Selamat pagi all..
Semoga artikel ini dapat bermanfaat bagi rekan-rekan semua
9 langkah jitu membasmi Rontokbro dan Mybro 23 April 2006
Mybro merupakan "evolusi" dari Rontokbro/Brontok yang dilengkapi
dengan berbagai kode-kode jahat yang teranyar dan tidak bisa dibersihkan
menggunakan metode pembersihan Rontokbro. Walaupun virus ini tidak merestart
komputer tetapi ia mempunyai cara lain untuk melumpuhkan setiap program yang
dirasa dapat menghambat penyebarannya. Dengan kemampuannya menyebar melalui
email dan melakukan up-date via internet (secara teoritis) memungkinkan virus
ini dapat menambah "amunisi" yang diperlukan dengan kata lain virus ini akan
mampu mengupdate dirinya dan tidak heran jika beberapa tools yang sebelumnya
bisa digunakan untuk mematikan file induk dari virus ini tidak akan berdaya
jika digunakan menghadapi yang akan baru. Satu hal yang mengkhawatirkan adalah
Mybro akan mencoba untuk merubah file "MSVBVM60.dll" yang berada pada direktori
C:\Windows\system32, sehinnga semua program yang dibuat menggunakan VB tidak
akan berfungsi dengan baik, tidak perduli apakah itu virus atau program non
virus.
Tetapi, kita tahu Mybro selalu belajar dari pengalaman dan mungkin saja
untuk varian sekarang hanya sebatas merubah tetapi untuk varian yang akan
datang Mybro juga bisa untuk menghapus flie tersebut, karena itu sebaiknya
anda melakukan backup file MSVBVM60.dll [untuk berjaga-jaga] dan install
antivirus yang mampu mengenail Mybro dan virus lokal lainnya dengan baik.
Ada satu trik, dimana meskipun file msvbvm60.dll diubah atau dihapus dari
direktori C:\Windows\system32, tetapi program/tools yang dibuat dengan VB akan
tetap berfungsi dan tidak terganggu. Hal ini bisa terjadi jika anda mengkopi
file msvbvm60.dll ke direktori C:\Windows, karena untuk Mybro varian sekarang
hanya akan merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32.
Sebelum anda membasmi Mybro, ada baiknya anda mengetahui karakteristik
dari Mybro sehingga anda dapat membersihkan dengan mudah.
Untuk masing-masing varian Mybro akan mempunyai ukuran file yang
berbeda-beda contohnya 43KB, 48 KB, 51 KB atau 54 KB.
Untuk mengelabui user Mybro juga akan menggunakan icon "folder" dari
setiap file yang terinfeksi. Jika diteliti lebih lanjut dari sekian banyak
virus Mybro yang menyebar sebenarnya mempunyai karakteristik yang sama walaupun
ada beberapa perbedaan untuk masing-masing varian seperti:
File induk yang dibuat oleh Mybro
Mybro akan membuat file induk untuk dijalankan pertama kali ketika
komputer dinyalakan, untuk nama file induk yang dibuat akan disesuaikan dengan
varian dari Mybro itu sendiri, tetapi ada beberapa file induk yang mempunyai
nama yang sama serta disimpan di direktori yang sama pula, walaupun memang
untuk beberapa varian Mybro kadang akan membuat beberapa file induk tambahan
yang akan disimpan didirektori berbeda.
Berikut beberapa file induk yang akan dibuat oleh Mybro, seperti:
a.. [C:\Windows]
- _default17832.pif
- j6178322.exe
- o4178327.exe
- cinderawasih-4178327.exe
- komodo-6178322.exe
a.. C:\Windows\xxyyyy, dimana xx menunjukan "huruf" dan yyyy
nenunjukan "angka" contohnya [C:\Windows\Ad22098] atau [C:\Windows\SY20118]
dengan nama file bervariasi, contohnya :
- qm10563.exe
- Ib9573.exe
a.. C:\Windows\System32\xyyyy, dimana x menunjukan "huruf" dan yyyy
menunjukan "angka".
