Monday, November 14, 2005

cara menghilangkan virus Rontokbro, atau brorontok

======================
Barontok Virus Removal
by Aquataine
======================

Pengantar Singkat:

Virus ini bertipe worm (dapat menduplikasi diri), dan
menyebar melalui attachment email (email virus).

Nama lain virus: brorontok, Rontokbro,..
Virus ini kira2 pertama kali menyebar di bulan September
2005,dibuat oleh orang Indonesia karena signature email
nya berbahasa Indonesia dan juga saya melihat isi virus
dalam binari dan dan menemukan nama-nama fungsi dalam
kode asciimerupakan kata-kata bahasa Indonesia seperti
keluarDOng(), dsb...

Alasan saya menulis artikel ini adalah karena banyaknya
teman-teman saya yang terkena virus ini dan sampai artikel
ini dibuat belum ada Antivirus yang dapat mendeteksi virus
ini. (it's 4 u guys.. :-)



==========================================================
Langkah-langkah membersihkan komputer dari virus Barontok:
==========================================================

(Untuk win 95, 98, ME)
- Masuk ke safe mode: Reboot lalu setelahh muncul tampilan
bios tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 5

(Untuk windows ME dan XP)
Matikan System Restore Windows
Start->Settings->Control panel->System atau
Start->Control PAnel->System

pada System restore tab... pilih opsi "Turn off System
Restore"


(Untuk Win 2000, XP Home/Pro, Server 2003)

1. Reboot dan masuk ke safe mode.
** Restart windows, setelah muncul tampilan BIOS tekan
F8, akan ada pilihan: Safe mode, Normal,.... pilih
safe mode lalu tekan enter

2. Setelah itu masuk windows dengan login
administrator atau user lain yang
mempunyai auth sebagai administrator,

3. Buat User account baru DENGAN account type: Computer
Administrator lalu logoff dan login dengan account
yang baru dibuat.


------------------------------------------
Menghilangkan autostart virus di registry
------------------------------------------

4. Buka regedit: Start menu->Run->Regedit.exe lalu
tekan enter Di panel kiri pilih key:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
CurrentVersion>Run

lalu di panel kanan, hapus key:
Bron-Spizaetus = "........"

Di panel kiri pilih key:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Run

lalu di panel kanan, hapus key:
Tok-Cirrhatus = "......"

** Catatan:
Jika regedit tidak dapat dibuka (muncul pesan
error).. ini merupakan salah satu akibat virus
barontok.Untuk itu saya telah membuat file untuk
mengatasi masalah tsb:

Download file PatchRegKey.inf (600 Bytes) di :

http://students.if.itb.ac.id/~if12031/kios/
PatchRegKey.inf

atau

http://www.geocities.com/aquata1ne/PatchRegKey.inf

Setelah di download, klik kanan file tsb lalu pilih
"Install.."
lalu lanjutkan langkah 4.

------------------------------------------------
Menghilangkan autostart virus di scheduled task
------------------------------------------------

5. Buka Secheduled Task di Control Panel:
Start->Settings->Control Panel->Scheduled Task lalu
tekan enter

Hapus task dengan nama "At1" atau apapun yang berhu
bungan dengan virus. Tips: Klik kanan task->
properties, lalu lihat isi properties dan jika
ad isi command yang mencurigakan contoh:
BArontok.com , dsb.. hapus
task tersebut.

------------------------------------------------------
CaridanHapus file-file virus di seluruh drive komputer
------------------------------------------------------

6. Aktifkan opsi Show hidden Files dan Ekstensi:
Start->Settings->Control panel atau
Start->Control Panel

Klik Folder Options dan pada Tab view aktifkan opsi:

1. Show hidden files&Folders

dan matikan opsi

2. Hide Extensions for known file types
3. Hide Protected Operating System

7. Gunakan Search File Windows:
Start->Search lalu tekan enter

Cari di seluruh drive windows yang ad: C,D, ....

pada input Search for files or folders names masukkan:

*.exe
lalu pada search options pilih opsi Range Size->
At most: 81 Kb
dan pada Advanced Options pilih opsi Search system
folders, search hidden files&folders, search
subfolders pilihan lain biarkan kosong

Lalu klik search now..

Pada hasil pencarian di panel kanan hapus semua file
yang:
1. berukuran TEPAT 80 kb DAN
2. file nya berekstensi *.exe / *.pif / *.com / *.bat
DAN
3. File nya memiliki icon folder/direktori windows

** perhatian: hapus hanya file yang memenuhi SEMUA
kondisi di atas dan BUKAN yang memenuhi salah satu
saja.

(File yang sering ditemukan: Barontok.com, ElnorB.exe
,cari file ini)

* Tips: Sort hasil pencarian berdasarkan size untuk
memudahkan penghapusan

* Catatan: Cara ini merupakan cara heuristic
berdasarkan pengalaman dan eksperimen (e.g: ditemukan
bahwa virus tsb berukuran 80 Kb),dipilih untuk pencarian
lebih cepat dibandingkan melihat pattern file
satu2 secara manual :-p

** Sorry, i don't have time to write the removal
program now (cuz too busy with my fuckin' study) maybe
next time ;-)

7. Ulangi langkah ke-7 atas dengan input search file:
*.pif, *.com, *.bat

-------------
Finishing :-p
-------------

8. Jika ada, Hapus semua shortcut virus Startup Menu di
setiap account profile:
C:/Document Settings/Startup

** Saran: jika memungkinkan misal pada komputer pribadi
dan bukan multi user, hapus user account selain user
account yang dibuat pada langkah 3 di atas
(misal:Administrator,...).

9. Reboot dan masuk windows seperti biasa.

Catatan:
Cara ini sudah BERHASIL diterapkan di banyak komputer
(pastikan Anda sudah mengikuti semua langkah di atas)

Komentar,saran,pertanyaan (I don't need your money :-p)
harap di kirim ke email saya:

---
END
---

--
By aquataine

Contact Email: aquataine@f-m.fm
web.developer@Phreaker.net


--
To Virus Writer:
I think u're good enough in windows environment (and also
our nation problems-> as your political signature),
but still u SUCK!!, u know why:
First: U use visual basic to write program (yeaah..i know it)
(basic is ridiculous language.. it sucks!!)
2nd : Your virus is too weak, too many similarity
with other previous virus. Write better codes, guy..
3rd : U use microsoft products to write codes..
(they don't even can truly find good algorithm,
they only buy or steal it)
last : Pathetic... u can't solve our nation problems with
your fucking code.
Get a real life, man...

No comments: