P. 1
Cara Menghapus Virus Trojan

Cara Menghapus Virus Trojan

|Views: 477|Likes:
Dipublikasikan oleh tediazzu34

More info:

Published by: tediazzu34 on Aug 07, 2010
Hak Cipta:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

10/25/2012

pdf

text

original

Cara menghapus Virus Trojan: W32/VBTroj.VNE (Rieysha) sayang kapan kamu kembali ke indonesia?

apa kamu kembali dengan hatimu yang dulu? Cirri-ciri virus: Trojan: W32/VBTroj.VNE (Rieysha) Di komputer anda menampilkan pesan notepad dengan nama file ³system32pesan_dari_rieysha.txt´ sebagai berikut sayang kapan kamu kembali ke indonesia? apa kamu kembali dengan hatimu yang dulu? by:rieysha Begitu pula pesan tersebut muncul di file MS Word anda dengan nama ³system32pesan.doc´ dengan pesan: yanx kapan kamu balik? aku sudah kangen berat nih kenapa sih mesti pergi jauh dariku apa kamu kembali dengan hatimu yang dulu apa aku akan merasakan kehangatan cinta yang dulu Virus ini juga membuat icon gambar dengan rupa seorang gadis bersanggul Icon yang akan menyertai file virus Ciri-Ciri komputer yang terinfeksi ‡ Mengganti tampilan walpaper/desktop Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode ³DOS´ atau dengan menggunakan software lain seperti ³Mini PE´ ‡ Merubah format penanggalan dari PM/AM menjadi [Rieysha] ‡ Merubah nama Organisasi dan pemilik OS menjadi - RegisteredOrganization = kamu kembali - RegisteredOwner = sayang kapan ‡ Disable beberapa fungsi Windows seperti o Disable Task Manager o Menyembunyikan menu ShutDown komputer o Menyembunyikan Drive o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk o Menyembunyikan fungsi pencarian file/folder [Search] o Menyembunyikan [Folder Options] o Menyembunyikan [Run] o Menyembunyikan [Start Menu Programs] Cara membersihkan W32/VBTroj.VNE ((Rieysha) Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya. 1. Hapus file virus di drive Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.

- Klik [miniPE2XT] - Klik [Programs] - Klik [File Management] - Klik [Windows Explorer] Kemudian hapus file berikut: o [C:\] atau Drive lain termasuk Flash disk o C:\Windows o C:\Windows\system32 o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe [Contoh: Application Data90Admin.exe] o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe [Contoh: Application Data90r13y5h4ku.exe] o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe [Contoh: Startup90AVG Test Center.exe] 26 files o C:\Documents and Settings\win321.exe o C:\WINDOWS\Web\Printers\Write.exe o C:\WINDOWS\Web\download.exe o C:\Windows\Cursors\newCursor.exe o C:\Windows\Debug\adminMode.exe o C:\Windows\Font\rieyshaTrueType.exe o C:\Windows\Help\userhelping.exe o C:\Windows\java\packet.exe o C:\Windows\Media\newmedia.exe o C:\Windows\msagent\agentkvr.exe o C:\Windows\registration\registy.exe o C:\Windows\repair\setup.exe o C:\windows\tasks\newScedule.exe o C:\windows\system32\win34.exe o C:\WINDOWS\system\oeminfo.exe o C:\Windows\softwaredistribution\downloads.exe o C:\Program Files\Internet Explorer hacker.exe IEfree.exe Catatan: Hapus file virus yang mempunyai ciri-ciri: - Menggunakan icon - Ukuran 228 KB - Type file ³Application´ - Ekstensi EXE Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya: - Buka [Windows Explorer] - Klik tombol [Search] - Pada kolom ³Search for files or folders names´ isi dengan format *.exe - Pada kolom ³Look in:´ pilih drive yang akan di periksa - kKik opsi [Search Options >>]

- Pilih opsi ³Size´ ? Pilih ³At most´ ? Isi 229 - Klik opsi ³Advanced Options´ ? Pilih opsi ³Search System folders´ ? Pilih opsi ³Search hidden files and folders´ ? Pilih opsi ³Search subfolders´ - Klik tombol ³Search Now´ untuk memulai pencarian - Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas. Hapus juga file berikut: - C:\CeweNakal.scr - C:\Windows ? Oemlogo.pif ? TAKSMAN.com ? system32folder.htt ? system32desktop.ini ? system32pesan_dari_rieysha.txt ? system32pesan.doc ? system32Autorun.inf ? system32pesanku.bat ? system32pesanQ.htm ? system32klikAku.bat ? system32klik2kali.bat ? system32rieysha.jpg - D:\Puisi.txt 2. Hapus/edit kembali registry yang sudah diubah virus o Masih di Mini PE, klik o Klik MiniPE2XT] o Klik [Programs] o Klik [Avast! Registry Editor] o Klik [Registry Editor] o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK] (lihat gambar) o Kemudian cari dan ubah registry berikut: - _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ? Klik 2x pada string [Shell], kemudian pada kolom ³string value data´ ubah menjadi [explorer.exe], Kemudian klik tombol [OK] ? Klik 2x pada string [Userinit], kemudian pada kolom ³string value data´ ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK] Catatan: %system% ini berbeda-beda: ‡ [C:\Windows\system32] ? Windows XP/2003 ‡ [C:\Winnt\system32] ? Windows 2000 - _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run ? Hapus string [r13y5h4.exe]

kemudian klik tombol [OK] ._LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer._LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.exe.exe. kemudian hapus string berikut: ? DisableCMD ? DisableRegistryTools ? DisableTaskMgr . kemudian pada kolom [String Value Data] ganti menjadi CMD._LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies. kemudian hapus string berikut: ? NoCLose ? NoControlPanel ? NoDrives ? NoFind ? NoFolderOptions ? NoLOgoff ? NoRun ? NoSetFolders ? NoTrayContextMenu ? NoViewOnDrive ? NoWindowsUpdate ? StartMenuLogOff ._LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot ? Klik 2x pada string [AlternateShell].exe._LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot ? Klik 2x pada string [AlternateShell]. kemudian hapus string berikut: ? NoClose ? NoDrives ? NoDriveTypeAutoRun ? NoFind ? NoFolderOptions ? NoRun ? NoStarMenuMorePrograms ? NoViewOnDrive . kemudian hapus string berikut: ? NoDispCPL ? DisableRegistryTools ? DisableTaskMgr . kemudian pada kolom [String Value Data] ganti menjadi CMD._LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System. kemudian klik tombol [OK] ._LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot ? Klik 2x pada string [AlternateShell]._LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer. kemudian pada kolom [String Value Data] ganti menjadi CMD.. kemudian hapus string berikut: ? Explorer . kemudian klik tombol [OK] .

0.0. SYSTEM\CurrentControlSet\Control\SafeBoot. Software\CLASSES\batfile\shell\open\command.....´´´%1 ´ %*´ HKLM. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.. Wallpaper. Software\CLASSES\exefile\shell\open\command.. HKCU.0. SYSTEM\ControlSet001\Control\SafeBoot. NoDriveTypeAutoRun. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.. ³Owner´ HKCU.255 [del] .inf Catatan Jalankan file repair. ³about:blank´ HKCU.._User_%user%\Control Panel\International ? Pada string [s1159] ubah ³String value data´ menjadi [AM] ? Pada string [s2359] ubah ³string value data´ menjadi [PM] 3. ³AM´ HKCU. SOFTWARE\Classes\exefile. Software\CLASSES\scrfile\shell\open\command.. Control Panel\Desktop.._LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT ? Pada string [RegisteredOrganization] ubah ³string value data´ sesuai dengan keinginan Anda ? Pada string [RegisteredOwner] ubah ³string value data´ sesuai dengan keinginan Anda .´regedit.. silahkan copy script dibawah ini pada program ³notepad´ kemudian simpan dengan nama repair. SOFTWARE\Microsoft\Windows NT\CurrentVersion. Fix ulang registry untuk memastikan semua registry sudah di perbaiki. ³cmd. RegisteredOrganization. ³Organization´ HKLM. AlternateShell. Shell.´´´%1 ´ %*´ HKLM.exe] .. Restart komputer 4. Control Panel\International.0. s2359. ³Explorer.0. Start Page. Software\Microsoft\Internet Explorer\Main._User_%user%\Software\Microsoft\Internet Explorer\Main ? Pada string [Start Page] ubah ³string value data´ menjadi [about:blank] . SOFTWARE\Microsoft\Windows NT\CurrentVersion.exe ³%1 ´ HKLM.´´´%1 ´ %*´ HKLM.0×000000ff. Software\CLASSES\comfile\shell\open\command.inf ini setelah komputer restart Berikut script yang harus di copy [Version] Signature=´$Chicago$´ Provider=Vaksincom Oyee [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM. Software\CLASSES\regfile\shell\open\command.´´´%1 ´ %*´ HKLM.. s1159.application HKLM.exe´ HKLM.. ³cmd. ³PM´ HKLM. NoDriveTypeAutoRun.255 HKLM.´´´%1 ´ %*´ HKLM..exe´ HKLM. RegisteredOwner.0.0._USER_%user%Software\Microsoft\Windows\CurrentVersion\Run ? Hapus string [r13y5h4. Control Panel\International.0×000000ff. Software\CLASSES\piffile\shell\open\command.0. SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. AlternateShell.0.exe´ HKCU.

NoFind HKLM.DisableTaskMgr HKCU.DisableCMD HKCU.norman. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.NoClose HKLM.NoTrayCOntextMenu HKLM. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system.NoFolderOptions HKCU.NoViewOnDrive HKLM. Jalankan repair.NoControlPanel HKLM. Anda dapat menggunakan Normal Malware Cleaner dengan mendownload di alamat berikut: http://www. silahkan scan dengan antivirus yang up-to-date atau dengan menggunakan removal tools. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.NoSetFolders HKLM. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.com/support/support_tools/58732/en November 4th. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.NoFind HKCU.NoWindowsUpdate HKLM.exe HKCU. Software\Microsoft\Windows\CurrentVersion\Policies\System.NoDrives HKLM. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. Software\Microsoft\Windows\CurrentVersion\Policies\System.NoDrives HKCU.NoFolderOptions HKLM. Software\Microsoft\Internet Explorer\Main.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya: o Klik kanan repair. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. r13y5h4.HKCU.NoTrayContextMenu HKCU. Software\Microsoft\Windows\CurrentVersion\Policies\System.DisableRegistryTools HKLM. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.DisableRegistryTools HKCU.NoRun HKLM. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system.NoViewContextMenu HKCU. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.DisableTaskMgr HKCU. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.NoDispCPL HKLM.NoStarMenuMorePrograms HKCU. Softawre\microsoft\Windows\currentVersion\Run.NoViewOnDrive HKLM.NoLogoff HKLM. Window Title 5. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. 2009 at 11:07 am . Untuk pembersihan optimal dan mencegah infeksi ulang. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer. Software\Microsoft\Windows\CurrentVersion\Policies. explorer HKCU. SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer.NoClose HKCU. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. kemudian login tanpa menggunakan CD Mini PE 6.NoRun HKCU.NoRecentDocsMenu HKCU.NoStartMenuLogoff HKLM. Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.inf o Klik Install 7. Restart komputer.

kemudian matikan proses yang mempunyai product name µMicrosoft (r) Windows Script Hosta¶ dengan cara: .A mudah dikenali dengan beberapa jejak yang ditinggalkannya. * Mengubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.A dikenal juga dengan sebutan virus mbah Surip yang terkenal dengan lagunya ³tak gendong¶. Matikan proses virus yang sedang aktif di memori. * Mengubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale * Mengubah type file ³Shortcut´ [.lnk´ adalah file film.A Komputer yang terinfeksi VBS/Cryf.VBS/Cryf.A/mbah surip: 1. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti Currproses. Langkah-langkah menghapus virus VBS/Cryf. MY WORLD WELCOME SHEMALE IN TO THE MY WORLD KING OF WORLD * Ada folder ³Album BOKEP´ di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap ³menggendong´ komputer anda bila anda jalankan. gambar tersebut disebut-sebut mirip gambar mbah surip maka virus VBS/Cryf. akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup ³menyeramkan´. diantaranya: * Pada saat komputer pertama kali dinyalakan.html] yang berisi pesan dari pembuat virus.lnk] mejadi ³Movie Clip´ yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus ³. Ciri-ciri komputer yang terinfeksi virus VBS/Cryf.A merupakan virus yang membuat CD-ROM/DVD-ROM selalu terbuka dan juga menampilkan gambar seram.

hapus rule blok file [WSCript.exe/Regedt32. Silahkan download di alamat berikut: http://www.exe] yang telah dibuat pada langkah nomor 2.vbs.exe 6.explorerxp. caranya: . Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis. Untuk blok file tesebut lakukan langkah berikut: * Klik menu [Start] * Klik [Run] * Pada dialog box [Run]. caranya: * Start] * Klik [Run] * Ketik CMD kemudian klik tombol [OK] * Pada layar µDos Prompt¶ pindahkan posisi kursor ke drive yang akan di periksa * Ketik perintah ATTRIB regedit.dll.exe kemudian klik tombol * Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti µExplorer XP¶. 7.drv. SHELL32. 3. File induk virus ini akan disembunyikan. cmd.exe] yang disembunyikan oleh virus. %Drive%:\Album BOKEP\Naughty America dan C:\windows.html 4. * Pada Security Level pilih [Disallowed] * Pada kolom µdescriptiona¶ isi deskripsi dari nama file tersebut (bebas). Tampilkan file [TaskMgr.exe dan Logoff.exe Setelah software tersebut di install. klik [Software restriction policies] * Klik kanan pada [software restriction policies] dan pilih [Create new policies] * Kemudian klik kanan di [Additional Rule]. Fix Registry dengan menjalankan file [FixRegistry. fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.ini. ketik SECPOL. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur µSoftware Restriction Policiesa¶. cari dan hapus file berikut: svchost.4shared. desktop. Jika komputer sudah benar-benar bersih dari virus. * Di Kolom [File Hash].exe/Regedit. drvconfg. klik tombol [Browse] dan pilih file yang akan diblok.exe.MSC kemudian klik tombol [OK] * Pada layar [Local Security Policy]. Hapus file induk virus yang telah dibuat.exe].com/file/117095567/3ea8e8ce/_4__FixRegistry.com/explorerxpsetup. dan pilih [New Hash Rule]. 5.exe/CMD.exe/Logoff. silahkan download di alamat berikut http://www.* Pilih [blok] proses yang mempunyai product name µMicrosoft (r) Windows Script Hosta¶ * Klik kanan pada proses yang sudah di blok * Pilih [Kill Selected Processes] 2.

ketik SECPOL.* Klik menu [Start] * Klik [Run] * Pada dialog box [Run].MSC kemudian klik tombol [OK] * Pada layar [Local Security Policy]. klik 2x [Software restriction policies] * Klik [Additional Rule] * Hapus Rule yang pernah Anda buat sebelumnya Referensi: http://vaksin.html .com/2009/0709/Cryf/Cryf.

Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic.VBS/Cryf. Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak menggunakan bahasa ³terlarang´ Visual Basic melainkan VBS. Tidak seperti kebanyakan Virus made in VBS. Tetapi rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus. Tertarik ? . Follow me . sampai korbannya akan bertanya ³What this is ??´.A (lihat gambar 1 dan 2) .. virus yang satu ini ibaratnya lagu Tak Gendong yang lagi ngetop. Kalau di ranah musik pop. Harap Waspada. kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di baca. bahasa pemrograman yang menjadi ³Cinta Terlarang´ adalah Visual Basic. contohnya program VBS. virus ini memiliki banyak sekali kecanggihan seperti mengenkripsi kodenya.. Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf. saat ini penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). okay :P. walaupun virus ini ³hanya´ dibuat dengan menggunakan program VBS tetapi aksi yang dilakukan cukup ³menegangkan´ juga. merekayasa file virus menjadi file video dan menyebabkan CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi.A Virus canggih yang ³Tak Gendong´ CD Rom selalu terbuka Di dunia virus lokal.. saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS... sudah banyak virus lokal yang dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup berbahaya.

tetapi kelihatannya bukan gambar Mbah Surip :P (lihat gambar 3) .A Komputer yang terinfeksi VBS/Cryf. diantaranya: y Pada saat komputer pertama kali dinyalakan. File induk VBS/Cryf. Hasil deteksi Norman Security Suite Gambar 2. akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup ³menyeramkan´.Gambar 1.A mudah dikenali dengan beberapa jejak yang ditinggalkannya.A Ciri komputer yang ³Tak Gendong´ oleh VBS/Cryf.

html] yang berisi pesan dari pembuat virus. (lihat gambar 4) . Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan y Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.Gambar 3.

. (lihat gambar 6) Gambar 6. file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.lnk´ adalah file film.Gambar 4. Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus y Merubah type file ³Shortcut´ [. file ini mempunyai ekstensi [. Halaman utama yang sudah diubah oleh virus y Ada folder ³Album BOKEP´ di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap ³menggendong´ komputer anda bila anda jalankan.lnk] mejadi ³Movie Clip´ yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus ³.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB. Type file [lnk] diubah menjadi ³Movie Clip Ciri-ciri File Virus File induk VBS/Cryf. Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat gambar 5) y Gambar 5.drv] dan mempunyai type file sebagai ³device driver´.

vbs] Gambar 7. (lihat gambar 6 dan 7) Gambar 6.A akan memanggil program [Windows Media Player] seperti yang terlihat pada gambar 8 dibawah ini : .vbs] yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121842a92511246-500\Thumbs. file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target. VBS/Cryf.Pada saat file virus di jalankan. Kemudian file [svchost.drv].db]. pertama kali yang akan di lakukan adalah memanggil file [svchost. File shortcut virus yang akan mengaktifkan file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg. File induk virus Pada saat user menjalankan dirinya.

dls o Corelsetup.Gambar 8.dls o Taskmgr.vbs o desktop.exe C:\WINDOWS\system32 o Svchost.html o Regedit.lnk o Help.A membuka program Windows Media Player saat dijalankan Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan: y %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db o svchost.htm C:\Windows\system\svchost.drv o SHELL32.scx o Windowsopen.ini o drvconfg.dls o Kernel32.exe.scx o appopen.lnk C:\WINDOWS\system32\ y y y y .mht o Windows.scx o Appsys.exe o Winupdt.exe.dll C:\windows o appsys. VBS/Cryf.

exe.scx o updtsystem = C:\WINDOWS\system32\Winupdtsys.exe %1 y y y Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti : y y Task Manager Regedit .exe o WinSystem = c:\Windows\Windowsopen.exe o VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk o VirtualCD Task = c:\Program Files\FarStone\qbtask.html y y y Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS]. agar file tersebut dapat dijalankan. c:\windows\system\svchost.scx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run o NeroFilterCheck = c:\Program Files\Common Files\NeroChkup. ia akan membuat beberapa string pada registry berikut: y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run o ACDsee = c:\Program Files\ACDsee\Launcher. ia akan membuat registry di bawah ini.exe o ssmarque.exe c:\windows\WinUpdt. Agar file tersebut dapat dijalankan ia akan memanfaatkan file [C:\Windows\System32\wscript.lnk C:\Documents and Settings\Elvina\Desktop\Local Disk (C).scr C:\Program Files\FarStone\qbtask.exe C:\Program Files\ExeLauncher %ProgramFiles%\drivers\VGA\VGAdrv.exe c:\windows\WinUpdt.y y y y y y o Winupdtsys.exe C:\Program Files\ACDsee\Launcher.exe] y HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile o [Default] = VBScript Script File HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command o [Default] = %SystemRoot%\System32\wscript.exe o CorelSetup = C:\WINDOWS\system32\Corelsetup.exe.exe HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main o Start Page = C:\WINDOWS\windows.mht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon o Shell = explorer. c:\windows\system\svchost.exe C:\Program Files\Common Files\NeroChkup.scx o Userinit = C:\WINDOWS\system32\userinit.exe %1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile o [Default] = VBScript Script File HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command o [Default] = %SystemRoot%\System32\wscript.dls Catatan: %Drive% adalah lokasi Drive (contoh: C:\ atau D:\] %Program Files adalah [C:\Program Files] Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif.

agar user tidak dapat menjalankan fungsi Regadit/Task Manager/CMD atau MSConfig.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai dua ekstensi yakni [.y y y CMD MSCONFIG Tidak dapat merubah Wallpaper Untuk melakukan hal tersebut. cmd. tskmgr. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error berikut (lihat gambar 9 dan 10) : Gambar 9. Pesan error saat menjalankan salah satu fungsi Windows .exe.exe.exe. ia akan menyembunyikan file tersebut [regedit. ia akan membuat beberapa string pada registry berikut: y y y y y y y y y y y y y y y y y y y HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop NoChangingWallpaper HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer nobandcustomize nochangestartmenu NoDriveAutoRun NoDrivetypeautorun NoFileAssociate nosavesettings NOTOOLBARCUSTOMIZE NoRecycleFiles HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableCMD DisableRegistryTools DisableTaskMgr NoDispScrSavPage HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveAutoRun NoDriveTypeAutoRun = 95 Selain dengan membuat registry di atas. antara file ³gadungan´ dan file asli akan mempunyai icon yang sama.lnk].

exe] dengan membuat string pada registry berikut: y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe .exe  Debugger = C:\WINDOWS\appsys. VBS/Cryf.Gambar 10.exe.exe.exe c:\windows\WinUpdt.exe  Debugger = ntsd ±d HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment  ComSpec = %SystemRoot%\system32\cmd. Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe  Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe.scx HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment  ComSpec = %SystemRoot%\system32\cmd.scx y y y y y y y Selain blok fungsi windows.exe c:\windows\WinUpdt. c:\windows\system\svchost. c:\windows\system\svchost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe  Debugger = C:\WINDOWS\appsys. File gadungan [regedit.exe  Debugger = C:\WINDOWS\appsys.scx HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment  ComSpec = %SystemRoot%\system32\cmd.lnk] yang dibuat oleh virus Tetapi jika user mencoba untuk langsung menjalankan file ³gadungan´ yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string pada registry berikut : y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe c:\windows\WinUpdt.exe. ia juga akan blok beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV.exe  Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.dls].exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig. c:\windows\system\svchost.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.exe.

exe  Debugger = C:\WINDOWS\appsys.dls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe  Debugger = C:\WINDOWS\appsys.exe  Debugger = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe y y y y y y y y y y y y .exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ise32.exe  Debugger = C:\WINDOWS\appsys.exe  Debugger = C:\WINDOWS\appsys.scx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe "c:\windows\system32\kernel32.exe  Debugger = C:\windows\system\svchost.exe Debugger = C:\windows\system\svchost.exe   Debugger = ntsd -d HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Integrator.exe  Debugger = ntsd ±d HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeroChkup.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qbtask.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe  Debugger = C:\windows\system\svchost.exe "c:\windows\system32\Corelsetup.dls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV.y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe  Debugger = C:\WINDOWS\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe  Debugger = C:\WINDOWS\appsys.exe "c:\windows\system32\svchost.

