ribet amat? dan dijamin virus gak mungkin hilang.

cara lebih singkat:
1. copot hard disk dan pasang ke PC lain yg bebas virus dan pakai 
antivirus dgn patch terbaru
2. fullscan hard disk yg sudah terinfeksi
3. pasang lagi hard disk seperti semula, masuk safe mode.
edit registry-nya.
4. restart, DONE

gak sampai 15 menit euy....



--- In ITCENTER@yahoogroups.com, "ANTHONI" <[EMAIL PROTECTED]> wrote:
>
> Selamat pagi all..
> 
> Semoga artikel ini dapat bermanfaat bagi rekan-rekan semua
> 
> 
>       9 langkah jitu membasmi Rontokbro dan Mybro       23 April 
2006
> 
> 
> 
>            Mybro merupakan "evolusi" dari Rontokbro/Brontok yang 
dilengkapi dengan berbagai kode-kode jahat yang teranyar dan tidak 
bisa dibersihkan menggunakan metode pembersihan Rontokbro. Walaupun 
virus ini tidak merestart komputer tetapi ia mempunyai cara lain 
untuk melumpuhkan setiap program yang dirasa dapat menghambat 
penyebarannya. Dengan kemampuannya menyebar melalui email dan 
melakukan up-date via internet (secara teoritis) memungkinkan virus 
ini dapat menambah "amunisi" yang diperlukan dengan kata lain virus 
ini akan mampu mengupdate dirinya dan tidak heran jika beberapa tools 
yang sebelumnya bisa digunakan untuk mematikan file induk dari virus 
ini tidak akan berdaya jika digunakan menghadapi yang akan baru. Satu 
hal yang mengkhawatirkan adalah Mybro akan mencoba untuk merubah 
file "MSVBVM60.dll" yang berada pada direktori C:\Windows\system32, 
sehinnga semua program yang dibuat menggunakan VB tidak akan 
berfungsi dengan baik, tidak perduli apakah itu virus atau program 
non virus. 
> 
> 
> 
>       Tetapi, kita tahu Mybro selalu belajar dari pengalaman dan 
mungkin saja untuk varian sekarang hanya sebatas merubah tetapi untuk 
varian yang akan datang  Mybro juga bisa untuk menghapus flie 
tersebut, karena itu sebaiknya anda melakukan backup file 
MSVBVM60.dll [untuk berjaga-jaga] dan install antivirus yang mampu 
mengenail Mybro dan virus lokal lainnya dengan baik.
> 
> 
> 
>       Ada satu trik, dimana meskipun file msvbvm60.dll diubah atau 
dihapus dari direktori C:\Windows\system32, tetapi program/tools yang 
dibuat dengan VB akan tetap berfungsi dan tidak terganggu. Hal ini 
bisa terjadi jika anda mengkopi file msvbvm60.dll ke direktori 
C:\Windows, karena untuk Mybro varian sekarang hanya akan merubah 
file msvbvm60.dll yang ada di direktori C:\Windows\system32.
> 
> 
> 
>       Sebelum anda membasmi Mybro, ada baiknya anda mengetahui 
karakteristik dari Mybro sehingga anda dapat membersihkan dengan 
mudah.
> 
> 
> 
>       Untuk masing-masing varian Mybro akan mempunyai ukuran file 
yang berbeda-beda contohnya  43KB, 48 KB, 51 KB atau  54 KB. 
> 
>       Untuk mengelabui user Mybro juga akan menggunakan 
icon "folder" dari setiap file yang terinfeksi. Jika diteliti lebih 
lanjut  dari sekian banyak virus Mybro yang menyebar sebenarnya 
mempunyai karakteristik yang sama walaupun ada beberapa perbedaan 
untuk masing-masing varian seperti:
> 
> 
> 
>       File induk yang dibuat oleh Mybro
> 
>       Mybro akan membuat file induk untuk dijalankan pertama kali 
ketika komputer dinyalakan, untuk nama file induk yang dibuat akan 
disesuaikan dengan varian dari Mybro itu sendiri, tetapi ada beberapa 
file induk yang mempunyai nama yang sama serta disimpan di direktori 
yang sama pula, walaupun memang untuk beberapa varian Mybro kadang 
akan membuat beberapa file induk tambahan yang akan disimpan 
didirektori berbeda.
> 
> 
> 
>       Berikut beberapa file induk yang akan dibuat oleh Mybro, 
seperti:
> 
> 
> 
>         a.. [C:\Windows]  
>       -          _default17832.pif
> 
>       -          j6178322.exe
> 
>       -          o4178327.exe
> 
>       -          cinderawasih-4178327.exe
> 
>       -          komodo-6178322.exe
> 
>         a.. C:\Windows\xxyyyy, dimana xx menunjukan "huruf"  dan 
yyyy nenunjukan "angka" contohnya [C:\Windows\Ad22098] atau 
[C:\Windows\SY20118] dengan nama file bervariasi, contohnya :
>       -          qm10563.exe
> 
>       -          Ib9573.exe
> 
>         a.. C:\Windows\System32\xyyyy, dimana x menunjukan "huruf" 
dan yyyy menunjukan "angka".
>       Contohnya [C:\Windows\system32\s8787] atau 
[C:\Windows\system32\n8127] dengan nama file sbb:
> 
>       -          Csrss.exe
> 
>       -          Lsass.exe
> 
>       -          Services.exe
> 
>       -          Winlogon.exe
> 
>       -          Smss.exe
> 
>       -          zh592115084y.exe atau Sv711917030r.exe [nama file 
bervariasi]
> 
>       -          m10563.exe atau B9573.exe [nama file bervariasi]
> 
>       -          C.bron.tok.txt
> 
>       -          Spread.mail.bro
> 
>       -          Spread.sent.Bro
> 
>         a.. C:\Documents and Settings\%user%\Local 
Settings\Application Data
>       -          jalak-932115015-bali.com
> 
>       -          dvYYYYYYYx, dimana YYYYYYY menunjukan "angka"
> 
>       contohnya: 
> 
>       -          xdv6211500x, berisi file:
> 
>               a.. Yesbron.com
>         a.. C:\Windows\system32
>       -          c_17832k.com
> 
>         a.. C:\
>       -          Baca Bro !!!.txt
> 
> 
> 
>       String registri yang dibuat oleh Mybro
> 
>       Sebagai penunjang agar file tersebut dapat dijalankan maka ia 
akan membuat beberapa perubahan pada registry key contohnya:
> 
> 
> 
>         a.. HKEY_CURRENT_USER\Software\Brontok 
>         b.. 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\A
dvanced
>       -          "Hidden" = "0"
> 
>       -          "HideFileExt" = "1"
> 
>       -          "ShowSuperHidden" = "0"
> 
>         a.. 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
>       -          %random% = C:\Windows\system32\xy\%file proses%.exe
> 
>       Catatan:
> 
>       -          %random% menunjukan string value yang dibuat
> 
>       -          X menunjukan "huruf"
> 
>       -          Y menunjukan "angka"
> 
>       -          %File proses%.exe menunjukan file yang akan 
dijalankan [bervariasi]
> 
>       Contohnya:
> 
>       -          f3444Adm = C:\windows\system32\s8787
\zh592115084y.exe
> 
>         a.. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
>       -          %random% = C:\windows\%file proses%.exe
> 
>       Contoh:
> 
>       -          A2733r = C:\windows\j6178322.exe
> 
>         a.. 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E
xplorer\Run
>       -          %random% = %UserProfile%\Local 
Settings\Application 
> 
>       Data\DVyyy0x\%file proses%.com
> 
>       Catatan:
> 
>       -          yyy menunjukan "angka"
> 
>       -          %file proses%.exe menunjukan file yang akan 
dijalankan
> 
>       Contoh:
> 
>       -          f3444Adm = C:\Documents and 
settings\administrator\Local Settings\Application 
Data\Dv6211500x\yesbron.com
> 
>         a.. 
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\Run
>       -          %random% = C:\windows\%file proses%.exe
> 
>       Contoh:
> 
>       -          A2733r = C:\Windows\_default17832.pif
> 
>         a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon
>       -          Shell = Explorer.exe "C:\WINDOWS\o4178327.exe"
> 
>       -          Userinit = C:\Windows\system32\userinit.exe, 
C:\WINDOWS\j6178322.exe
> 
>         a.. 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\S
ystem
>       -          DisableRegistryTools=1
> 
>       Catatan:
> 
>       Untuk string yang dibuat pada registry editor tersebut 
bervariasi [berbeda-beda] tergantung varian rontokbro
> 
>       Mybro aktif pada mode "safe mode" dan "safe mode with command 
prompt"
> 
>       Sudah seperti tradisi bahwa Rontokbro akan tetap aktif 
walaupun komputer berada pada mode "safe mode" dan "safe mode with 
command prompt" dengan membuat string pada registry key:
> 
> 
> 
>         a.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon 
>           a.. Shell = explorer "C:\Windows\%file proses%.exe 
>           b.. Userinit = C:\Windows\system32\userinit.exe, 
C:\Windows\%file proses%.exe
>       Catatan:
> 
>       %file proses%.exe  menunjukan file yang akan dijalankan
> 
>       Contoh:
> 
>           a.. Shell = Explorer.exe "C:\WINDOWS\o4178327.exe" 
>           b.. Userinit = C:\Windows\system32\userinit.exe, 
C:\WINDOWS\j6178322.exe
> 
> 
>         a.. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot 
>           a.. AlternateShell= C_17832k.com
> 
> 
>         a.. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot 
>           a.. AlternateShell= C_17832k.com
> 
> 
>         a.. 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 
>           a.. AlternateShell= C_17832k.com
>         Catatan:
> 
>         Untuk string yang dibuat di registry editor berbeda-beda 
[untuk masing-masing varian] tetapi untuk lokasi penempatannya sama
> 
> 
> 
>       Mybro akan mematikan program aplikasi tertentu jika dijalankan
> 
>       Untuk mempermudah penyebaran dan mempertahankan dirinya Mybro 
akan mencoba untuk mematikan beberapa program aplikasi yang berusaha 
dijalankan dengan melihat caption text windows seperti:
> 
> 
> 
>               a.. cmd.exe 
>               b.. mmc.exe 
>               c.. procexp.exe 
>               d.. registry 
>               e.. killbox 
>               f.. hijack 
>               g.. anti 
>               h.. washer 
>               i.. ertanto 
>               j.. movzx 
>               k.. regedit.exe 
>               l.. msconfig.exe 
>               m.. killbox.exe 
>               n.. hijackthis.exe 
>               o.. brontokwasher.exe 
>               p.. scheduled task 
>               q.. bitdef
>            a.. computer management 
>               b.. group policy 
>               c.. system configuration 
>               d.. command prompt 
>               e.. hijack 
>               f.. sysinter 
>               g.. aladdin 
>               h.. kaspersky 
>               i.. panda 
>               j.. trend 
>               k.. cillin 
>               l.. grisoft 
>               m.. mcaf 
>               n.. avast 
>               o.. norman
>            a.. symantec 
>               b.. norton 
>               c.. machine 
>               d.. movzx 
>               e.. rontox 
>               f.. rontok 
>               g.. kill 
>               h.. washer 
>               i.. remove 
>               j.. anti 
>               k.. virus 
>               l.. bugil 
>               m.. telanjang 
>               n.. folder option 
>               o.. cewe
>            
> 
> 
> 
>       Mybro tidak akan melakukan restart komputer jika menjalankan 
tools atau program yang diblok olehnya walaupun demikian Mybro akan 
mematikan tools/program yang diblok olehnya jika program tersebut 
berusaha dijalankan, itulah salah satu yang membedakan antara 
Rontokbro dan Mybro, perbedaan lain adalah dimana Mybro akan 
menampilkan pesan dibawah ini berupa DOS PROMPT yang 
berisi "kritikan" terhadap pembuat virus Nobron maupun Romdil jika 
user mancoba untuk menjalankan file Baca Bro !!!.txt yang berada 
didirektori C:\ OS, perhatikan gambar 1 dan 2 berikut:
> 
> 
> 
> 
> 
>       Gambar 1, Pesan moral Mybro
> 
> 
> 
> 
> 
>       Gambar 2, Pesan dari Mybro untuk Nobron dan Romdil.
> 
> 
> 
>       Pesan tersebut juga di tulis pada sebuah file dengan nama 
Baca Bro !!!.txt, dimana file ini berada didrive C:\
> 
> 
> 
>       Mybro membasmi virus Lokal
> 
>       Untuk memperlancar aksinya virus ini juga akan mencoba untuk 
mematikan beberapa virus lokal lain yang mencoba untuk menginfeksi 
komputer tersebut, diantaranya Kangen, Decoy, Fawn, Nobron [Satria 
Merah], Pesin, riani-jangkaru [tabaru] dan virus lokal lainnya bahkan 
mencoba untuk mematikan antivirus seperti antivirus Norman, AVG dan 
Norton, hal ini dapat dilihat dari script yang ditulis pada virus 
tersebut dimana ia akan mematikan setiap file yang mempunyai  string 
berikut:
> 
> 
> 
>               a.. MsPatch 
>               b.. LoadService 
>               c.. LoadServices 
>               d.. ccapp 
>               e.. SymRun 
>               f.. Security 
>               g.. dkernel 
>               h.. lExplorer 
>               i.. iExplorer 
>               j.. avgemc.exe 
>               k.. ccapps.exe 
>               l.. kangen.exe 
>               m.. mspatch.exe 
>               n.. syslove.exe 
>               o.. sstray.exe 
>               p.. untukmu.exe 
>               q.. mcvsescn.exe 
>               r.. poproxy.exe 
>               s.. tskmgr.exe 
>               t.. xpshare.exe 
>               u.. riyani_jangkaru.exe
>            a.. systray.exe 
>               b.. ashmaisv.exe 
>               c.. aswupdsv.exe 
>               d.. nvcoas.exe 
>               e.. cclaw.exe 
>               f.. njeeves.exe 
>               g.. nipsvc.exe 
>               h.. dkernel.exe 
>               i.. iexplorer.exe 
>               j.. lexplorer.exe 
>               k.. update.exe 
>               l.. vptray.exe 
>               m.. opscan.exe 
>               n.. nopdb.exe 
>               o.. ccapp.exe 
>               p.. ctfmon.exe 
>               q.. services.com 
>               r.. virus.exe 
>               s.. sitinurhaliza.exe 
>               t.. zlh.exe 
>               u.. avgupsvc.exe
>            a.. diary.exe 
>               b.. rundll32.exe 
>               c.. fonts\tskmgr.exe 
>               d.. Systray.exe 
>               e.. LEXPLORER.exe 
>               f.. IEXPLORER.exe 
>               g.. winword.exe 
>               h.. i75d2\dkernel.exe 
>               i.. Alicia Keys.exe 
>               j.. Mariana Renata.exe 
>               k.. Dian sastro.exe 
>               l.. foto administrator.exe 
>               m.. AntiVirus StartUp.exe 
>               n.. my heart 
>               o.. romdil 
>               p.. SysYuni. 
>               q.. SysDiaz 
>               r.. Sys_RomanticDevil.R 
>               s.. SysRia 
>               t.. Pluto
>            
> 
> 
> 
>       Seperti yang telah dijelaskan diawal, dimana virus W32/Mybro 
tidak dibuat menggunakan Visual Basic. Rupanya Mybro cukup pandai 
pandai membaca situasi dan cepat menyesuaikan dirinya dengan beralih 
menggunakan Bahasa C. Biasanya virus lokal yang beredar kebanyakan 
dibuat menggunakan bahasa Visual Basic [termasuk virus  lokal yang 
sudah lebih dulu menyebar] maka untuk mencegah virus [yang dibuat 
dengan VB] ia akan mengubah satu file dengan nama MSVBVM60.dll yang 
berada didirektori C:\Windows\system32. Anda tentu tahu maksud dari 
W32/Mybro, jadi virus yang dibuat oleh Visual Basic tidak akan jalan 
dan "sialnya" bukan hanya virus saja yang tidak akan jalan tetapi 
juga semua program yang dibuat menggunakan Visual Basic, cerdik 
bukan :-) dan sampai saat ini baru virus W32/Mybro yang bisa 
melakukan hal tersebut. Dengan demikian pembuat virus lokal akan 
berfikir 2 kali untuk membuat virus dengan menggunakan bahasa Visual 
Basic, bagaimana reaksi dari pembuat virus lain ? Yang jelas 
tantangan ini cukup berat karena menguasai suatu Bahasa Pemrograman 
tidak mudah dan membutuhkan waktu (pengalaman) cukup lama bagi 
seorang programmer untuk mahir dan memanfaatkan secara optimal 
kemampuan Bahasa Pemrograman secara optimal.
>        
> 
>       Media Penyebaran : Disket/USB/jaringan/Email
> 
>       Untuk menyebarkan dirinya Mybro akan mengggunakan 
Disket/UFD/File sharing dengan membuat duplikat berupa file di setiap 
folder dan sub folder pada Disket/USB tersebut  menggunakan icon 
FOLDER. Selain menyebar melalui Disket/USB/File sharing, virus ini 
juga akan mencoba untuk menyebar melalui email dengan terlebih dahulu 
akan mengambil semua alamat email yang ada dikomputer yang 
terinfeksi, email yang dikirim biasanya akan mempunyai ciri-ciri sbb:
> 
> 
> 
>       Subject:
> 
>         a.. My Photo on Paris 
>         b.. Foto Liburanku di Bali 
>         c.. My Best Photo 
>         d.. Fotoku yg Paling Cantik
> 
> 
>       Message :
> 
>         a.. This photo was taken from my vacation on Paris, last 
week.
>       Wishing you always remember me.
> 
>         a.. Halo Sobat,
>       Ini fotoku saat liburan di Bali.
> 
>       Semoga kamu jadi ingat aku terus.
> 
>       Terima kasih,
> 
>         a.. Aku lg iseng aja pengen kirim foto ke kamu.
>       Jangan lupain aku ya .
> 
>         a.. Wishing you all the best.
> 
> 
>       Lampiran :
> 
>         a.. Picture.zip 
>         b.. Photo.zip
> 
> 
>       Perhatikan contoh email yang dikirim oleh Mybro (gambar 3) :
> 
> 
> 
>       Gambar 3, Contoh email yang dikirimkan oleh Mybro
> 
> 
> 
>       Mybro up-date layaknya antivirus
> 
>       Seperti layaknya antivirus, Mybro juga akan melakukan up-date 
kesebuah alamat URL tertentu yang sudah ditentukan hal ini 
dimaksudkan untuk menyempurnakan program yang mereka buat dengan 
penambahan beberapa code tertentu jadilah varian baru sehingga tidak 
mudah dikenali oleh vendor antivirus.
> 
> 
> 
>       Mybro juga akan membuat 2 Scheduled Task dengan nama [AT1 dan 
AT2] yang akan dijalankan setiap hari pada jam 5.08 PM dan 11.03 PM, 
file yang akan dijalankan adalah Jalak-932115015-bali.com yang berada 
di direktori [C:\Documents and Settings\%user%\Local 
Settings\Application Data]
> 
> 
> 
>       Blocking website situs antivirus disamakan dengan situs 
porno ?
> 
>       Mybro akan mencoba melakukan blok terhadap beberapa website 
sekuriti dan website porno. Tidak tahu apakah maksud Mybro  
menyamakan website antivirus seperti Norman, Symantec dan Vaksincom 
dengan dengan website porno seperti Playboy, Penthouse dan 17tahun. 
> 
>       Caranya adalah dengan merubah isi file "hosts" yang berada 
didirektori [C:\Windows\system32], perhatikan gambar 4 berikut:
> 
>        
> 
>       Gambar 4, Mybro berusaha untuk blok website antivrus maupun 
porn
> 
> 
> 
>       Sebagai penutup, virus ini akan berusaha untuk membuat file 
pada setiap folder sesuai dengan nama folder tersebut dengan ciri-
ciri :
> 
>       ·         Ukuran file bervariasi tergantung dari varian Mybro
> 
>       ·         Ekstensi EXE
> 
>       ·         Jenis file "application"
> 
> 
> 
>       Sebagai informasi  dimana setiap folder seharusnya "tidak" 
akan mempunyai ukuran, dan akan mempunyai  type sebagai "File 
Folder", lihat gambar 5
> 
> 
> 
>       Gambar 5, Folder yang asli tidak memiliki ukuran dan Typenya 
adalah "File Folder"
> 
> 
> 
>       Untuk file yang dibuat oleh Rontokbro, setiap file yang 
menyerupai folder akan mempunyai ukuran serta mempunyai type 
sebagai "Application", lihat gambar 6
> 
> 
> 
>       Gambar 6, File Mybro yang memalsukan filder akan memiliki 
ukuran dan Type adalah "Application"
> 
> 
> 
> 
> 
>       9 cara efektif menghapus W32/Mybro   
> 
> 
> 
>       1.       Putuskan koneksi komputer yang akan dibersihkan dari 
jaringan dan internet.
> 
>       2.       Jika menggunakan windows ME/XP Matikan [System 
Restore] untuk sementara selama proses pembersihan.
> 
>       3.       Sebaiknya lakukan pembersihan melalui "safe mode"
> 
>       4.       Matikan proses virus W32/Mybro yang sedang aktif di 
memori
> 
>       Seperti yang kita ketahui, bahwa Mybro akan mencoba untuk 
mematikan beberapa fungsi windows diantaranya [Task Manager] 
sehingga "user" merasa kesulitan untuk mematikan file virus yang 
sedang aktif dimemori, ditambah lagi virus ini akan tetap aktif 
walaupun pada mode "safe mode" dan "safe mode with command prompt".
