Cara menghapus Virus Trojan: W32/VBTroj.

VNE (Rieysha)
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
Cirri-ciri virus: Trojan: W32/VBTroj.VNE (Rieysha)
Di komputer anda menampilkan pesan notepad dengan nama file
“system32pesan_dari_rieysha.txt” sebagai berikut
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
Begitu pula pesan tersebut muncul di file MS Word anda dengan nama “system32pesan.doc”
dengan pesan:
yanx kapan kamu balik?
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
Virus ini juga membuat icon gambar dengan rupa seorang gadis bersanggul Icon yang akan
menyertai file virus
Ciri-Ciri komputer yang terinfeksi
• Mengganti tampilan walpaper/desktop
Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup
desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper
ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat
dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
• Merubah format penanggalan dari PM/AM menjadi [Rieysha]
• Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
• Disable beberapa fungsi Windows seperti
o Disable Task Manager
o Menyembunyikan menu ShutDown komputer
o Menyembunyikan Drive
o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses
Drive/Flash Disk
o Menyembunyikan fungsi pencarian file/folder [Search]
o Menyembunyikan [Folder Options]
o Menyembunyikan [Run]
o Menyembunyikan [Start Menu Programs]
Cara membersihkan W32/VBTroj.VNE ((Rieysha)
Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools
tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan
menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan
langkah pembersihan selanjutnya.
1. Hapus file virus di drive
Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file
induk virus.
- Klik [miniPE2XT]
- Klik [Programs]
- Klik [File Management]
- Klik [Windows Explorer]
Kemudian hapus file berikut:
o [C:\] atau Drive lain termasuk Flash disk
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test
Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
hacker.exe
IEfree.exe
Catatan:
Hapus file virus yang mempunyai ciri-ciri:
- Menggunakan icon
- Ukuran 228 KB
- Type file “Application”
- Ekstensi EXE
Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:
- Buka [Windows Explorer]
- Klik tombol [Search]
- Pada kolom “Search for files or folders names” isi dengan format *.exe
- Pada kolom “Look in:” pilih drive yang akan di periksa
- kKik opsi [Search Options >>]
- Pilih opsi “Size”
? Pilih “At most”
? Isi 229
- Klik opsi “Advanced Options”
? Pilih opsi “Search System folders”
? Pilih opsi “Search hidden files and folders”
? Pilih opsi “Search subfolders”
- Klik tombol “Search Now” untuk memulai pencarian
- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan
di atas.
Hapus juga file berikut:
- C:\CeweNakal.scr
- C:\Windows
? Oemlogo.pif
? TAKSMAN.com
? system32folder.htt
? system32desktop.ini
? system32pesan_dari_rieysha.txt
? system32pesan.doc
? system32Autorun.inf
? system32pesanku.bat
? system32pesanQ.htm
? system32klikAku.bat
? system32klik2kali.bat
? system32rieysha.jpg
- D:\Puisi.txt
2. Hapus/edit kembali registry yang sudah diubah virus
o Masih di Mini PE, klik
o Klik MiniPE2XT]
o Klik [Programs]
o Klik [Avast! Registry Editor]
o Klik [Registry Editor]
o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika
muncul layar konfirmasi, klik tombol [OK] (lihat gambar)
o Kemudian cari dan ubah registry berikut:
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
? Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi
[explorer.exe], Kemudian klik tombol [OK]
? Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi
[%System%:\userinit.exe,], Kemudian klik tombol [OK]
Catatan:
%system% ini berbeda-beda:
• [C:\Windows\system32] ? Windows XP/2003
• [C:\Winnt\system32] ? Windows 2000
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
? Hapus string [r13y5h4.exe]
- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
? Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi
CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
? Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi
CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
? Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi
CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian
hapus string berikut:
? Explorer
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
kemudian hapus string berikut:
? NoClose
? NoDrives
? NoDriveTypeAutoRun
? NoFind
? NoFolderOptions
? NoRun
? NoStarMenuMorePrograms
? NoViewOnDrive
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,
kemudian hapus string berikut:
? DisableCMD
? DisableRegistryTools
? DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer,
kemudian hapus string berikut:
? NoCLose
? NoControlPanel
? NoDrives
? NoFind
? NoFolderOptions
? NoLOgoff
? NoRun
? NoSetFolders
? NoTrayContextMenu
? NoViewOnDrive
? NoWindowsUpdate
? StartMenuLogOff
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,
kemudian hapus string berikut:
? NoDispCPL
? DisableRegistryTools
? DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
? Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
? Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
? Hapus string [r13y5h4.exe]
- _User_%user%\Software\Microsoft\Internet Explorer\Main
? Pada string [Start Page] ubah “string value data” menjadi [about:blank]
- _User_%user%\Control Panel\International
? Pada string [s1159] ubah “String value data” menjadi [AM]
? Pada string [s2359] ubah “string value data” menjadi [PM]
3. Restart komputer
4. Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script
dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf
Catatan
Jalankan file repair.inf ini setelah komputer restart
Berikut script yang harus di copy
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
“Explorer.exe”
HKCU, Control Panel\Desktop, Wallpaper,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0,
“Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKCU,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
5. Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6. Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus
caranya:
o Klik kanan repair.inf
o Klik Install
7. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan antivirus yang
up-to-date atau dengan menggunakan removal tools. Anda dapat menggunakan Normal Malware
Cleaner dengan mendownload di alamat berikut:
http://www.norman.com/support/support_tools/58732/en
November 4th, 2009 at 11:07 am
VBS/Cryf.A merupakan virus yang membuat CD-ROM/DVD-ROM selalu terbuka dan juga
menampilkan gambar seram, gambar tersebut disebut-sebut mirip gambar mbah surip maka virus
VBS/Cryf.A dikenal juga dengan sebutan virus mbah Surip yang terkenal dengan lagunya “tak
gendong’.

Ciri-ciri komputer yang terinfeksi virus VBS/Cryf.A

Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang
ditinggalkannya, diantaranya:

* Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang
menampilkan sosok yang cukup “menyeramkan”.

* Mengubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file
yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus.

MY WORLD
WELCOME
SHEMALE
IN TO
THE
MY WORLD
KING OF WORLD
  
* Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file
movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda
bila anda jalankan.

* Mengubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale

* Mengubah type file “Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu
rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file
film.
 

Langkah-langkah menghapus virus VBS/Cryf.A/mbah surip:

1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan
gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang
mempunyai product name ‘Microsoft (r) Windows Script Hosta’ dengan cara:
* Pilih [blok] proses yang mempunyai product name ‘Microsoft (r) Windows Script Hosta’
* Klik kanan pada proses yang sudah di blok
* Pilih [Kill Selected Processes]

2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan
menggunakan fitur ‘Software Restriction Policiesa’, fitur ini hanya ada di Windows
XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:

* Klik menu [Start]

* Klik [Run]
* Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
* Pada layar [Local Security Policy], klik [Software restriction policies]
* Klik kanan pada [software restriction policies] dan pilih [Create new policies]
* Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
* Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File
information] akan terisi informasi dari file tersebut secara otomatis.
* Pada Security Level pilih [Disallowed]
* Pada kolom ‘descriptiona’ isi deskripsi dari nama file tersebut (bebas),

3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut
http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file
induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer
seperti ‘Explorer XP’. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe

Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini,
drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.

5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang

disembunyikan oleh virus, caranya:

* Start]
* Klik [Run]
* Ketik CMD kemudian klik tombol [OK]
* Pada layar ‘Dos Prompt’ pindahkan posisi kursor ke drive yang akan di periksa
* Ketik perintah ATTRIB regedit.exe kemudian klik tombol
* Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni
Taskmgr.exe, cmd.exe dan Logoff.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan
antivirus yang up-to-date.