exec:\windows\WinUpdt.scx o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command [Default] = C:\windows\system\svchost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.scx o HKEY_CLASSES_ROOT\regfile\shell\edit\command [Default] = C:\windows\system\svchost.exe o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command [Default] = C:\Program Files\ExeLauncher\Launcher.scx o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command [Defalut] = C:\windows\system\svchost.scx y y y y y y y y .exec:\windows\WinUpdt.exe  Debugger = C:\WINDOWS\appsys.inf Untuk melakukan hal ini.exec:\windows\WinUpdt.y  Debugger = C:\windows\system\svchost.exe atau C:\windows\WinUpdt. ia akan membuat string pada registry berikut: o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\comman [Default] = C:\Program Files\ExeLauncher\Launcher.vbs/.exec:\windows\WinUpdt.exe"c:\windows\appopen.exec:\windows\WinUpdt.dls" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.scx o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command [Default] = C:\windows\system\svchost.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut: y y y .inf] Virus ini juga akan mecoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\appsys.exe  Debugger = C:\WINDOWS\appsys.exe   Debugger = ntsd -d y y y y Aktif otomatis memanfaatkan file [.vbs .exe Debugger = C:\WINDOWS\system32\wscript.exe o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open Command = C:\windows\system\svchost.scx o HKEY_CLASSES_ROOT\regfile\shell\open\command [Default] = C:\windows\system\svchost.reg .exec:\windows\WinUpdt.reg/.exe  Debugger = C:\WINDOWS\appsys.exe "c:\windows\system32\appsys.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavgd.scx" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.

Dengan nama folder tersebut di harapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di dalam nya. File dengan icon ³Windows Media Player´ ini seolah-olah merupakan file Video ³Mesum´ yang jika dijalankan maka akan mengaktifkan file [%Drive%:\Recycled\S-1-5-21-343818398-18970151121842a92511246-500\Thumbs.LNK] dengan membuat string pada registry berikut y y y HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile [Default] = Movie Clip NeverShowExt VBS/Cryf. File VBS yang telah diubah oleh virus Aktif pad mode ³safe mode´ dan ³safe mode with command prompt´ .Rekayasa sosial ³Album BOKEP´ Untuk mempermudah dalam mengelabui user.vbs] Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut menjadi ³Movie Clip´ sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [. ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP] disetiap Drive termasuk di Flash Disk.db\svchost.A juga akan merubah type file dari ³VBScript Script File´ menjadi ³Application´ serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string registry berikut: y y y y y HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile FriendlyTypeName = Application NeverShowExt HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon (lihat gambar 12) [Default] = %SystemRoot%\system32\SHELL32.vbs] (lihat gambar 11) Gambar 11.dll.2 Gambar 12. File shortcut virus yang akan mengaktifkan file [svchost.

exec:\windows\WinUpdt. salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target.exe c:\windows\WinUpdt. gambar ini akan di tampilkan secara otomatis saat menghidupkan komputer sebagai salam pembuka. (lihat gambar 3) Untuk melakukan hal ini ia akan merubah string pada registry berikut: o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y .A juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif.exec:\windows\WinUpdt.scx o Userinit = C:\WINDOWS\system32\userinit. VBS/Cryf.scx HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot o AlternateShell = C:\windows\system\svchost.exe c:\windows\WinUpdt.exe.scx HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot o y AlternateShell = C:\windows\system\svchost.exe. Berikut beberapa pesan yang dibuat oleh VBS/Cryf.Virus ini tidak hanya aktif pada mode Normal. tetapi akan aktf pada mode ³safe mode´ dan ³safe mode´ with command prompt dengan membuat string pada registry berikut y HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon o Shell = explorer.A y Merubah nama pemilik Windows dengan merubah string registry berikut (lihat gambar 5) o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion  RegisteredOrganization = Shemale  RegisteredOwner = CRY Menampilkan jendela Internet Explorer yang berisi gambar berikut .A juga akan membuat registry berikut: y y HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer o Logon User Name = Shemale HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon o AltDefaultUserName = Shemale o DefaultUserName = Shemale HKEY_CURRENT_USER\Control Panel\International o s1159 = [kosong] o s2359 = [kosong] y Jejak virus Sperti kebanyakan virus lokal.scx y Registry lain VBS/Cryf. c:\windows\system\svchost.scx y HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot o AlternateShell = C:\windows\system\svchost.exec:\windows\WinUpdt. c:\windows\system\svchost.

html] (lihat gambar 13) .EXE = C:\WINDOWS\system32\ssmarque.A Promosi Seolah-olah untuk menebus segala ³dosa-dosa´ nya.mht Menampilkan pesan ³King of The World´ saat membuka jendela Internet Explorer (lihat gambar 4) Untuk melakukan hal ini ia akan merubah string pada registry berikut: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main  Start Page = C:\WINDOWS\windows.html Menampilkan pesan ³SHEMALE By CRY´ saat screen saver Windows aktif dengan terlebih dahulu merubah string pada registry berikut (lihat gambar 12) o HKEY_CURRENT_USER\Control Panel\Desktop  SCRNSAVE. Link ini akan dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help. Screen saver yang akan ditampilkan oleh VBS/Cryf.scr o y Gambar 12. ia akan menyertakan link untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi.y  WinSystem = c:\Windows\Windowsopen.