> 
>       Anda dapat menggunakan beberapa tools freeware/shareware yang 
dapat didownload di internet seperti: Iknown prosess dll, tetapi 
ingat !! Mybro dapat saja memblok tools-tools terebut, jadi jika 
tools yang anda gunakan tidak berguna sebaiknya cari tools lain  yang 
dapat digunakan.
> 
>       Sebagai informasi Mybro akan mematikan program aplikasi 
tertentu jika menjalankan tools tersebut di atas, dimana umumnya sang 
Pembuat Virus melumpuhkan applikasi yang diinginkan dengan 
menggunakan metode "Deteksi Caption", atau dengan 
menggunakan "KillApp" karena memang cara ini lumayan ampuh untuk itu. 
> 
>       Anda dapat menggunakan tools pengganti Task manager seperti 
[IKnowProcess] yang dapat didownload dari alamat 
> 
>       http://iknowprocess.com/ 
> 
>       
http://download.intern.ramayana.co.id/software/gudang/Antivirus/Free%
20Tools%20PC/iKnowPS_setup.exe
> 
> 
> 
>       Jangan sampai terjadi kesalahan pada saat mematikan proses 
virus tersebut, matikan proses virus yang mempunyai lokasi:
> 
>             a.. C:\WINDOWS\system32\Xyyyy, dimana X  menunjukan 
huruf dan yyyy menunjukan angka, contohnya C:\WINDOWS\system32\s8787 
>               a.. File yang dijalankan bervariasi, contoh:
>       o        Winlogon
> 
>       o        Services
> 
>       o        Lsass
> 
>       o        Smss
> 
>       o        Csrss
> 
>             a.. C:\WINDOWS\XXyyyyy, dimana XX menunjukan huruf dan 
yyyyy menunjukan angka, contoh C:\WINDOWS\Ad22098 
>               a.. File yang dijalankan bervariasi, contoh: 
>                 a.. qm10563 (lihat Gambar 7)
>         
> 
>       Gambar 7, Dengan menggunakan Iknow prosess, dapat dengan 
mudah mematikan proses Mybro di memori
> 
> 
> 
>           Catatan:
> 
>           -          Mybro akan menyamarkan nama file tersebut 
seolah-olah milik Windows, tetapi dengan penempatan file yang berbeda-
beda. Untuk file asli windows "biasanya" berada dilokasi 
C:\Windows\system32, sedangkan file yang dibuat oleh Mybro "biasanya" 
akan ditempatkan di direktori C:\Windows\system\xyy [dimana xyy 
merupakan folder yang dibuat oleh Mybro].
> 
>           -          Sebaiknya jangan menggunakan tools yang 
mempunyai nama file  atau "caption " task manager karena Mybro akan 
melakukan blok termasuk procexp atau pocket killbox.
> 
>           -          Untuk mempermudah pembersihan, sebaiknya anda 
matikan terlebih dahulu file virus yang sedang proses di memori ini, 
karena Mybro akan mencoba untuk mematikan program security termasuk 
antivirus jika dijalankan.
> 
>       5.      Hapus registry yang pernah dibuat oleh W32/Mybro, 
copy script berikut di notepad kemudian simpan menjadi repair.inf, 
jalankan file tersebut
> 
>       o        Klik kanan repair.inf
> 
>       o        Klik [install]
> 
>           [Version]
> 
>           Signature="$Chicago$"
> 
>           Provider=Vaksincom
> 
> 
> 
>           [DefaultInstall]
> 
>           AddReg=UnhookRegKey
> 
>           DelReg=del
> 
> 
> 
>           [UnhookRegKey]
> 
>           HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%
1"" %*"
> 
>           HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%
1"" %*"
> 
>           HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%
1"" %*"
> 
>           HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%
1"" %*"
> 
>           HKLM, 
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
> 
>           HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%
1"" %*"
> 
>           HKLM, SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
> 
>           HKLM, SYSTEM\ControlSet001\Control\SafeBoot, 
AlternateShell,0, "cmd.exe"
> 
>           HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, 
AlternateShell,0, "cmd.exe"
> 
> 
> 
>           [del]
> 
>           HKCU, 
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegis
tryTools
> 
>           HKCU, 
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
> 
>           HKCU, 
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOp
tions
> 
>           HKCU, 
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskM
gr
> 
>           HKCU, 
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
> 
>           HKCU, 
Software\Microsoft\Windows\CurrentVersion\Run,f3444Adm
> 
>           HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,A2733r
> 
>           HKLM, 
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperH
idden
> 
>           HKLM, 
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
> 
>           
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Tok-
Cirrhatus-3114SYSc
> 
>           
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explo
rer\run
> 
>           
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Syste
m,DisableRegistryTools
> 
>             Catatan: sebaiknya lakukan pemeriksaan ulang pada  
registry key: 
> 
>             ·         
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
> 
>             ·         
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 
karena string yang dibuat pada registry tersebut "biasanya" berbeda-
beda untuk masing-masing varian Mybro.