7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang
telah dibuat pada langkah nomor 2, caranya:
* Klik menu [Start]
* Klik [Run]
* Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
* Pada layar [Local Security Policy], klik 2x [Software restriction policies]
* Klik [Additional Rule]
* Hapus Rule yang pernah Anda buat sebelumnya

 
Referensi:
http://vaksin.com/2009/0709/Cryf/Cryf.html
 VBS/Cryf.A

Virus canggih yang “Tak Gendong” CD Rom selalu terbuka

Di dunia virus lokal, bahasa pemrograman yang menjadi “Cinta Terlarang” adalah Visual Basic. Tetapi
rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus.
Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak
menggunakan bahasa “terlarang” Visual Basic melainkan VBS, virus ini memiliki banyak sekali
kecanggihan seperti mengenkripsi kodenya, merekayasa file virus menjadi file video dan menyebabkan
CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi, sampai korbannya akan
bertanya “What this is ??”. Kalau di ranah musik pop, virus yang satu ini ibaratnya lagu Tak Gendong
yang lagi ngetop. Tertarik ? ... Follow me .... okay :P.

Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang
dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup
berbahaya, contohnya program VBS, walaupun virus ini “hanya” dibuat dengan menggunakan program
VBS tetapi aksi yang dilakukan cukup “menegangkan” juga.

Harap Waspada, saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS, saat ini
penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). Tidak seperti
kebanyakan Virus made in VBS, kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di
baca.

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf.A (lihat gambar 1
dan 2)

 
Gambar 1, Hasil deteksi Norman Security Suite

Gambar 2, File induk VBS/Cryf.A

Ciri komputer yang “Tak Gendong” oleh VBS/Cryf.A

Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya,
diantaranya:

 Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang
menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah
Surip :P (lihat gambar 3)
Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan

 Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang
berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat
gambar 4)
 Gambar 4, Halaman utama yang sudah diubah oleh virus

 Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie
porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda
jalankan.

 Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat
gambar 5)

Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus

 Merubah type file “Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa
sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat
gambar 6)

Gambar 6, Type file [lnk] diubah menjadi “Movie Clip

Ciri-ciri File Virus

File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini
mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi
sehingga kode virusnya tidak mudah di baca.
 

Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs]
yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-
842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni
file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di
dalam komputer target. (lihat gambar 6 dan 7)

Gambar 6, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

Gambar 7, File induk virus

Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player]
seperti yang terlihat pada gambar 8 dibawah ini :

 
Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan

Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer
dinyalakan:

 %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

o svchost.vbs

o desktop.ini

o drvconfg.drv

o SHELL32.dll

 C:\windows

o appsys.exe

o Winupdt.scx

o appopen.scx

o Windowsopen.mht
 o Windows.html

o Regedit.exe.lnk

o Help.htm

 C:\Windows\system\svchost.exe

 C:\WINDOWS\system32

o Svchost.dls

o Corelsetup.scx

o Appsys.dls

o Kernel32.dls

o Taskmgr.exe.lnk

 C:\WINDOWS\system32\

o Winupdtsys.exe

o ssmarque.scr

 C:\Program Files\FarStone\qbtask.exe

 C:\Program Files\ACDsee\Launcher.exe

 C:\Program Files\Common Files\NeroChkup.exe

 C:\Program Files\ExeLauncher

 %ProgramFiles%\drivers\VGA\VGAdrv.lnk

 C:\Documents and Settings\Elvina\Desktop\Local Disk (C).dls

Catatan:

%Drive% adalah lokasi Drive (contoh: C:\ atau D:\]

%Program Files adalah [C:\Program Files]

Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa
string pada registry berikut:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 o ACDsee = c:\Program Files\ACDsee\Launcher.exe

o CorelSetup = C:\WINDOWS\system32\Corelsetup.scx

o updtsystem = C:\WINDOWS\system32\Winupdtsys.exe

o VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk

o VirtualCD Task = c:\Program Files\FarStone\qbtask.exe

o WinSystem = c:\Windows\Windowsopen.mht

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

o Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe

c:\windows\WinUpdt.scx

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

o NeroFilterCheck = c:\Program Files\Common Files\NeroChkup.exe

 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

o Start Page = C:\WINDOWS\windows.html

Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia
akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file
[C:\Windows\System32\wscript.exe]

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile

o [Default] = VBScript Script File

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command

o [Default] = %SystemRoot%\System32\wscript.exe %1

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile

o [Default] = VBScript Script File

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command

o [Default] = %SystemRoot%\System32\wscript.exe %1

Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti :
  Task Manager

 Regedit

 CMD

 MSCONFIG

 Tidak dapat merubah Wallpaper

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

 NoChangingWallpaper

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

 nobandcustomize

 nochangestartmenu

 NoDriveAutoRun

 NoDrivetypeautorun

 NoFileAssociate

 nosavesettings

 NOTOOLBARCUSTOMIZE

 NoRecycleFiles

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

 DisableCMD

 DisableRegistryTools

 DisableTaskMgr

 NoDispScrSavPage

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

 NoDriveAutoRun

 NoDriveTypeAutoRun = 95
Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task
Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe
dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai
dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika
user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error
berikut (lihat gambar 9 dan 10) :

Gambar 9, Pesan error saat menjalankan salah satu fungsi Windows

Gambar 10, File gadungan [regedit.exe.lnk] yang dibuat oleh virus

Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus
sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan
menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].

Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan
file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut:

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\CMD.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\msconfig.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\regedit.exe

 Debugger = C:\WINDOWS\appsys.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedt32.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\TaskMgr.exe

 Debugger = ntsd –d

 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment

 ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe

c:\windows\WinUpdt.scx

 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment

 ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe

c:\windows\WinUpdt.scx

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

 ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe

c:\windows\WinUpdt.scx

Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti
PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah
ditentukan dengan membuat string pada registry berikut :

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\viremoval.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\Winupdtsys.exe

 Debugger = C:\windows\system\svchost.exe "c:\windows\system32\kernel32.dls"

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\tasklist.exe

 Debugger =

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\setup.exe

 Debugger = ntsd –d
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\NeroChkup.exe

 Debugger = C:\windows\system\svchost.exe "c:\windows\system32\svchost.dls"

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\PCMAV.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\PCMAV-CLN.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\PCMAV-RTP.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\PCMAV-SE.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\qbtask.exe

 Debugger = C:\windows\system\svchost.exe
"c:\windows\system32\Corelsetup.scx

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\install.exe

 Debugger = ntsd -d

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\Integrator.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\ise32.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\Launcher.exe

 Debugger = C:\windows\system\svchost.exe"c:\windows\appopen.scx"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\a.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\ansav.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\ansavgd.exe

 Debugger = C:\WINDOWS\appsys.exe

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\appsys.exe

 Debugger = C:\WINDOWS\system32\wscript.exe
"c:\windows\system32\appsys.dls"

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\autorun.exe

 Debugger = ntsd -d

Aktif otomatis memanfaatkan file [.reg/.vbs/.inf]

Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file
[C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang
mempunyai ekstensi berikut:

 .reg

 .vbs

 .inf

Untuk melakukan hal ini, ia akan membuat string pada registry berikut:

o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman

 [Default] = C:\Program Files\ExeLauncher\Launcher.exe

o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

 [Default] = C:\Program Files\ExeLauncher\Launcher.exe

 o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open

 Command = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command

 [Defalut] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

o HKEY_CLASSES_ROOT\regfile\shell\edit\command

 [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

o HKEY_CLASSES_ROOT\regfile\shell\open\command

 [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command

 [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command

 [Default] = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

Rekayasa sosial “Album BOKEP”

Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat
sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk. Dengan nama folder
tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di
dalam nya. File dengan icon “Windows Media Player” ini seolah-olah merupakan file Video “Mesum” yang
jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121-
842a92511246-500\Thumbs.db\svchost.vbs] (lihat gambar 11)

Gambar 11, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut
menjadi “Movie Clip” sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan
menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string pada registry
berikut

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile
  [Default] = Movie Clip

 NeverShowExt

VBS/Cryf.A juga akan merubah type file dari “VBScript Script File” menjadi “Application” serta merubah
icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah
string registry berikut:

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile

 FriendlyTypeName = Application

 NeverShowExt

 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon (lihat gambar 12)

 [Default] = %SystemRoot%\system32\SHELL32.dll,2

Gambar 12, File VBS yang telah diubah oleh virus

Aktif pad mode “safe mode” dan “safe mode with command prompt”

Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode “safe mode” dan “safe mode”
with command prompt dengan membuat string pada registry berikut

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

o Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe

c:\windows\WinUpdt.scx

 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt.scx

Registry lain
VBS/Cryf.A juga akan membuat registry berikut:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

o Logon User Name = Shemale

 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

o AltDefaultUserName = Shemale

o DefaultUserName = Shemale

 HKEY_CURRENT_USER\Control Panel\International

o s1159 = [kosong]

o s2359 = [kosong]

Jejak virus

Sperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di
komputer target. VBS/Cryf.A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file
diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat
menjalankan program Internet Explorer atau saat screen saver Windows aktif.

Berikut beberapa pesan yang dibuat oleh VBS/Cryf.A

 Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5)

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

 RegisteredOrganization = Shemale

 RegisteredOwner = CRY

 Menampilkan jendela Internet Explorer yang berisi gambar berikut , gambar ini akan di tampilkan
secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3)

Untuk melakukan hal ini ia akan merubah string pada registry berikut:

o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 WinSystem = c:\Windows\Windowsopen.mht

 Menampilkan pesan “King of The World” saat membuka jendela Internet Explorer (lihat gambar 4)

Untuk melakukan hal ini ia akan merubah string pada registry berikut:
 o HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

 Start Page = C:\WINDOWS\windows.html

 Menampilkan pesan “SHEMALE By CRY” saat screen saver Windows aktif dengan terlebih
dahulu merubah string pada registry berikut (lihat gambar 12)

o HKEY_CURRENT_USER\Control Panel\Desktop

 SCRNSAVE.EXE = C:\WINDOWS\system32\ssmarque.scr

Gambar 12, Screen saver yang akan ditampilkan oleh VBS/Cryf.A

Promosi

Seolah-olah untuk menebus segala “dosa-dosa” nya, ia akan menyertakan link untuk mendownload
removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah
file yang disimpan di direktori [C:\Windows\help.html] (lihat gambar 13)

 
Gambar 13, Link yang ditampilkan oleh virus

Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat
[http://www.dinamikasolusi.co.nr], yang ternyata berisi “PROMOSI BUKU” tentang bagaimana “cara
membuat antivirus dengan Visual Basic”. (lihat gambar 14)

 
Gambar 14, Alamat promosi yang akan ditampilkan oleh Virus

Media Penyebaran

Untuk menenyebarkan dirinya, ia akan memanfaatkan Flash Disk dengan cara membuat file folder
berikut:

 %Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

o svchost.vbs

o desktop.ini

o drvconfg.drv

o SHELL32.dll

 Autorun.inf

 Dataku Penting Jangan Dihapus.lnk, jika di jalankan akan mengaktifkan file [%Flash Disk
%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.vbs]
  %Flash Disk%:>Album BOKEP\Naughty America, jika di jalankan akan mengaktifkan file [%Flash
Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-
500\Thumbs.db\svchost.vbs]

o My friends hot mom - sativa rose.wmv.lnk

o My Sister Hot Friend - Courtney Dani.wmv.lnk

o Naughty America 2009 - Vicky Vette.Mpeg.lnk

Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf]
yang akan menjalankan file [Shell32.dll] kemudian file ini yang akan menjalankan file induk utama dari
virus yakni [drvconfg.drv]. (lihat gambar 15)

