Selamat Datang Di Blog Jubliater, terima kasih telah mengunjungi Blog ini. Semoga bermanfaat bagi anda semua. Jika ada masalah dalam men download silahkan chat atau email ke saya.

Saturday, 28 March 2009

Cara menghapus virus W32/Mybro

Jika menggunakan windows XP Matikan [System Restore] untuk sementara selama proses pembersihan
Sebaiknya lakukan pembersihan melalui “safe mode”
Matikan proses dari virus W32/mybro, Anda dapat menggunakan tools pengganti Task manager seperti [Security task manager], tools tersebut dapat didownload di website http://www.neuber.com/taskmanager/ matikan proses berikut [ingat !! cari file yang mempunyai bentuk folder].
o Winlogon
o Services
o Lsass
o Smss
o Csrss
Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di notepad kemudian simpan menjadi repair.inf, jalankan file tersebut
o Klik kanan repair.inf
o Klik [install]


[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del


[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus-3444Admc
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus-2733VIRM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run


Hapus file Empty.pif pada direktori
o C:\Documents and Settings\suport\Start Menu\Programs\Startup
Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah menampilkan semua file yang disembunyikan, jika folder option belum muncul juga coba restart komputer terlebih dahulu kemudian booting ke mode “safe mode”, setelah itu hapus file berikut:
C:\Windows
_default17832
Cinderawasih-4178327
Komodo-6178322
C:\Windows\Ad22098
Smss.exe
C:\Windows\System32\S8787
Csrss.exe
Lsass.exe
Services.exe
Winlogon.exe
Smss.exe
Zh592115084y.exe
C.bron.tok.txt, berisi text
Brontok.C
By:Jowobot
Spread.mail.bro, berisi alamat email yang telah diperoleh dari komputer yang terinfeksi
Spread.sent.Bro, berisi alamat email yang berhasil dikirimkan
C:\Documents and Settings\%user%\Local Settings\Application Data
Jalak-932115015-bali.com
Winlogon.exe [berbentuk notepad]
Dv6211500x, berisi file:
Yesbron.com
C:\Windows\system32
C_17832k.com
C:\Documents and Settings\suport\Start Menu\Programs\Startup
Empty.pif
C:\
Baca Bro !!!.txt
Anda harus perhatikan juga ukuran file yang terinfeksi tersebut, karena jika file yang terinfeksi [file induk] mempunyai ukuran 51 KB W32/Mybro selain membuat file induk diatas juga akan membuat beberapa file induk tambahan diantaranya:
C:\Windows\System32\n8127
Csrss.exe
Lsass.exe
Services.exe
Winlogon.exe
C.Bron.Tok.txt
Spread.mail.bro
Spread.sent.bro
Sv711917030r.exe
Smss.exe
C:\Windows\SY20118
Smss.exe
Hapus file [task scheduled] yang dibuat oleh W32/Mybro
Klik [start]
Klik [Settings]
Klik [control panel]
Klik 2 kali menu [Scheduled task]
Hapus file AT1 dan AT2
Hapus string [daftar website yang diblok] yang dibuat oleh W32/Mybro pada file HOST yang berada dilokasi
C:\Windows\System32\Drivers\ETC
Ubah kembali file MSVBVM60.dll.xxx [dimana xxx menunjukan angka] menjadi nama file MSVBVM60.dll pada direktori C:\Windows\system32
Coba cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri
· Ukuran 48 KB atau 51 KB
· Icin yang digunakan berbentuk FOLDER
· Ekstensi file EXE
· Type file “Application”
Catatan:
Dari hasil pengujian virus ini tidak membuat file duplikat pada local disk
Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus ini dengan baik. (AJT)
Created By Unknown di 00:30
Label: