ribet amat? dan dijamin virus gak mungkin hilang. cara lebih singkat: 1. copot hard disk dan pasang ke PC lain yg bebas virus dan pakai antivirus dgn patch terbaru 2. fullscan hard disk yg sudah terinfeksi 3. pasang lagi hard disk seperti semula, masuk safe mode. edit registry-nya. 4. restart, DONE
gak sampai 15 menit euy.... --- In ITCENTER@yahoogroups.com, "ANTHONI" <[EMAIL PROTECTED]> wrote: > > Selamat pagi all.. > > Semoga artikel ini dapat bermanfaat bagi rekan-rekan semua > > > 9 langkah jitu membasmi Rontokbro dan Mybro 23 April 2006 > > > > Mybro merupakan "evolusi" dari Rontokbro/Brontok yang dilengkapi dengan berbagai kode-kode jahat yang teranyar dan tidak bisa dibersihkan menggunakan metode pembersihan Rontokbro. Walaupun virus ini tidak merestart komputer tetapi ia mempunyai cara lain untuk melumpuhkan setiap program yang dirasa dapat menghambat penyebarannya. Dengan kemampuannya menyebar melalui email dan melakukan up-date via internet (secara teoritis) memungkinkan virus ini dapat menambah "amunisi" yang diperlukan dengan kata lain virus ini akan mampu mengupdate dirinya dan tidak heran jika beberapa tools yang sebelumnya bisa digunakan untuk mematikan file induk dari virus ini tidak akan berdaya jika digunakan menghadapi yang akan baru. Satu hal yang mengkhawatirkan adalah Mybro akan mencoba untuk merubah file "MSVBVM60.dll" yang berada pada direktori C:\Windows\system32, sehinnga semua program yang dibuat menggunakan VB tidak akan berfungsi dengan baik, tidak perduli apakah itu virus atau program non virus. > > > > Tetapi, kita tahu Mybro selalu belajar dari pengalaman dan mungkin saja untuk varian sekarang hanya sebatas merubah tetapi untuk varian yang akan datang Mybro juga bisa untuk menghapus flie tersebut, karena itu sebaiknya anda melakukan backup file MSVBVM60.dll [untuk berjaga-jaga] dan install antivirus yang mampu mengenail Mybro dan virus lokal lainnya dengan baik. > > > > Ada satu trik, dimana meskipun file msvbvm60.dll diubah atau dihapus dari direktori C:\Windows\system32, tetapi program/tools yang dibuat dengan VB akan tetap berfungsi dan tidak terganggu. Hal ini bisa terjadi jika anda mengkopi file msvbvm60.dll ke direktori C:\Windows, karena untuk Mybro varian sekarang hanya akan merubah file msvbvm60.dll yang ada di direktori C:\Windows\system32. > > > > Sebelum anda membasmi Mybro, ada baiknya anda mengetahui karakteristik dari Mybro sehingga anda dapat membersihkan dengan mudah. > > > > Untuk masing-masing varian Mybro akan mempunyai ukuran file yang berbeda-beda contohnya 43KB, 48 KB, 51 KB atau 54 KB. > > Untuk mengelabui user Mybro juga akan menggunakan icon "folder" dari setiap file yang terinfeksi. Jika diteliti lebih lanjut dari sekian banyak virus Mybro yang menyebar sebenarnya mempunyai karakteristik yang sama walaupun ada beberapa perbedaan untuk masing-masing varian seperti: > > > > File induk yang dibuat oleh Mybro > > Mybro akan membuat file induk untuk dijalankan pertama kali ketika komputer dinyalakan, untuk nama file induk yang dibuat akan disesuaikan dengan varian dari Mybro itu sendiri, tetapi ada beberapa file induk yang mempunyai nama yang sama serta disimpan di direktori yang sama pula, walaupun memang untuk beberapa varian Mybro kadang akan membuat beberapa file induk tambahan yang akan disimpan didirektori berbeda. > > > > Berikut beberapa file induk yang akan dibuat oleh Mybro, seperti: > > > > a.. [C:\Windows] > - _default17832.pif > > - j6178322.exe > > - o4178327.exe > > - cinderawasih-4178327.exe > > - komodo-6178322.exe > > a.. C:\Windows\xxyyyy, dimana xx menunjukan "huruf" dan yyyy nenunjukan "angka" contohnya [C:\Windows\Ad22098] atau [C:\Windows\SY20118] dengan nama file bervariasi, contohnya : > - qm10563.exe > > - Ib9573.exe > > a.. C:\Windows\System32\xyyyy, dimana x menunjukan "huruf" dan yyyy menunjukan "angka". > Contohnya [C:\Windows\system32\s8787] atau [C:\Windows\system32\n8127] dengan nama file sbb: > > - Csrss.exe > > - Lsass.exe > > - Services.exe > > - Winlogon.exe > > - Smss.exe > > - zh592115084y.exe atau Sv711917030r.exe [nama file bervariasi] > > - m10563.exe atau B9573.exe [nama file bervariasi] > > - C.bron.tok.txt > > - Spread.mail.bro > > - Spread.sent.Bro > > a.. C:\Documents and Settings\%user%\Local Settings\Application Data > - jalak-932115015-bali.com > > - dvYYYYYYYx, dimana YYYYYYY menunjukan "angka" > > contohnya: > > - xdv6211500x, berisi file: > > a.. Yesbron.com > a.. C:\Windows\system32 > - c_17832k.com > > a.. C:\ > - Baca Bro !!!.txt > > > > String registri yang dibuat oleh Mybro > > Sebagai penunjang agar file tersebut dapat dijalankan maka ia akan membuat beberapa perubahan pada registry key contohnya: > > > > a.. HKEY_CURRENT_USER\Software\Brontok > b.. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A dvanced > - "Hidden" = "0" > > - "HideFileExt" = "1" > > - "ShowSuperHidden" = "0" > > a.. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run > - %random% = C:\Windows\system32\xy\%file proses%.exe > > Catatan: > > - %random% menunjukan string value yang dibuat > > - X menunjukan "huruf" > > - Y menunjukan "angka" > > - %File proses%.exe menunjukan file yang akan dijalankan [bervariasi] > > Contohnya: > > - f3444Adm = C:\windows\system32\s8787 \zh592115084y.exe > > a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run > - %random% = C:\windows\%file proses%.exe > > Contoh: > > - A2733r = C:\windows\j6178322.exe > > a.. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer\Run > - %random% = %UserProfile%\Local Settings\Application > > Data\DVyyy0x\%file proses%.com > > Catatan: > > - yyy menunjukan "angka" > > - %file proses%.exe menunjukan file yang akan dijalankan > > Contoh: > > - f3444Adm = C:\Documents and settings\administrator\Local Settings\Application Data\Dv6211500x\yesbron.com > > a.. HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer\Run > - %random% = C:\windows\%file proses%.exe > > Contoh: > > - A2733r = C:\Windows\_default17832.pif > > a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon > - Shell = Explorer.exe "C:\WINDOWS\o4178327.exe" > > - Userinit = C:\Windows\system32\userinit.exe, C:\WINDOWS\j6178322.exe > > a.. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\S ystem > - DisableRegistryTools=1 > > Catatan: > > Untuk string yang dibuat pada registry editor tersebut bervariasi [berbeda-beda] tergantung varian rontokbro > > Mybro aktif pada mode "safe mode" dan "safe mode with command prompt" > > Sudah seperti tradisi bahwa Rontokbro akan tetap aktif walaupun komputer berada pada mode "safe mode" dan "safe mode with command prompt" dengan membuat string pada registry key: > > > > a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon > a.. Shell = explorer "C:\Windows\%file proses%.exe > b.. Userinit = C:\Windows\system32\userinit.exe, C:\Windows\%file proses%.exe > Catatan: > > %file proses%.exe menunjukan file yang akan dijalankan > > Contoh: > > a.. Shell = Explorer.exe "C:\WINDOWS\o4178327.exe" > b.. Userinit = C:\Windows\system32\userinit.exe, C:\WINDOWS\j6178322.exe > > > a.. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\SafeBoot > a.. AlternateShell= C_17832k.com > > > a.. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\SafeBoot > a.. AlternateShell= C_17832k.com > > > a.. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot > a.. AlternateShell= C_17832k.com > Catatan: > > Untuk string yang dibuat di registry editor berbeda-beda [untuk masing-masing varian] tetapi untuk lokasi penempatannya sama > > > > Mybro akan mematikan program aplikasi tertentu jika dijalankan > > Untuk mempermudah penyebaran dan mempertahankan dirinya Mybro akan mencoba untuk mematikan beberapa program aplikasi yang berusaha dijalankan dengan melihat caption text windows seperti: > > > > a.. cmd.exe > b.. mmc.exe > c.. procexp.exe > d.. registry > e.. killbox > f.. hijack > g.. anti > h.. washer > i.. ertanto > j.. movzx > k.. regedit.exe > l.. msconfig.exe > m.. killbox.exe > n.. hijackthis.exe > o.. brontokwasher.exe > p.. scheduled task > q.. bitdef > a.. computer management > b.. group policy > c.. system configuration > d.. command prompt > e.. hijack > f.. sysinter > g.. aladdin > h.. kaspersky > i.. panda > j.. trend > k.. cillin > l.. grisoft > m.. mcaf > n.. avast > o.. norman > a.. symantec > b.. norton > c.. machine > d.. movzx > e.. rontox > f.. rontok > g.. kill > h.. washer > i.. remove > j.. anti > k.. virus > l.. bugil > m.. telanjang > n.. folder option > o.. cewe > > > > > Mybro tidak akan melakukan restart komputer jika menjalankan tools atau program yang diblok olehnya walaupun demikian Mybro akan mematikan tools/program yang diblok olehnya jika program tersebut berusaha dijalankan, itulah salah satu yang membedakan antara Rontokbro dan Mybro, perbedaan lain adalah dimana Mybro akan menampilkan pesan dibawah ini berupa DOS PROMPT yang berisi "kritikan" terhadap pembuat virus Nobron maupun Romdil jika user mancoba untuk menjalankan file Baca Bro !!!.txt yang berada didirektori C:\ OS, perhatikan gambar 1 dan 2 berikut: > > > > > > Gambar 1, Pesan moral Mybro > > > > > > Gambar 2, Pesan dari Mybro untuk Nobron dan Romdil. > > > > Pesan tersebut juga di tulis pada sebuah file dengan nama Baca Bro !!!.txt, dimana file ini berada didrive C:\ > > > > Mybro membasmi virus Lokal > > Untuk memperlancar aksinya virus ini juga akan mencoba untuk mematikan beberapa virus lokal lain yang mencoba untuk menginfeksi komputer tersebut, diantaranya Kangen, Decoy, Fawn, Nobron [Satria Merah], Pesin, riani-jangkaru [tabaru] dan virus lokal lainnya bahkan mencoba untuk mematikan antivirus seperti antivirus Norman, AVG dan Norton, hal ini dapat dilihat dari script yang ditulis pada virus tersebut dimana ia akan mematikan setiap file yang mempunyai string berikut: > > > > a.. MsPatch > b.. LoadService > c.. LoadServices > d.. ccapp > e.. SymRun > f.. Security > g.. dkernel > h.. lExplorer > i.. iExplorer > j.. avgemc.exe > k.. ccapps.exe > l.. kangen.exe > m.. mspatch.exe > n.. syslove.exe > o.. sstray.exe > p.. untukmu.exe > q.. mcvsescn.exe > r.. poproxy.exe > s.. tskmgr.exe > t.. xpshare.exe > u.. riyani_jangkaru.exe > a.. systray.exe > b.. ashmaisv.exe > c.. aswupdsv.exe > d.. nvcoas.exe > e.. cclaw.exe > f.. njeeves.exe > g.. nipsvc.exe > h.. dkernel.exe > i.. iexplorer.exe > j.. lexplorer.exe > k.. update.exe > l.. vptray.exe > m.. opscan.exe > n.. nopdb.exe > o.. ccapp.exe > p.. ctfmon.exe > q.. services.com > r.. virus.exe > s.. sitinurhaliza.exe > t.. zlh.exe > u.. avgupsvc.exe > a.. diary.exe > b.. rundll32.exe > c.. fonts\tskmgr.exe > d.. Systray.exe > e.. LEXPLORER.exe > f.. IEXPLORER.exe > g.. winword.exe > h.. i75d2\dkernel.exe > i.. Alicia Keys.exe > j.. Mariana Renata.exe > k.. Dian sastro.exe > l.. foto administrator.exe > m.. AntiVirus StartUp.exe > n.. my heart > o.. romdil > p.. SysYuni. > q.. SysDiaz > r.. Sys_RomanticDevil.R > s.. SysRia > t.. Pluto > > > > > Seperti yang telah dijelaskan diawal, dimana virus W32/Mybro tidak dibuat menggunakan Visual Basic. Rupanya Mybro cukup pandai pandai membaca situasi dan cepat menyesuaikan dirinya