Catatan:

%Drive%, menunjukan lokasi Drive [contohnya: C:\, D:\]

%FlashDisk, menunjukan lokasi Flash Disk

Gambar 15, Cript autorun.inf

Gambar 16, Isi script [Shell32.dll]

Cara pembersihan VBS/Cryf.A

1. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan
gunakan tools pengganti task manager seperti [Currproses], kemudian matikan proses yang
mempunyai product name “Microsoft (r) Windows Script Host” dengan cara : (lihat gambar 17)

o Pilih [blok] proses yang mempunyai product name “Microsoft (r) Windows Script Host”

o Klik kanan pada proses yang sudah di blok

o Pilih [Kill Selected Processes]

 Gambar 17, Gunakan Curr Process untuk mematikan proses virus

2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan
menggunakan fitur “Software Restriction Policies”, fitur ini hanya ada di Windows
XP/2003/Vista/2008.

Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18)

 Klik menu [Start]

 Klik [Run]

 Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]

 Pada layar [Local Security Policy], klik [Software restriction policies]

 Klik kanan pada [software restriction policies] dan pilih [Create new policies]

 Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
Gambar 18, Menentukan file yang akan diblok

 Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada
kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
(lihat gambar 19)
Gambar 19, Pilih file yang akan diblok.

 Pada Security Level pilih [Disallowed]

 Pada kolom “description” isi deskripsi dari nama file tersebut (bebas),

 Pilih [OK]

Catatan:

Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan
peringatan berikut : (lihat gambar 20)
 Gambar 20, Pesan peringatan saat menjalankan file yang di blok

3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut :
(lihat gambar 21)

http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

Gambar 21, Cara menjalankan tools FixRegistry

1. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows

2. Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows

3. Pada kolom [ShellWindows] isi dengan format explorer.exe

4. Pada kolom [Userinit Windows] isi dengan format berikut

 Windows NT/2000 = C:\WinNT\System32\userinit.exe,

 Windows XP/2003/Vista = C:\Windows\System32\userinit.exe,

5. Kemudian klik tombol [Set]

6. Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya

4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk
tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti
“Explorer XP”. Silahkan download di alamat berikut:

http://www.explorerxp.com/explorerxpsetup.exe

Setelah software tersebut di install, cari dan hapus file berikut:

 %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

o svchost.vbs

o desktop.ini

o drvconfg.drv

o SHELL32.dll

 %Drive%:\Album BOKEP\Naughty America

 C:\windows

o appsys.exe

o Winupdt.scx

o appopen.scx

o Windowsopen.mht

o Windows.html

o Regedit.exe.lnk

o Help.htm

 C:\Windows\system\svchost.exe

 C:\WINDOWS\system32

o Taskmgr.exe.lnk

o CMD.exe.lnk

o Svchost.dls

o Corelsetup.scx

o Appsys.dls

o Kernel32.dls

o Winupdtsys.exe

o ssmarque.scr

 C:\Program Files\FarStone\qbtask.exe
 C:\Program Files\ACDsee\Launcher.exe

 C:\Program Files\Common Files\NeroChkup.exe

 C:\Program Files\ExeLauncher

 %ProgramFiles%\drivers\VGA\VGAdrv.lnk

 C:\Documents and Settings\%user%\Desktop\Local Disk (C).dls

 %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk

Catatan:

%Drive%, menunjukan lokasi Drive [C:\ atau D:\]

%Flash Disk%, menunjukan lokasi Flash Disk

5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang

disembunyikan oleh virus, caranya : (lihat gambar 22)

1. Klik menu [Start]

2. Klik [Run]

3. Ketik CMD kemudian klik tombol [OK]

4. Pada layar “Dos Prompt” pindahkan posisi kursor ke drive yang akan di periksa

5. Ketik perintan ATTRIB –s –h –r regedit.exe kemudian klik tombol “enter”

6. Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan
yakni Taskmgr.exe, cmd.exe dan Logoff.exe
 Gambar 22, Menampilkan file yang disembunyikan

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan
antivirus yang up-to-date.

