@yahoogroups.com [mailto:[EMAIL PROTECTED] On > >> Behalf > >> Of Antivirus Administrator > >> Sent: Monday, November 28, 2005 2:09 PM > >> To: ITCENTER@yahoogroups.com > >> Subject: Re: [ITCENTER] Rontokbro LAgi > >> > >> FRENZ sekarang hampir semua antivirus sudah bisa menghapus ini virus... > >> so > >> what gitu loh.... masih mempermasalah patch ..... > >> klo terinfeksi virus ini cukup update antivirus trus scan,,,, selesai > >> urusannya.... antivirus seperti symantec coorporate/ personal, mc afee, > >> Norman, Sophos, eTrust antivirus, TrendMicro. PC Cilin, dll udah bisa > >> ngehapus virus ini.... > >> Ga usah mempermasalahkan patch lagi....yang juga namanya virus bisa > >> menyebar > >> pada banyak media tidak hanya lewat email atau internet.... lewat media > >> storage external juga bisa.... > >> > >> OK FRENZ..... salam, > >> > >> BenQ. > >> > >> > >> **************** > >> Hhmm....saya berani terbalik tuh. Pasang patch, anti-virus dilepas. > >> Justru > >> AV itu hanya pelengkap, yang penting patchesnya. > >> *************** > >> > >> Salam > >> Albert > >> > >> > >> > >> -- > >> www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia > >> Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] > >> :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: > >> ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## > >> $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ > >> > >> [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id > >> > >> > >> Yahoo! Groups Links > >> > >> > >> > >> > >> > >> > >> > >> > >> _____________________________________________________________________ _ > >> This email has been scanned by the MessageLabs Email Security System. > >> For more information please visit http://www.messagelabs.com/email > >> _____________________________________________________________________ _ > >> > >> > >> > >> [Non-text portions of this message have been removed] > >> > >> > >> > >> > >> > >> > >> -- > >> www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia > >> Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] > >> :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: > >> ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## > >> $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ > >> > >> [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id > >> > >> > >> Yahoo! Groups Links > >> > >> > >> > >> > >> > >> > >> > > > > > > -- > > Salam, > > Supenri or just call me BenQ.... > > Spesial penghancur VIRUS... > > contact: [EMAIL PROTECTED] > > or: [EMAIL PROTECTED] > > > > ---------- > > > > PK > > > > > > [Non-text portions of this message have been removed] > > > > > > > > > > > > -- > > www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia > > Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] > > :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: > > ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## > > $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ > > > > [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id > > > > > > Yahoo! Groups Links > > > > > > > > > > > > > > > > > > -- > > No virus found in this incoming message. > > Checked by AVG Free Edition. > > Version: 7.1.362 / Virus Database: 267.13.5/183 - Release Date: 11/25/2005 > > > > > -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/