> 
>       6.       Hapus file yang pernah dibuat oleh virus, sebelumnya 
pastikan anda telah menampilkan semua file yang disembunyikan dengan 
mengubah setting pada folder option (lihat gambar 8) :
> 
> 
> 
> 
> 
>       Gambar 8, Setting Folder Option untuk menampilkan file yang 
disembunyikan
> 
> 
> 
>       -          Hapus file pada direktori [C:\Windows]
> 
>             a.. _default17832.pif 
>             b.. j6178322.exe 
>             c.. o4178327.exe 
>             d.. cinderawasih-4178327.exe 
>             e.. komodo-6178322.exe
> 
> 
>       -          Hapus direktori [C:\Windows\xyyyy], dimana X 
menunjukan "huruf" dan yyyy menunjukan "angka"  
> 
> 
> 
>       Contohnya: [C:\Windows\Ad22098] atau [C:\windows\SY20118]
> 
> 
> 
>       -          Hapus direktori C:\Windows\System32\xyyyy dimana X 
menunjukan "huruf" dan yyyy menunjukan "angka"
> 
> 
> 
>       Contohnya:
> 
>       [C:\Windows\sysytem32\s8787] atau [C:\Wiindows\system32\n8127]
> 
> 
> 
>       -          Hapus file pada direktori [C:\Documents and 
Settings\%user%\Local Settings\Application Data]
> 
>             a.. jalak-932115015-bali.com 
>             b.. dvYYYYYYYx, dimana YYYYYYY menunjukan "angka"
> 
> 
>       Contohnya: 
> 
>               a.. dv6211500x, berisi file: 
>                 a.. Yesbron.com
> 
> 
>       -          Hapus file C:\Windows\system32\c_17832k.com
> 
> 
> 
>       -          Hapus file C:\Baca Bro !!!.txt
> 
> 
> 
>       -          Hapus file [task scheduled] yang dibuat oleh 
W32/Mybro
> 
>         a.. Klik [Start] [Settings] [Control Panel]
> 
>         b.. Klik 2 kali menu [Scheduled task]
> 
>         c.. Hapus file AT1 dan AT2
> 
> 
> 
>       -          Hapus string [daftar website] yang dibuat oleh 
W32/Mybro pada  file host yang yang menyamakan situs Vaksincom dengan 
situs porno yang terletak di 
> 
>       §         C:\Windows\System32\Drivers\ETC
> 
> 
> 
>       Untuk lebih cepatnya, tulis script di bawah ini kedalam 
sebuah notepad kemudian simpan menjadi nama file removeMybro.bat, 
kemudian jalankan file tersebut [klik 2 kali removeMybro.bat]
> 
>             
> 
>       Berikut perintahnya :
> 
> 
> 
>       CD %UserProfile%\Start Menu\Programs\Startup
> 
>       DEL /S /Q Empty.pif
> 
> 
> 
>       msg %username% /time:20 /w /v "Hapus file induk Mybro!"
> 
> 
> 
>       cd %UserProfile%\Local Settings\Application Data
> 
>       Attrib -s -h *.exe
> 
>       DEL /S /Q jalak-932115015-bali.com
> 
>       DEL /Q *.com
> 
>       RD /S /Q dv6211500x
> 
> 
> 
>       cd %UserProfile%\templates
> 
>       DEL /Q *.com
> 
> 
> 
>       cd %WinDir%
> 
>       attrib -s -h *.exe
> 
>       attrib -s -h -r o4178327.EXE /s
> 
>       attrib -s -h -r j6178322.EXE /s
> 
>       attrib -s -h -r _default17832.PIF /s
> 
>       DEL /S /Q o4178327.EXE
> 
>       DEL /S /Q j6178322.EXE
> 
>       DEL /S /Q _default17832.PIF
> 
>       RD /S /Q Ad22098
> 
> 
> 
>       cd %WinDir%\system32
> 
>       attrib -s -h *.exe
> 
>       RD /S /Q s8787
> 
>       RD /S /Q n8127
> 
> 
> 
>       cd %WinDir%\System32
> 
>       attrib -s -h *.exe
> 
>       DEL /S /Q c_17832k.com
> 
>       DEL /S /Q *bron*
> 
>       DEL /S /Q %username%'s*setting.scr
> 
>       REN *msvbvm60.dll* msvbvm60.dll
> 
> 
> 
>       cd %WinDir%\Tasks
> 
>       DEL /Q A*
> 
> 
> 
>       CD C:\
> 
>       DEL /Q *Bro*
> 
> 
> 
>       msg %username% /time:30 /w /v "Hapus String 'PAUSE' pada file 
AUTOEXEC.BAT berikut ini... kemudian simpan!"