(lihat gambar 14) .co.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat [http://www. Link yang ditampilkan oleh virus Jika link [ANTIVIRUS.nr].dinamikasolusi.Gambar 13. yang ternyata berisi ³PROMOSI BUKU´ tentang bagaimana ³cara membuat antivirus dengan Visual Basic´.

lnk o Naughty America 2009 .vbs] o My friends hot mom . jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246500\Thumbs.Vicky Vette.lnk o My Sister Hot Friend .sativa rose.lnk .Courtney Dani.db\svchost.db o svchost.vbs o desktop. ia akan memanfaatkan Flash Disk dengan cara membuat file folder berikut: y y y y %Flash Disk%:\>Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db\svchost.Gambar 14. jika di jalankan akan mengaktifkan file [%Flash Disk%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246500\Thumbs.wmv.lnk.wmv.dll Autorun.inf Dataku Penting Jangan Dihapus. Alamat promosi yang akan ditampilkan oleh Virus Media Penyebaran Untuk menenyebarkan dirinya.drv o SHELL32.ini o drvconfg.vbs] %Flash Disk%:>Album BOKEP\Naughty America.Mpeg.

dll] Cara pembersihan VBS/Cryf. Isi script [Shell32. D:\] %FlashDisk.inf] yang akan menjalankan file [Shell32.Agar dirinya dapat aktif secara otomatis. menunjukan lokasi Flash Disk Gambar 15. Cript autorun. ia akan memanfaatkan fitur autorun dengan nama [autorun.A .dll] kemudian file ini yang akan menjalankan file induk utama dari virus yakni [drvconfg. menunjukan lokasi Drive [contohnya: C:\.inf Gambar 16.drv]. (lihat gambar 15) Catatan: %Drive%.

. Gunakan Curr Process untuk mematikan proses virus 2. fitur ini hanya ada di Windows XP/2003/Vista/2008. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti [Currproses]. Untuk blok file tesebut lakukan langkah berikut : (lihat gambar 18)       Klik menu [Start] Klik [Run] Pada dialog box [Run]. kemudian matikan proses yang mempunyai product name ³Microsoft (r) Windows Script Host´ dengan cara : (lihat gambar 17) o Pilih [blok] proses yang mempunyai product name ³Microsoft (r) Windows Script Host´ o Klik kanan pada proses yang sudah di blok o Pilih [Kill Selected Processes] Gambar 17.MSC kemudian klik tombol [OK] Pada layar [Local Security Policy]. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur ³Software Restriction Policies´. ketik SECPOL.1. klik [Software restriction policies] Klik kanan pada [software restriction policies] dan pilih [Create new policies] Kemudian klik kanan di [Additional Rule]. dan pilih [New Hash Rule].

Menentukan file yang akan diblok  Di Kolom [File Hash]. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.Gambar 18. (lihat gambar 19) . klik tombol [Browse] dan pilih file yang akan diblok.

   Catatan: Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pessan peringatan berikut : (lihat gambar 20) Pada Security Level pilih [Disallowed] Pada kolom ³description´ isi deskripsi dari nama file tersebut (bebas).Gambar 19. Pilih file yang akan diblok. Pesan peringatan saat menjalankan file yang di blok . Pilih [OK] Gambar 20.

scx o appopen.vbs o desktop. Cara menjalankan tools FixRegistry 1.3.db o svchost. 5.ini o drvconfg.drv o SHELL32. 2.html Gambar 21.com/explorerxpsetup. silahkan download di alamat berikut : (lihat gambar 21) http://www. Pada kolom [Register Owner] isi sesuai dengan nama pemilik Windows Pada kolom [Register Organization] isi sesuai dengan nama organisasi pemilik Windows Pada kolom [ShellWindows] isi dengan format explorer.exe]. 4.exe Setelah software tersebut di install. File induk virus ini akan disembunyikan.scx y y .4shared. Kemudian klik tombol [Set] 6.exe Pada kolom [Userinit Windows] isi dengan format berikut  Windows NT/2000 = C:\WinNT\System32\userinit.dll %Drive%:\Album BOKEP\Naughty America C:\windows o appsys. Kemudian lik [Pulihkan Registry] untuk memperbaiki registry lain nya 4. Hapus file induk virus yang telah dibuat. Silahkan download di alamat berikut: http://www.com/file/117095567/3ea8e8ce/_4__FixRegistry. Fix Registry dengan menjalankan file [FixRegistry.explorerxp.exe o Winupdt.exe. cari dan hapus file berikut: y %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.  Windows XP/2003/Vista = C:\Windows\System32\userinit.exe. 3. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti ³Explorer XP´.