Contohnya [C:\Windows\system32\s8787] atau [C:\Windows\system32\n8127]
dengan nama file sbb:
- Csrss.exe
- Lsass.exe
- Services.exe
- Winlogon.exe
- Smss.exe
- zh592115084y.exe atau Sv711917030r.exe [nama file bervariasi]
- m10563.exe atau B9573.exe [nama file bervariasi]
- C.bron.tok.txt
- Spread.mail.bro
- Spread.sent.Bro
a.. C:\Documents and Settings\%user%\Local Settings\Application Data
- jalak-932115015-bali.com
- dvYYYYYYYx, dimana YYYYYYY menunjukan "angka"
contohnya:
- xdv6211500x, berisi file:
a.. Yesbron.com
a.. C:\Windows\system32
- c_17832k.com
a.. C:\
- Baca Bro !!!.txt
String registri yang dibuat oleh Mybro
Sebagai penunjang agar file tersebut dapat dijalankan maka ia akan
membuat beberapa perubahan pada registry key contohnya:
a.. HKEY_CURRENT_USER\Software\Brontok
b..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- "Hidden" = "0"
- "HideFileExt" = "1"
- "ShowSuperHidden" = "0"
a.. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- %random% = C:\Windows\system32\xy\%file proses%.exe
Catatan:
- %random% menunjukan string value yang dibuat
- X menunjukan "huruf"
- Y menunjukan "angka"
- %File proses%.exe menunjukan file yang akan dijalankan
[bervariasi]
Contohnya:
- f3444Adm = C:\windows\system32\s8787\zh592115084y.exe
a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- %random% = C:\windows\%file proses%.exe
Contoh:
- A2733r = C:\windows\j6178322.exe
a..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- %random% = %UserProfile%\Local Settings\Application
Data\DVyyy0x\%file proses%.com
Catatan:
- yyy menunjukan "angka"
- %file proses%.exe menunjukan file yang akan dijalankan
Contoh:
- f3444Adm = C:\Documents and settings\administrator\Local
Settings\Application Data\Dv6211500x\yesbron.com
a..
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- %random% = C:\windows\%file proses%.exe
Contoh:
- A2733r = C:\Windows\_default17832.pif
a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
- Shell = Explorer.exe "C:\WINDOWS\o4178327.exe"
- Userinit = C:\Windows\system32\userinit.exe,
C:\WINDOWS\j6178322.exe
a..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools=1
Catatan:
Untuk string yang dibuat pada registry editor tersebut bervariasi
[berbeda-beda] tergantung varian rontokbro
Mybro aktif pada mode "safe mode" dan "safe mode with command prompt"
Sudah seperti tradisi bahwa Rontokbro akan tetap aktif walaupun komputer
berada pada mode "safe mode" dan "safe mode with command prompt" dengan membuat
string pada registry key:
a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
a.. Shell = explorer "C:\Windows\%file proses%.exe
b.. Userinit = C:\Windows\system32\userinit.exe, C:\Windows\%file
proses%.exe
Catatan:
%file proses%.exe menunjukan file yang akan dijalankan
Contoh:
a.. Shell = Explorer.exe "C:\WINDOWS\o4178327.exe"
b.. Userinit = C:\Windows\system32\userinit.exe,
C:\WINDOWS\j6178322.exe
a.. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
a.. AlternateShell= C_17832k.com
a.. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
a.. AlternateShell= C_17832k.com
a.. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
a.. AlternateShell= C_17832k.com
Catatan:
Untuk string yang dibuat di registry editor berbeda-beda [untuk
masing-masing varian] tetapi untuk lokasi penempatannya sama
Mybro akan mematikan program aplikasi tertentu jika dijalankan
Untuk mempermudah penyebaran dan mempertahankan dirinya Mybro akan
mencoba untuk mematikan beberapa program aplikasi yang berusaha dijalankan
dengan melihat caption text windows seperti:
a.. cmd.exe
b.. mmc.exe
c.. procexp.exe
d.. registry
e.. killbox
f.. hijack
g.. anti
h.. washer
i.. ertanto
j.. movzx
k.. regedit.exe
l.. msconfig.exe
m.. killbox.exe
n.. hijackthis.exe
o.. brontokwasher.exe
p.. scheduled task
q.. bitdef
a.. computer management
b.. group policy
c.. system configuration
d.. command prompt
e.. hijack
f.. sysinter
g.. aladdin
h.. kaspersky
i.. panda
j.. trend
k.. cillin
l.. grisoft
m.. mcaf
n.. avast
o.. norman
a.. symantec
b.. norton
c.. machine
d.. movzx
e.. rontox
f.. rontok
g.. kill
h.. washer
i.. remove
j.. anti
k.. virus
l.. bugil
m.. telanjang
n.. folder option
o.. cewe
Mybro tidak akan melakukan restart komputer jika menjalankan tools atau
program yang diblok olehnya walaupun demikian Mybro akan mematikan
tools/program yang diblok olehnya jika program tersebut berusaha dijalankan,
itulah salah satu yang membedakan antara Rontokbro dan Mybro, perbedaan lain
adalah dimana Mybro akan menampilkan pesan dibawah ini berupa DOS PROMPT yang
berisi "kritikan" terhadap pembuat virus Nobron maupun Romdil jika user mancoba
untuk menjalankan file Baca Bro !!!.txt yang berada didirektori C:\ OS,
perhatikan gambar 1 dan 2 berikut:
Gambar 1, Pesan moral Mybro
Gambar 2, Pesan dari Mybro untuk Nobron dan Romdil.
Pesan tersebut juga di tulis pada sebuah file dengan nama Baca Bro
!!!.txt, dimana file ini berada didrive C:\
Mybro membasmi virus Lokal
Untuk memperlancar aksinya virus ini juga akan mencoba untuk mematikan
beberapa virus lokal lain yang mencoba untuk menginfeksi komputer tersebut,
diantaranya Kangen, Decoy, Fawn, Nobron [Satria Merah], Pesin, riani-jangkaru
[tabaru] dan virus lokal lainnya bahkan mencoba untuk mematikan antivirus
seperti antivirus Norman, AVG dan Norton, hal ini dapat dilihat dari script
yang ditulis pada virus tersebut dimana ia akan mematikan setiap file yang
mempunyai string berikut:
a.. MsPatch
b.. LoadService
c.. LoadServices
d.. ccapp
e.. SymRun
f.. Security
g.. dkernel
h.. lExplorer
i.. iExplorer
j.. avgemc.exe
k.. ccapps.exe
l.. kangen.exe
m.. mspatch.exe
n.. syslove.exe
o.. sstray.exe
p.. untukmu.exe
q.. mcvsescn.exe
r.. poproxy.exe
s.. tskmgr.exe
t.. xpshare.exe
u.. riyani_jangkaru.exe
a.. systray.exe
b.. ashmaisv.exe
c.. aswupdsv.exe
d.. nvcoas.exe
e.. cclaw.exe
f.. njeeves.exe
g.. nipsvc.exe
h.. dkernel.exe
i.. iexplorer.exe
j.. lexplorer.exe
k.. update.exe
l.. vptray.exe
m.. opscan.exe
n.. nopdb.exe
o.. ccapp.exe
p.. ctfmon.exe
q.. services.com
r.. virus.exe
s.. sitinurhaliza.exe
t.. zlh.exe
u.. avgupsvc.exe
a.. diary.exe
b.. rundll32.exe
c.. fonts\tskmgr.exe
d.. Systray.exe
e.. LEXPLORER.exe
f.. IEXPLORER.exe
g.. winword.exe
h.. i75d2\dkernel.exe
i.. Alicia Keys.exe
j.. Mariana Renata.exe
k.. Dian sastro.exe
l.. foto administrator.exe
m.. AntiVirus StartUp.exe
n.. my heart
o.. romdil
p.. SysYuni.
q.. SysDiaz
r.. Sys_RomanticDevil.R
s.. SysRia
t.. Pluto
Seperti yang telah dijelaskan diawal, dimana virus W32/Mybro tidak dibuat
menggunakan Visual Basic. Rupanya Mybro cukup pandai pandai membaca situasi dan
cepat menyesuaikan dirinya dengan beralih menggunakan Bahasa C. Biasanya virus
lokal yang beredar kebanyakan dibuat menggunakan bahasa Visual Basic [termasuk
virus lokal yang sudah lebih dulu menyebar] maka untuk mencegah virus [yang
dibuat dengan VB] ia akan mengubah satu file dengan nama MSVBVM60.dll yang
berada didirektori C:\Windows\system32. Anda tentu tahu maksud dari W32/Mybro,
jadi virus yang dibuat oleh Visual Basic tidak akan jalan dan "sialnya" bukan
hanya virus saja yang tidak akan jalan tetapi juga semua program yang dibuat
menggunakan Visual Basic, cerdik bukan :-) dan sampai saat ini baru virus
W32/Mybro yang bisa melakukan hal tersebut. Dengan demikian pembuat virus lokal
akan berfikir 2 kali untuk membuat virus dengan menggunakan bahasa Visual
Basic, bagaimana reaksi dari pembuat virus lain ? Yang jelas tantangan ini
cukup berat karena menguasai suatu Bahasa Pemrograman tidak mudah dan
membutuhkan waktu (pengalaman) cukup lama bagi seorang programmer untuk mahir
dan memanfaatkan secara optimal kemampuan Bahasa Pemrograman secara optimal.