> 
>       notepad C:\AUTOEXEC.BAT
> 
> 
> 
>       msg %username% /time:30 /w /v "Hapus daftar website yang 
dibuat Mybro' pada file HOSTS berikut ini... kemudian simpan!"
> 
>       CD %windir%\system32\drivers\etc
> 
>       notepad hosts
> 
> 
> 
>       msg %username% /time:30 "Mybro Remover (c) 2006 - Vaksincom"
> 
> 
> 
>       Catatan:
> 
>       Setelah menjalankan script ini sebaiknya lakukan pengecekan 
ulang untuk memastikan apakah file tersebut masih ada atau telah 
terhapus karena ada beberapa varian yang akan membuat nama file yang 
berbeda-beda.
> 
> 
> 
>       7.       Rename kembali file MSVBVM60.dll yang sudah diubah 
oleh Mybro. Biasanya Mybro akan merubah file tersebut dengan format : 
msvbvm60.dll.xxx, dimana xxx menunjukan angka contohnya : 
msvbvm60.dll.679 kemudian ubah kembali file tersebut menjadi 
msvbvm60.dll
> 
> 
> 
>       8.       Cari dan hapus file duplikat yang dibuat oleh virus, 
dengan ciri-ciri
> 
>       -          Ukuran bervariasi tergantung dari varian Mybro
> 
>       -          Icon yang digunakan berbentuk folder /direktori
> 
>       -          Ekstensi file EXE
> 
>       -          Type file "Application" (lihat gambar 9)
> 
> 
> 
>       Gambar 9, Capture file MyBro yang memalsukan diri sebagai 
direktori
> 
> 
> 
> 
>      
> 
> 
> 
> 
> 
> Teknisi vaksincom yang terlatih siaga membantu semua pelanggan dan 
melakukan kunjungan on site untuk mengatasi masalah virus tanpa biaya 
apapun.
> Silahkan email ke [EMAIL PROTECTED] untuk mendapatkan informasi detail 
layanan PT. Vaksincom. 
> 
> 
> 
> SPONSORED LINKS Computer internet security  Computer internet 
business  Computer internet access  
>       Computer internet privacy securities  Computer security 
virus  Computer internet help  
> 
> 
> --------------------------------------------------------------------
------------
> YAHOO! GROUPS LINKS 
> 
>   a..  Visit your group "vaksin" on the web.
>     
>   b..  To unsubscribe from this group, send an email to:
>    [EMAIL PROTECTED]
>     
>   c..  Your use of Yahoo! Groups is subject to the Yahoo! Terms of 
Service. 
> 
> 
> --------------------------------------------------------------------
------------
> 
> 
> 
> 
> --------------------------------------------------------------------
------------
> 
> 
> Internal Virus Database is out-of-date.
> Checked by AVG Free Edition.
> Version: 7.1.385 / Virus Database: 268.3.0/311 - Release Date: 
4/13/06
> 
> 
>   ----------
> 
> ----------------------------------------- (on 
viruswall.ramayana.co.id)
> 
> email-body was scanned and no virus found
> email-body was scanned and no virus found
> att94c57.jpg was scanned and no virus found
> att94c78.jpg was scanned and no virus found
> att94ca7.jpg was scanned and no virus found
> att94cd7.jpg was scanned and no virus found
> att94cd8.gif was scanned and no virus found
> att94cf9.gif was scanned and no virus found
> att94d09.gif was scanned and no virus found
> att94d1a.jpg was scanned and no virus found
> att94d3a.jpg was scanned and no virus found
> ---------------------------------------------------------
> 
> 
> [Non-text portions of this message have been removed]
>







-- 
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia 
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] 
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: 
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$

[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id 

 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/ITCENTER/

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/
 


Kirim email ke