exe C:\Program Files\ACDsee\Launcher. Klik menu [Start] Klik [Run] Ketik CMD kemudian klik tombol [OK] Pada layar ³Dos Prompt´ pindahkan posisi kursor ke drive yang akan di periksa Ketik perintan ATTRIB ±s ±h ±r regedit.lnk Catatan: %Drive%.exe.y y y y y y y y y o Windowsopen. Tampilkan file [TaskMgr.scx o Appsys.exe dan Logoff.exe C:\Program Files\Common Files\NeroChkup. 4.exe C:\WINDOWS\system32 o Taskmgr. caranya : (lihat gambar 22) 1.scr C:\Program Files\FarStone\qbtask.dls o Corelsetup.mht o Windows. menunjukan lokasi Flash Disk 5.dls %Flash Disk:\>Dataku Penting Jangan Dihapus.lnk C:\Documents and Settings\%user%\Desktop\Local Disk (C).exe.lnk o Help. menunjukan lokasi Drive [C:\ atau D:\] %Flash Disk%.exe] yang disembunyikan oleh virus.exe .exe/Logoff. cmd.htm C:\Windows\system\svchost. 6.exe kemudian klik tombol ³enter´ Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.html o Regedit.exe.dls o Kernel32.exe/CMD. 5.lnk o CMD.exe C:\Program Files\ExeLauncher %ProgramFiles%\drivers\VGA\VGAdrv. 3.exe/Regedit.exe/Regedt32.dls o Winupdtsys. 2.exe.exe o ssmarque.lnk o Svchost.

Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date. Jika komputer sudah benar-bernar bersih dari virus.exe] yang telah dibuat pada langkah no. ketik SECPOL.Gambar 22. (2). 7. .MSC kemudian klik tombol [OK]  Pada layar [Local Security Policy]. Untuk mencegah infeksi ulang. hapus rule blok file [WSCript. cara nya : (lihat gambar 23)  Klik menu [Start]  Klik [Run]  Pada dialog box [Run]. klik 2x [Software restriction policies]  Klik [Additional Rule]  Hapus Rule yang pernah Anda buat sebelumnya 8. Menampilkan file yang disembunyikan 6. gunakan antivirus yang sudah dapat mendeteksi dan membasmi virus ini dengan baik.

http://www. Aj Tau info@vaksin.php?uid=44419857236&topic=8884 . silahkan klik Forum khusus virus Cryf. Tanah Abang III / 19E Jakarta 10160 Ph : 021 3456850 Fx : 021 3456851 Bagi anda yang ingin memberikan komentar atau bertanya mengenai virus Cryf atau Shemale by Cry.com PT. Vaksincom Jl.Salam.facebook.com/topic.

syspath & "/recycle.vbs" 13. "Komputer Anda Diambil Alih" 12. File ³k4l0n6.Cara menghapus Virus autorun. Buka dan pelajari virus tersebut cukup dengan Notepad atau text editor lainnya 5. trojan dsb. trus aapus file-file yang ada hubungannya ama virus kalong sebagai berikut. anda juga bisa menambahkan chek hidden file.. Hapus tulisan vaksin.selamat mencoba.sys. terlihat ada file ³k4l0n6.com ada di "HKEY_CURRENT_USER/Software/ Microsoft/Internet Explorer/Main/Start Page". 23 December 2009 Virus yang satu ini memang sering bikin kesal banyak user komputer. Hapus kata-kata Komputer anda Diambil alih ada di "HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Winlogon/LegalNoticeText". meskipun cara kerjanya gak separah virus brontok. "KALONG-X2" 11.inf alias k4l0n6 Written by Administrator Wednesday. 4.inf tidak serumit yang anda fikir. Terakhir hapus file ³autorun.Menghapus virus autorun.sys. Inilah file induk virus kalong tersebut. 1. Mud-mudahan anda berhasil. Hapus ³a´ ada di "HKEY_CURRENT_USER/Software/Microsoft /Windows/CurrentVersion/Explorer/RunMRU/MRUList". "a" 9.silakan perhatikan step by step cara menghapus virus autorun. Lalu restart komputer agan.inf dibawah ini.vbs´. Hapus Kalong X2 ada di "HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Winlogon/LegalNoticeCaption".. Mau tahu caranya?. "http://www. 14.":: X2 ATTACK ::" 7.. Hapus file recycle. Kemudian lihat di Root Directory (C). pasalnya virus autorun. Buka My Computer pilih Tools/Folder Options/unchecked hidden software.inf ini sangat cinta flashdisk kwkwk.vbs ada di "HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run/Ageia". ada trick khusus yang digunakan untuk menghapus virus yang satu ini.inf ini alias k4l0n6 kata orang gk bisa dihapus. . Ditambah lagi virus autorun. 3. 6. tetapi virus ini sering memebuat kita naik darah. 2.com" 10.. Hapus KALONG-X2/1 ada di "HKEY_CURRENT_USER/Software/Microsoft/Windows /CurrentVersion/Explorer/RunMRU/a".vbs´ ini tidak dapat anda hapus sebelum anda menghapus file yang terkait dengan file ini. Jalankan Start/Run dan ketik REGEDIT.inf´ di root directory ini mencegah induk virus membuat filenya kembali setiap kali dihapus.. Hapus ³X2 ATTCK´ ada di "HKEY_CURRENT_USER/Software /Microsoft/Internet Explorer/Main/Window Title"...vaksin. "KALONG-X2/1" 8.

You're Reading a Free Preview

Mengunduh
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->