dengan beralih menggunakan Bahasa C. Biasanya virus lokal yang beredar kebanyakan dibuat menggunakan bahasa Visual Basic [termasuk virus lokal yang sudah lebih dulu menyebar] maka untuk mencegah virus [yang dibuat dengan VB] ia akan mengubah satu file dengan nama MSVBVM60.dll yang berada didirektori C:\Windows\system32. Anda tentu tahu maksud dari W32/Mybro, jadi virus yang dibuat oleh Visual Basic tidak akan jalan dan "sialnya" bukan hanya virus saja yang tidak akan jalan tetapi juga semua program yang dibuat menggunakan Visual Basic, cerdik bukan :-) dan sampai saat ini baru virus W32/Mybro yang bisa melakukan hal tersebut. Dengan demikian pembuat virus lokal akan berfikir 2 kali untuk membuat virus dengan menggunakan bahasa Visual Basic, bagaimana reaksi dari pembuat virus lain ? Yang jelas tantangan ini cukup berat karena menguasai suatu Bahasa Pemrograman tidak mudah dan membutuhkan waktu (pengalaman) cukup lama bagi seorang programmer untuk mahir dan memanfaatkan secara optimal kemampuan Bahasa Pemrograman secara optimal. > > > Media Penyebaran : Disket/USB/jaringan/Email > > Untuk menyebarkan dirinya Mybro akan mengggunakan Disket/UFD/File sharing dengan membuat duplikat berupa file di setiap folder dan sub folder pada Disket/USB tersebut menggunakan icon FOLDER. Selain menyebar melalui Disket/USB/File sharing, virus ini juga akan mencoba untuk menyebar melalui email dengan terlebih dahulu akan mengambil semua alamat email yang ada dikomputer yang terinfeksi, email yang dikirim biasanya akan mempunyai ciri-ciri sbb: > > > > Subject: > > a.. My Photo on Paris > b.. Foto Liburanku di Bali > c.. My Best Photo > d.. Fotoku yg Paling Cantik > > > Message : > > a.. This photo was taken from my vacation on Paris, last week. > Wishing you always remember me. > > a.. Halo Sobat, > Ini fotoku saat liburan di Bali. > > Semoga kamu jadi ingat aku terus. > > Terima kasih, > > a.. Aku lg iseng aja pengen kirim foto ke kamu. > Jangan lupain aku ya . > > a.. Wishing you all the best. > > > Lampiran : > > a.. Picture.zip > b.. Photo.zip > > > Perhatikan contoh email yang dikirim oleh Mybro (gambar 3) : > > > > Gambar 3, Contoh email yang dikirimkan oleh Mybro > > > > Mybro up-date layaknya antivirus > > Seperti layaknya antivirus, Mybro juga akan melakukan up-date kesebuah alamat URL tertentu yang sudah ditentukan hal ini dimaksudkan untuk menyempurnakan program yang mereka buat dengan penambahan beberapa code tertentu jadilah varian baru sehingga tidak mudah dikenali oleh vendor antivirus. > > > > Mybro juga akan membuat 2 Scheduled Task dengan nama [AT1 dan AT2] yang akan dijalankan setiap hari pada jam 5.08 PM dan 11.03 PM, file yang akan dijalankan adalah Jalak-932115015-bali.com yang berada di direktori [C:\Documents and Settings\%user%\Local Settings\Application Data] > > > > Blocking website situs antivirus disamakan dengan situs porno ? > > Mybro akan mencoba melakukan blok terhadap beberapa website sekuriti dan website porno. Tidak tahu apakah maksud Mybro menyamakan website antivirus seperti Norman, Symantec dan Vaksincom dengan dengan website porno seperti Playboy, Penthouse dan 17tahun. > > Caranya adalah dengan merubah isi file "hosts" yang berada didirektori [C:\Windows\system32], perhatikan gambar 4 berikut: > > > > Gambar 4, Mybro berusaha untuk blok website antivrus maupun porn > > > > Sebagai penutup, virus ini akan berusaha untuk membuat file pada setiap folder sesuai dengan nama folder tersebut dengan ciri- ciri : > > · Ukuran file bervariasi tergantung dari varian Mybro > > · Ekstensi EXE > > · Jenis file "application" > > > > Sebagai informasi dimana setiap folder seharusnya "tidak" akan mempunyai ukuran, dan akan mempunyai