Media Penyebaran : Disket/USB/jaringan/Email
Untuk menyebarkan dirinya Mybro akan mengggunakan Disket/UFD/File sharing
dengan membuat duplikat berupa file di setiap folder dan sub folder pada
Disket/USB tersebut menggunakan icon FOLDER. Selain menyebar melalui
Disket/USB/File sharing, virus ini juga akan mencoba untuk menyebar melalui
email dengan terlebih dahulu akan mengambil semua alamat email yang ada
dikomputer yang terinfeksi, email yang dikirim biasanya akan mempunyai
ciri-ciri sbb:
Subject:
a.. My Photo on Paris
b.. Foto Liburanku di Bali
c.. My Best Photo
d.. Fotoku yg Paling Cantik
Message :
a.. This photo was taken from my vacation on Paris, last week.
Wishing you always remember me.
a.. Halo Sobat,
Ini fotoku saat liburan di Bali.
Semoga kamu jadi ingat aku terus.
Terima kasih,
a.. Aku lg iseng aja pengen kirim foto ke kamu.
Jangan lupain aku ya .
a.. Wishing you all the best.
Lampiran :
a.. Picture.zip
b.. Photo.zip
Perhatikan contoh email yang dikirim oleh Mybro (gambar 3) :
Gambar 3, Contoh email yang dikirimkan oleh Mybro
Mybro up-date layaknya antivirus
Seperti layaknya antivirus, Mybro juga akan melakukan up-date kesebuah
alamat URL tertentu yang sudah ditentukan hal ini dimaksudkan untuk
menyempurnakan program yang mereka buat dengan penambahan beberapa code
tertentu jadilah varian baru sehingga tidak mudah dikenali oleh vendor
antivirus.
Mybro juga akan membuat 2 Scheduled Task dengan nama [AT1 dan AT2] yang
akan dijalankan setiap hari pada jam 5.08 PM dan 11.03 PM, file yang akan
dijalankan adalah Jalak-932115015-bali.com yang berada di direktori
[C:\Documents and Settings\%user%\Local Settings\Application Data]
Blocking website situs antivirus disamakan dengan situs porno ?
Mybro akan mencoba melakukan blok terhadap beberapa website sekuriti dan
website porno. Tidak tahu apakah maksud Mybro menyamakan website antivirus
seperti Norman, Symantec dan Vaksincom dengan dengan website porno seperti
Playboy, Penthouse dan 17tahun.
Caranya adalah dengan merubah isi file "hosts" yang berada didirektori
[C:\Windows\system32], perhatikan gambar 4 berikut:
Gambar 4, Mybro berusaha untuk blok website antivrus maupun porn
Sebagai penutup, virus ini akan berusaha untuk membuat file pada setiap
folder sesuai dengan nama folder tersebut dengan ciri-ciri :
· Ukuran file bervariasi tergantung dari varian Mybro
· Ekstensi EXE
· Jenis file "application"
Sebagai informasi dimana setiap folder seharusnya "tidak" akan mempunyai
ukuran, dan akan mempunyai type sebagai "File Folder", lihat gambar 5
Gambar 5, Folder yang asli tidak memiliki ukuran dan Typenya adalah "File
Folder"
Untuk file yang dibuat oleh Rontokbro, setiap file yang menyerupai folder
akan mempunyai ukuran serta mempunyai type sebagai "Application", lihat gambar 6
Gambar 6, File Mybro yang memalsukan filder akan memiliki ukuran dan Type
adalah "Application"
9 cara efektif menghapus W32/Mybro
1. Putuskan koneksi komputer yang akan dibersihkan dari jaringan
dan internet.
2. Jika menggunakan windows ME/XP Matikan [System Restore] untuk
sementara selama proses pembersihan.
3. Sebaiknya lakukan pembersihan melalui "safe mode"
4. Matikan proses virus W32/Mybro yang sedang aktif di memori
Seperti yang kita ketahui, bahwa Mybro akan mencoba untuk mematikan
beberapa fungsi windows diantaranya [Task Manager] sehingga "user" merasa
kesulitan untuk mematikan file virus yang sedang aktif dimemori, ditambah lagi
virus ini akan tetap aktif walaupun pada mode "safe mode" dan "safe mode with
command prompt".
Anda dapat menggunakan beberapa tools freeware/shareware yang dapat
didownload di internet seperti: Iknown prosess dll, tetapi ingat !! Mybro dapat
saja memblok tools-tools terebut, jadi jika tools yang anda gunakan tidak
berguna sebaiknya cari tools lain yang dapat digunakan.
