Ato tips Dibawah ini mungki agak ruwet tapi mengasyikkan en agak mirip bisa dijadikan tambahan info en gak pusing-pusing ngurusin virus yang namanya brontok dari dulu : Tips berikut sangat berguna bagi rekan-rekan yang mengalami masalah dengan virus rontokbro
============================================== Cara membersihkan Rontokbro: 1. Lakukan pembersihan melalui "safe mode" 2. Matikan proses virus Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika Anda menjalankan tools ini, kami sarankan untuk menggunakan tools lain seperti PROCEXP.EXE dapat didownload di situs http://www.sysinternals.com/Utilities/ProcessExplorer.html. Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill process tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti - smss.exe - services.exe - winlogon.exe Atau Anda juga dapat melakukan langkah berikut: a. Restart komputer dan masuk dalam mode "safe mode with command prompt", dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi "safe mode" dan komputer tidak melakukan restart selama proses pembersihan. b. Setelah masuk mode "Command Prompt" tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter. c. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode") d. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install] e. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig ditabulasi [startup) f. Agar "Folder option" pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b) g. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembunyikan (lakukan perubahan ini pada "folder option", lihat point [5], selanjutnya ikuti petunjuk pembersihan Rontokbro seperti yang ada pada point (6-9) 3. Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus: [Version] Signature="$Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe" [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryToo ls HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus 4. Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posisi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe) 5. Tampilkan file yang disembunyikan, lakukan perubahan pada [folder Option] 6. Hapus file yang dibuat oleh Rontokbro - C:\Windows dengan, nama file eksplorasi.exe (hidden) - C:\windows\shellnew, dengan nama sempalong.exe(hidden) - C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden) - C:\Windows\pss, dengan nama file [Empty.pifStartup] - C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file: - Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka -- Loc.Mail.Bron.Tok -- Ok-SendMail-Bron-tok -- csrss.exe -- inetinfo.exe -- Kosong.Bron.Tok.txt -- lsass.exe -- NetMailTmp.bin -- services.exe -- smss.exe -- Update.3.Bron.Tok.bin -- winlogon.exe -- smss.exe 7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause] 8. Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks]. 9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [search] - Klik [Start] - Klik [Search], kemudian klik [For Files or Folders] - Kemudian pilih [All files or Folders] - Klik option [What size is it ?] - Kemudian pilih option [Specify Size (in Kb)] - Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search] - Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE. 10. Untuk pembersihan lebih cepat sebaiknya Anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini engan baik. Tips terhindar dari serangan virus lokal: 1. Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb 2. Pastikan disket/USB Flash Drive bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan. 3. Kenali jenis file yang akan dijalankan 4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan. 5. Rajin mengikuti perkembangan virus 6. Install antivirus yang mempunyai dukungan lokal dan update otomatis -----Pesan Asli----- Dari: ITCENTER@yahoogroups.com [mailto:[EMAIL PROTECTED] Atas nama Agustia Lukman Terkirim: 18 Desember 2005 21:22 Ke: ITCENTER@yahoogroups.com Subjek: Balasan: [ITCENTER] cara manual ngapus virus brontok kalo emang flash disknya yang cuman kena brontok, mending di format ulang aja.., tapi kalo cara hapusin brontoknya, mungkin cara ini bisa membantu : 1. Lakukan pembersihan melalui "safe mode" 2. Scan komputer dengan Norman Virus Control update terakhir. Bagi anda yang belum neggunakan Norman Virus Control, silahkan download ke http://www.norman.com/Download/Trial_versions/en-us (jangan lupa masukkan email anda yang valid untuk menerima License Trial) dan bersihkan semua file yang terdeteksi sebagai W32/[EMAIL PROTECTED] dan variannya 3. Untuk mengaktifkan kembali fungsi registry editor hapus value: DisableRegistryTools =1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat didownload dialamat :http://www.spywareinfo.com/~merijn/downloads.html Setelah dijalankan, cari option HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked] Gunakan HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro Hapus registri : Bron-Spizaetus HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Tok-Cirrhatus HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Disable CMD=0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry: NoFolderOptions=dword:00000001 pada registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore r 4.Hapus opsi pada menu [Startup] pada msconfig NorBtok Smss Empty Hapus Schedule Task yang dibuat oleh W32/RontokBro.B Buka [Windows Explorer] Klik [Control Panel] Klik 2 kali [Schedule Tasks Merdy Ali <[EMAIL PROTECTED]> menulis: gw punya laptop kena brontok dari flashdisk temen gw gimana sih cara ngapus nya?? [Non-text portions of this message have been removed] -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links __________________________________________________ Apakah Anda Yahoo!? Lelah menerima spam? Surat Yahoo! memiliki perlindungan terbaik terhadap spam http://id.mail.yahoo.com [Non-text portions of this message have been removed] -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.371 / Virus Database: 267.14.1/206 - Release Date: 12/16/2005 __________________________________________________ Apakah Anda Yahoo!? Lelah menerima spam? Surat Yahoo! memiliki perlindungan terbaik terhadap spam http://id.mail.yahoo.com -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/