Beberapa hari yang lalu komputernya anak-anak Kame
House kena Virus. Belom tau juga sih ini merupakan
jenis virus, trojan, virus like, atau droper, yang
jelas ini kerjaan orang iseng yang kurang kerjaan.
Namanya "BRONTOK.A" dicompile dengan Visual Basic.
kalo engga' salah bikinan si HVM31 atao si jowobot
pokoknya kaya' gitu dech.. belom tau juga
penyebarannya gimana, tapi yang terjadi di Kame House
disebarin lewat Flash Disk, pada flash disk terdapat
sebuah folder user's settings atau apa settings
pokoknya kalo ada folder di flash disk yang kemudian
jika di klik maka akan langsung membuka folder
Document and settings, itulah si brontok.
ada beberapa ciri yang telah kuperoleh selama
penelitian 2 malam di Kame :
-Kalo nyalain Command / Dos prompt, Regedit, Ms
Config, dan tools lain untuk menangani system, maka
windows akan langsung restart.
-Folder Option pada pada Control Panel dan Windows
Explorer hilang.
-System jadi melambat
-Ada pesan tertentu yang muncul tiap beberapa saat
dalam format HTML, isinya tulisan tentang : koruptor,
maksiat, free sex (go to hell), dst. terinspirasi oleh
elang brontok by...
-sound system kadang error --> mungkin & 100% masih
diragukan -- dalam penelitian
-besar file EXE nya 80.0 Kb semua File EXE nya
menggunakan icon seperti icon folder pada windows
Explorer.
terus gue cari gimana ngilanginnya, & ketemu juga:
-restart pada Safe Mode -> sebelum masuk windows
pencet tombol F8 untuk opsi booting.
-coba di search termasuk hidden files di drive System
ex : C:\ cari file : ElnorB.exe (hidden) --> biasanya
di Windows\ShellNew , File User's Settings.scr/
administrator settings.scr/ namakamu's settings.scr
terus semuanya di delete.
-search lagi file kali ini dengan keyword -> tok <-
maka akan muncul beberapa jumlah file yang berisi kata
tok, file bararontok.exe, folder brontok 2.04, file
dan file2 lainnya. yang perlu diperhatikan adalah
dimana file System dan dimana file virusnya. setelah
itu delete file2 tersebut -> hati-hati dalam menghapus
file jangan keluri sama file system seperti BOOTOK.EXE
-> pd winXP
-pada folder brontok 2.04 klik kanan -> open
containing folder, maka disitu terdapat beberapa file
dan folder biasanya pada folder Document and
settings\%userprofile%\local setting\application
data\. lha pada folder tersebut copyan virus ini juga
bersarang.
-untuk dapat mengapus file2 jahat tadi diperlukan
menggunakan Dos Prompt, soalnya Folder Option
dihilangkan sehingga File&Folder yang di Hidden tidak
bisa di liat secara langsung.
-biasanya pada safe mode jika pada mode ini anda tidak
menjalankan program virus ini secara manual ( dengan
mengklik ) biasanya Command Prompt masih bisa
berjalan. setelah itu pindah baca file2 hidden pada
Document and settings\%userprofile%\loccal
settings\application data\
untuk lebih mudah copykan file CMD.EXE dari direktori
Windows\system32 ke direktori tersebut terus jalankan.
ketikkan comman berikut
dir /ah terus di enter maka semua file&folder yg
hidden akan terlihat. jika terlihat file bernama
winlogon.exe, smss.exe, lsass.exe, services.exe dan
semuanya memiliki file size sekitar 80.0 Kb maka
itulah file virusnya. deletlah file2 tersebut dengan
perintah del *.exe
kemudian coba pada folder %usserprofile% yang lain,
misalnya komputer dipakai oleh 2 user a dan b dan
Windows pada C:\ maka foldernya adalah: C:\Documents
and settings\b\local settings\application data\ -->
begitu juga untuk user a tinggal ganti b menjadi a.
-kemudian carilah file dengan nama Empty.pif ( gunakan
opsi search hidden file ) biasanya terletak pada
folder startup --> kalo ga salah. terus deletlah file
tersebut.
-kemudian jalankan MsConfig melalui start --> run dan
ketikkan msconfig kemudian enter. dalam keadaan safe
mode normal (yg belum tercemar) msconfig masih bisa
dijalankan. terus hapuslah daftar file run pada tab
startup. file ElnorB.exe, Empty.pif, smss.exe pd
folder Document and Setting\...
-setelah itu cobalah restart windows pada mode normal.
coba jalankan command prompt atau regedit atau
msconfig. jika komputer masih restart maka lakukan
pendeletan ulang file2 diatas.. tentunya pada normal
mode. jika command prompt sudah bisa jalan maka virus
sudah hilang ( mungkin ) tetapi ada permasalahan lain
yaitu.. kadang dan kebanyakan walopun command prompt
dan msconfig udah bisa jalan pada normal mode tetapi
pengaksesan registry masih di disable dan pilihan
folder option juga masih di disable.
-untuk mengembalikannya gunakan program management
console Group Policy Editor
Windows\system32\Gpedit.msc pada
* User Configuration -> Administrative Templates -->
Windows Explorer
-> double click pada jendela kanan - Removes the
Folder Options item from the Tools menu --> settings
-> pilih disable -> OK
* Computer Cofiguration -> Administrative Template ->
Group Policy -> Registry Policy Processing -> Enable
-> Ok --> be careful for this
-berdoa semoga tidak ada yang salah tulis dan semua
berhasil diatasi
amin
No comments:
Post a Comment