7. Jika komputer sudah benar-bernar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah
dibuat pada langkah no. (2), cara nya : (lihat gambar 23)

 Klik menu [Start]

 Klik [Run]

 Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]

 Pada layar [Local Security Policy], klik 2x [Software restriction policies]

 Klik [Additional Rule]

 Hapus Rule yang pernah Anda buat sebelumnya

8. Untuk mencegah infeksi ulang, gunakan antivirus yang sudah dapat mendeteksi dan membasmi
virus ini dengan baik.

Salam,

Aj Tau

info@vaksin.com

 
PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

Bagi anda yang ingin memberikan komentar atau bertanya mengenai virus Cryf atau Shemale by Cry,
silahkan klik Forum khusus virus Cryf, http://www.facebook.com/topic.php?uid=44419857236&topic=8884

Cara menghapus Virus autorun.inf alias

k4l0n6
Written by Administrator   
Wednesday, 23 December 2009
Virus yang satu ini memang sering bikin kesal banyak user komputer, pasalnya virus autorun.inf
ini alias k4l0n6 kata orang gk bisa dihapus, meskipun cara kerjanya gak separah virus brontok,
trojan dsb, tetapi virus ini sering memebuat kita naik darah. Ditambah lagi virus autorun.inf ini
sangat cinta flashdisk kwkwk..Menghapus virus autorun.inf tidak serumit yang anda fikir, ada
trick khusus yang digunakan untuk menghapus virus yang satu ini. Mau tahu caranya?...silakan
perhatikan step by step cara menghapus virus autorun.inf dibawah ini.
 

1. Buka My Computer pilih Tools/Folder Options/unchecked hidden software, anda juga

bisa menambahkan chek hidden file.
2. Kemudian lihat di Root Directory (C), terlihat ada file “k4l0n6.sys.vbs”. Inilah  file induk
virus kalong tersebut.
3. File “k4l0n6.sys.vbs” ini tidak dapat anda hapus sebelum anda menghapus file yang
terkait dengan file ini.
4. Buka dan pelajari virus tersebut cukup dengan Notepad atau text editor lainnya
5. Jalankan Start/Run dan ketik REGEDIT, trus aapus file-file yang ada hubungannya ama
virus kalong sebagai berikut.
6. Hapus “X2 ATTCK” ada di "HKEY_CURRENT_USER/Software /Microsoft/Internet
Explorer/Main/Window Title",":: X2 ATTACK ::"
7. Hapus KALONG-X2/1 ada di
"HKEY_CURRENT_USER/Software/Microsoft/Windows
/CurrentVersion/Explorer/RunMRU/a", "KALONG-X2/1"
8. Hapus “a” ada di "HKEY_CURRENT_USER/Software/Microsoft
/Windows/CurrentVersion/Explorer/RunMRU/MRUList", "a"
9. Hapus tulisan vaksin.com ada di "HKEY_CURRENT_USER/Software/
Microsoft/Internet Explorer/Main/Start Page", "http://www.vaksin.com"
10. Hapus Kalong X2 ada di "HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Winlogon/LegalNoticeCaption", "KALONG-X2"
11. Hapus kata-kata Komputer anda Diambil alih ada di
"HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Winlogon/LegalNoticeText", "Komputer Anda Diambil Alih"
12. Hapus file recycle.vbs ada di "HKEY_LOCAL_MACHINE/Software/Microsoft/
Windows/CurrentVersion/Run/Ageia", syspath & "/recycle.vbs"
13. Terakhir hapus file “autorun.inf” di root directory ini mencegah induk virus membuat
filenya kembali setiap kali dihapus.
14. Lalu restart komputer agan. Mud-mudahan anda berhasil..selamat mencoba....