Sebagai informasi Mybro akan mematikan program aplikasi tertentu jika
menjalankan tools tersebut di atas, dimana umumnya sang Pembuat Virus
melumpuhkan applikasi yang diinginkan dengan menggunakan metode "Deteksi
Caption", atau dengan menggunakan "KillApp" karena memang cara ini lumayan
ampuh untuk itu.
Anda dapat menggunakan tools pengganti Task manager seperti
[IKnowProcess] yang dapat didownload dari alamat
http://iknowprocess.com/
http://download.intern.ramayana.co.id/software/gudang/Antivirus/Free%20Tools%20PC/iKnowPS_setup.exe
Jangan sampai terjadi kesalahan pada saat mematikan proses virus
tersebut, matikan proses virus yang mempunyai lokasi:
a.. C:\WINDOWS\system32\Xyyyy, dimana X menunjukan huruf dan yyyy
menunjukan angka, contohnya C:\WINDOWS\system32\s8787
a.. File yang dijalankan bervariasi, contoh:
o Winlogon
o Services
o Lsass
o Smss
o Csrss
a.. C:\WINDOWS\XXyyyyy, dimana XX menunjukan huruf dan yyyyy
menunjukan angka, contoh C:\WINDOWS\Ad22098
a.. File yang dijalankan bervariasi, contoh:
a.. qm10563 (lihat Gambar 7)
Gambar 7, Dengan menggunakan Iknow prosess, dapat dengan mudah mematikan
proses Mybro di memori
Catatan:
- Mybro akan menyamarkan nama file tersebut seolah-olah
milik Windows, tetapi dengan penempatan file yang berbeda-beda. Untuk file asli
windows "biasanya" berada dilokasi C:\Windows\system32, sedangkan file yang
dibuat oleh Mybro "biasanya" akan ditempatkan di direktori
C:\Windows\system\xyy [dimana xyy merupakan folder yang dibuat oleh Mybro].
- Sebaiknya jangan menggunakan tools yang mempunyai nama
file atau "caption " task manager karena Mybro akan melakukan blok termasuk
procexp atau pocket killbox.
- Untuk mempermudah pembersihan, sebaiknya anda matikan
terlebih dahulu file virus yang sedang proses di memori ini, karena Mybro akan
mencoba untuk mematikan program security termasuk antivirus jika dijalankan.
5. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script
berikut di notepad kemudian simpan menjadi repair.inf, jalankan file tersebut
o Klik kanan repair.inf
o Klik [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,f3444Adm
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,A2733r
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run,
Tok-Cirrhatus-3114SYSc
HKU,
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
HKU,
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
Catatan: sebaiknya lakukan pemeriksaan ulang pada registry key:
·
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, karena string
yang dibuat pada registry tersebut "biasanya" berbeda-beda untuk masing-masing
varian Mybro.
6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan
anda telah menampilkan semua file yang disembunyikan dengan mengubah setting
pada folder option (lihat gambar 8) :
Gambar 8, Setting Folder Option untuk menampilkan file yang disembunyikan
- Hapus file pada direktori [C:\Windows]
a.. _default17832.pif
b.. j6178322.exe
c.. o4178327.exe
d.. cinderawasih-4178327.exe
e.. komodo-6178322.exe
- Hapus direktori [C:\Windows\xyyyy], dimana X menunjukan
"huruf" dan yyyy menunjukan "angka"
Contohnya: [C:\Windows\Ad22098] atau [C:\windows\SY20118]
- Hapus direktori C:\Windows\System32\xyyyy dimana X menunjukan
"huruf" dan yyyy menunjukan "angka"
Contohnya:
[C:\Windows\sysytem32\s8787] atau [C:\Wiindows\system32\n8127]
- Hapus file pada direktori [C:\Documents and
Settings\%user%\Local Settings\Application Data]
a.. jalak-932115015-bali.com
b.. dvYYYYYYYx, dimana YYYYYYY menunjukan "angka"
Contohnya:
a.. dv6211500x, berisi file:
a.. Yesbron.com
- Hapus file C:\Windows\system32\c_17832k.com
- Hapus file C:\Baca Bro !!!.txt
- Hapus file [task scheduled] yang dibuat oleh W32/Mybro
a.. Klik [Start] [Settings] [Control Panel]
b.. Klik 2 kali menu [Scheduled task]
c.. Hapus file AT1 dan AT2
- Hapus string [daftar website] yang dibuat oleh W32/Mybro pada
file host yang yang menyamakan situs Vaksincom dengan situs porno yang terletak
di
§ C:\Windows\System32\Drivers\ETC
Untuk lebih cepatnya, tulis script di bawah ini kedalam sebuah notepad
kemudian simpan menjadi nama file removeMybro.bat, kemudian jalankan file
tersebut [klik 2 kali removeMybro.bat]
Berikut perintahnya :
CD %UserProfile%\Start Menu\Programs\Startup
DEL /S /Q Empty.pif
msg %username% /time:20 /w /v "Hapus file induk Mybro!"