type sebagai "File Folder", lihat gambar 5 > > > > Gambar 5, Folder yang asli tidak memiliki ukuran dan Typenya adalah "File Folder" > > > > Untuk file yang dibuat oleh Rontokbro, setiap file yang menyerupai folder akan mempunyai ukuran serta mempunyai type sebagai "Application", lihat gambar 6 > > > > Gambar 6, File Mybro yang memalsukan filder akan memiliki ukuran dan Type adalah "Application" > > > > > > 9 cara efektif menghapus W32/Mybro > > > > 1. Putuskan koneksi komputer yang akan dibersihkan dari jaringan dan internet. > > 2. Jika menggunakan windows ME/XP Matikan [System Restore] untuk sementara selama proses pembersihan. > > 3. Sebaiknya lakukan pembersihan melalui "safe mode" > > 4. Matikan proses virus W32/Mybro yang sedang aktif di memori > > Seperti yang kita ketahui, bahwa Mybro akan mencoba untuk mematikan beberapa fungsi windows diantaranya [Task Manager] sehingga "user" merasa kesulitan untuk mematikan file virus yang sedang aktif dimemori, ditambah lagi virus ini akan tetap aktif walaupun pada mode "safe mode" dan "safe mode with command prompt". > > Anda dapat menggunakan beberapa tools freeware/shareware yang dapat didownload di internet seperti: Iknown prosess dll, tetapi ingat !! Mybro dapat saja memblok tools-tools terebut, jadi jika tools yang anda gunakan tidak berguna sebaiknya cari tools lain yang dapat digunakan. > > Sebagai informasi Mybro akan mematikan program aplikasi tertentu jika menjalankan tools tersebut di atas, dimana umumnya sang Pembuat Virus melumpuhkan applikasi yang diinginkan dengan menggunakan metode "Deteksi Caption", atau dengan menggunakan "KillApp" karena memang cara ini lumayan ampuh untuk itu. > > Anda dapat menggunakan tools pengganti Task manager seperti [IKnowProcess] yang dapat didownload dari alamat > > http://iknowprocess.com/ > > http://download.intern.ramayana.co.id/software/gudang/Antivirus/Free% 20Tools%20PC/iKnowPS_setup.exe > > > > Jangan sampai terjadi kesalahan pada saat mematikan proses virus tersebut, matikan proses virus yang mempunyai lokasi: > > a.. C:\WINDOWS\system32\Xyyyy, dimana X menunjukan huruf dan yyyy menunjukan angka, contohnya C:\WINDOWS\system32\s8787 > a.. File yang dijalankan bervariasi, contoh: > o Winlogon > > o Services > > o Lsass > > o Smss > > o Csrss > > a.. C:\WINDOWS\XXyyyyy, dimana XX menunjukan huruf dan yyyyy menunjukan angka, contoh C:\WINDOWS\Ad22098 > a.. File yang dijalankan bervariasi, contoh: > a.. qm10563 (lihat Gambar 7) > > > Gambar 7, Dengan menggunakan Iknow prosess, dapat dengan mudah mematikan proses Mybro di memori > > > > Catatan: > > - Mybro akan menyamarkan nama file tersebut seolah-olah milik Windows, tetapi dengan penempatan file yang berbeda- beda. Untuk file asli windows "biasanya" berada dilokasi C:\Windows\system32, sedangkan file yang dibuat oleh Mybro "biasanya" akan ditempatkan di direktori C:\Windows\system\xyy [dimana xyy merupakan folder yang dibuat oleh Mybro]. > > - Sebaiknya jangan menggunakan tools yang mempunyai nama file atau "caption " task manager karena Mybro akan melakukan blok termasuk procexp atau pocket killbox. > > - Untuk mempermudah pembersihan, sebaiknya anda matikan terlebih dahulu file virus yang sedang proses di memori ini, karena Mybro akan mencoba untuk mematikan program security termasuk antivirus jika dijalankan. > > 5. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di notepad kemudian simpan menjadi repair.inf, jalankan file tersebut > > o Klik kanan repair.inf > > o Klik [install] > > [Version] > > Signature="$Chicago$" > > Provider=Vaksincom > > > > [DefaultInstall] > > AddReg=UnhookRegKey > > DelReg=del > > > > [UnhookRegKey] > > HKLM, Software\CLASSES\batfile\shell\open\command,,,"""% 1"" %*" > > HKLM, Software\CLASSES\comfile\shell\open\command,,,"""% 1"" %*" > > HKLM, Software\CLASSES\exefile\shell\open\command,,,"""% 1"" %*" > > HKLM, Software\CLASSES\piffile\shell\open\command,,,"""% 1"" %*" > > HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" > > HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""% 1"" %*" > > HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" > > HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe" > > HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" > > > > [del] > > HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegis tryTools > > HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD > > HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOp tions > > HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskM gr > > HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run > > HKCU, Software\Microsoft\Windows\CurrentVersion\Run,f3444Adm > > HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,A2733r > > HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperH idden > > HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run > > HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Tok- Cirrhatus-3114SYSc > > HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explo rer\run > > HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m,DisableRegistryTools > > Catatan: sebaiknya lakukan pemeriksaan ulang pada registry key: > > · HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run > > · HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, karena string yang dibuat pada registry tersebut "biasanya" berbeda- beda untuk masing-masing varian Mybro. > > 6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah menampilkan semua file yang disembunyikan dengan mengubah setting pada folder option (lihat gambar 8) : > > > > > > Gambar 8, Setting Folder Option untuk menampilkan file yang disembunyikan > > > > - Hapus file pada direktori [C:\Windows] > > a.. _default17832.pif > b.. j6178322.exe > c.. o4178327.exe > d.. cinderawasih-4178327.exe > e.. komodo-6178322.exe > > > - Hapus direktori [C:\Windows\xyyyy], dimana X menunjukan "huruf" dan yyyy menunjukan "angka" > > > > Contohnya: [C:\Windows\Ad22098] atau [C:\windows\SY20118] > > > > - Hapus direktori C:\Windows\System32\xyyyy dimana X menunjukan "huruf" dan yyyy menunjukan "angka" > > > > Contohnya: > > [C:\Windows\sysytem32\s8787] atau [C:\Wiindows\system32\n8127] > > > > - Hapus file pada direktori [C:\Documents and Settings\%user%\Local Settings\Application Data] > > a.. jalak-932115015-bali.com > b.. dvYYYYYYYx, dimana YYYYYYY menunjukan "angka" > > > Contohnya: > > a.. dv6211500x, berisi file: > a.. Yesbron.com > > > - Hapus file C:\Windows\system32\c_17832k.com > > > > - Hapus file C:\Baca Bro !!!.txt > > > > - Hapus file [task scheduled] yang dibuat oleh W32/Mybro > > a.. Klik [Start] [Settings] [Control Panel] > > b.. Klik 2 kali menu [Scheduled task] > > c.. Hapus file AT1 dan AT2 > > > > - Hapus string [daftar website] yang dibuat oleh W32/Mybro pada file host yang yang menyamakan situs Vaksincom dengan situs porno yang terletak di > > § C:\Windows\System32\Drivers\ETC > > > > Untuk lebih cepatnya, tulis script di bawah ini kedalam sebuah notepad kemudian simpan menjadi nama file removeMybro.bat, kemudian jalankan file tersebut [klik 2 kali removeMybro.bat] > > > > Berikut perintahnya : > > > > CD %UserProfile%\Start Menu\Programs\Startup > > DEL /S /Q Empty.pif > > > > msg %username% /time:20 /w /v "Hapus file induk Mybro!" > > > > cd %UserProfile%\Local Settings\Application Data > > Attrib -s -h *.exe > > DEL /S /Q jalak-932115015-bali.com > > DEL /Q *.com > > RD /S /Q dv6211500x > > > > cd %UserProfile%\templates > > DEL /Q *.com > > > > cd %WinDir% > > attrib -s -h *.exe > > attrib -s -h -r o4178327.EXE /s > > attrib -s -h -r j6178322.EXE /s > > attrib -s -h -r _default17832.PIF /s > > DEL /S /Q o4178327.EXE > > DEL /S /Q j6178322.EXE > > DEL /S /Q _default17832.PIF > > RD /S /Q Ad22098 > > > > cd %WinDir%\system32 > > attrib -s -h *.exe > > RD /S /Q s8787 > > RD /S /Q n8127 > > > > cd %WinDir%\System32 > > attrib -s -h *.exe > > DEL /S /Q c_17832k.com > > DEL /S /Q *bron* > > DEL /S /Q %username%'s*setting.scr > > REN *msvbvm60.dll* msvbvm60.dll > > > > cd %WinDir%\Tasks > > DEL /Q A* > > > > CD C:\ > > DEL /Q *Bro* > > > > msg %username% /time:30 /w /v "Hapus String 'PAUSE' pada file AUTOEXEC.BAT berikut ini... kemudian simpan!" > > notepad C:\AUTOEXEC.BAT > > > > msg %username% /time:30 /w /v "Hapus daftar website yang dibuat Mybro' pada file HOSTS berikut ini... kemudian simpan!" > > CD %windir%\system32\drivers\etc > > notepad hosts > > > > msg %username% /time:30 "Mybro Remover (c) 2006 - Vaksincom" > > > > Catatan: > > Setelah menjalankan script ini sebaiknya lakukan pengecekan ulang untuk memastikan apakah file tersebut masih ada atau telah terhapus karena ada beberapa varian yang akan membuat nama file yang berbeda-beda. > > > > 7. Rename kembali file MSVBVM60.dll yang sudah diubah oleh Mybro. Biasanya Mybro akan merubah file tersebut dengan format : msvbvm60.dll.xxx, dimana xxx menunjukan angka contohnya : msvbvm60.dll.679 kemudian ubah kembali file tersebut menjadi msvbvm60.dll > > > > 8. Cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri > > - Ukuran bervariasi tergantung dari varian Mybro > > - Icon yang digunakan berbentuk folder /direktori > > - Ekstensi file EXE > > - Type file "Application" (lihat gambar 9) > > > > Gambar 9, Capture file MyBro yang memalsukan diri sebagai direktori > > > > > > > > > > > Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan melakukan kunjungan on site untuk mengatasi masalah virus tanpa biaya apapun. > Silahkan email ke [EMAIL PROTECTED] untuk mendapatkan informasi detail layanan PT. Vaksincom. > > > > SPONSORED LINKS Computer internet security Computer internet business Computer internet access > Computer internet privacy securities Computer security virus Computer internet help > > > -------------------------------------------------------------------- ------------ > YAHOO! GROUPS LINKS > > a.. Visit your group "vaksin" on the web. > > b.. To unsubscribe from this group, send an email to: > [EMAIL PROTECTED] > > c.. Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service. > > > -------------------------------------------------------------------- ------------ > > > > > -------------------------------------------------------------------- ------------ > > > Internal Virus Database is out-of-date. > Checked by AVG Free Edition. > Version: 7.1.385 / Virus Database: 268.3.0/311 - Release Date: 4/13/06 > > > ---------- > > ----------------------------------------- (on viruswall.ramayana.co.id) > > email-body was scanned and no virus found > email-body was scanned and no virus found > att94c57.jpg was scanned and no virus found > att94c78.jpg was scanned and no virus found > att94ca7.jpg was scanned and no virus found > att94cd7.jpg was scanned and no virus found > att94cd8.gif was scanned and no virus found > att94cf9.gif was scanned and no virus found > att94d09.gif was scanned and no virus found > att94d1a.jpg was scanned and no virus found > att94d3a.jpg was scanned and no virus found > --------------------------------------------------------- > > > [Non-text portions of this message have been removed] > -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/