cd %UserProfile%\Local Settings\Application Data
Attrib -s -h *.exe
DEL /S /Q jalak-932115015-bali.com
DEL /Q *.com
RD /S /Q dv6211500x
cd %UserProfile%\templates
DEL /Q *.com
cd %WinDir%
attrib -s -h *.exe
attrib -s -h -r o4178327.EXE /s
attrib -s -h -r j6178322.EXE /s
attrib -s -h -r _default17832.PIF /s
DEL /S /Q o4178327.EXE
DEL /S /Q j6178322.EXE
DEL /S /Q _default17832.PIF
RD /S /Q Ad22098
cd %WinDir%\system32
attrib -s -h *.exe
RD /S /Q s8787
RD /S /Q n8127
cd %WinDir%\System32
attrib -s -h *.exe
DEL /S /Q c_17832k.com
DEL /S /Q *bron*
DEL /S /Q %username%'s*setting.scr
REN *msvbvm60.dll* msvbvm60.dll
cd %WinDir%\Tasks
DEL /Q A*
CD C:\
DEL /Q *Bro*
msg %username% /time:30 /w /v "Hapus String 'PAUSE' pada file
AUTOEXEC.BAT berikut ini... kemudian simpan!"
notepad C:\AUTOEXEC.BAT
msg %username% /time:30 /w /v "Hapus daftar website yang dibuat Mybro'
pada file HOSTS berikut ini... kemudian simpan!"
CD %windir%\system32\drivers\etc
notepad hosts
msg %username% /time:30 "Mybro Remover (c) 2006 - Vaksincom"
Catatan:
Setelah menjalankan script ini sebaiknya lakukan pengecekan ulang untuk
memastikan apakah file tersebut masih ada atau telah terhapus karena ada
beberapa varian yang akan membuat nama file yang berbeda-beda.
7. Rename kembali file MSVBVM60.dll yang sudah diubah oleh Mybro.
Biasanya Mybro akan merubah file tersebut dengan format : msvbvm60.dll.xxx,
dimana xxx menunjukan angka contohnya : msvbvm60.dll.679 kemudian ubah kembali
file tersebut menjadi msvbvm60.dll
8. Cari dan hapus file duplikat yang dibuat oleh virus, dengan
ciri-ciri
- Ukuran bervariasi tergantung dari varian Mybro
- Icon yang digunakan berbentuk folder /direktori
- Ekstensi file EXE
- Type file "Application" (lihat gambar 9)
Gambar 9, Capture file MyBro yang memalsukan diri sebagai direktori
Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan melakukan
kunjungan on site untuk mengatasi masalah virus tanpa biaya apapun.
Silahkan email ke [EMAIL PROTECTED] untuk mendapatkan informasi detail layanan
PT. Vaksincom.
SPONSORED LINKS Computer internet security Computer internet business
Computer internet access
Computer internet privacy securities Computer security virus Computer
internet help
--------------------------------------------------------------------------------
YAHOO! GROUPS LINKS
a.. Visit your group "vaksin" on the web.
b.. To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
c.. Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service.
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Internal Virus Database is out-of-date.
Checked by AVG Free Edition.
Version: 7.1.385 / Virus Database: 268.3.0/311 - Release Date: 4/13/06
----------
----------------------------------------- (on viruswall.ramayana.co.id)
email-body was scanned and no virus found
email-body was scanned and no virus found
att94c57.jpg was scanned and no virus found
att94c78.jpg was scanned and no virus found
att94ca7.jpg was scanned and no virus found
att94cd7.jpg was scanned and no virus found
att94cd8.gif was scanned and no virus found
att94cf9.gif was scanned and no virus found
att94d09.gif was scanned and no virus found
att94d1a.jpg was scanned and no virus found
att94d3a.jpg was scanned and no virus found
---------------------------------------------------------
[Non-text portions of this message have been removed]
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
