VIRUS dan pencegahan

Membasmi Virus Kangen Manual Tanpa Antivirus

1. Klik kanan pada Start menu Windows, kemudian pilih Search ato Cari.


2. Pada Toolbar pilih Tools Folder options View Setelah itu pada tabel Advanced Settings cari Hidden files and folders Check Show Hidden files and folders. Kemudian hilangkan check pada menu hide extensions for known file types dan hide protected OS files. Setelah semua sesuai tekan OK


3. Untuk melakukan search, ikuti langkah-langkah berikut: Dikolom kiri Pilih All files and folder, lalu klik more advanced options Beri tanda Check pada pilihan Search hidden files and folder


4. Ada 2 bagian virus yang perlu dicari (jalankan satu persatu)
   
   
   
   1. Ketikkan keyword ccapps.exe pada kolom all or part of the file name (biasanya WinXP pada folder C:\Windows\System32)
   
   
   2. Ketikkan keyword Kangen.exe (biasanya menebar pesona hampir di tiap folder)
      Terakhir klik Search ato enter.. Setelah berhasil ditemukan terserah Anda mau DEL itu Virii ato gak, itu bukan urusan saya Untuk mengulang pencarian klik back
   
   
   
   


5. Pembersihan Temp Folder berdasar User yang Anda pake Pada WinXP..gulirkan pada C:\ lalu pilih folder Documents and Settings Pilih User yang Anda pake saat itu or kalo gak ada pilihan All users juga OK..gitu! Cari folder Local Settings Temp DEL semua content yang ada pada folder temp, tapi foldernya JANGAN dihapus!!!


6. Pembersihan Registry Startup Buka start menu pilih Run ketik Regedit enter Carilah nama file ccapps.exe pada registry dibawah ini jika ketemu silakan di DEL or dipelihara..untuk memastikan Kangen (ccapps.exe) terhapus harap ke-empat registry ini diperiksa

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Mencegah Virus Autoinfect via Flash Disk

Siapa bilang orang Indonesia kalah kreatif dengan bangsa asing? Lihat saja peta penyebaran virus lokal di tahun 2006 dan 2007. Pembuat virus lokal tidak kalah produktif dengan virus mancanegara. Salah satu hal yang disayangkan adalah kreativitas ini justru muncul dalam hal pembuatan virus, carding dan hal-hal negatif lainnya. Padahal kalau kemampuan teknis yang dimiliki dipergunakan untuk tujuan yang baik akan memberikan manfaat yang sangat besar bagi perkembangan IT bangsa ini.

Kreativitas merupakan hal yang menonjol dari virus-virus lokal yang muncul. Kalau virus mancanegara ingin menginfeksi file JPEG, mereka harus cape-cape berusaha mengeksploitasi celah keamanan GDI JPEG vulnerability. Kelemahan virus yang mengeksploitasi celah keamanan adalah jika celah keamanan ini sudah ditutup akan membuat virus yang dibuat menjadi tidak mempan lagi. Lain dengan pembuat virus lokal yang tidak mengeksploitasi celah keamanan, tetapi mengeksploitasi manusianya (rekayasa sosial). Saat ini, vendor IT masih belum ditemukan patch untuk menambal celah keamanan pada manusia (iseng mengklik, ingin tahu dst). Sebagai gambaran, trik yang digunakan oleh pembuat virus lokal untuk mengelabui korbannya menjalankan virus adalah dengan mengubah icon file virus menjadi icon yang tidak berbahaya, seperti icon folder, MS word atau icon JPEG. Tentunya pengguna komputer tidak akan ragu untuk mengklik file JPEG karena sampai saat ini belum ditemukan virus yang menyebar melalui file JPEG (apalagi kalau menjanjikan gambar BCL:P), kecuali virus yang mengeksploitasi celah keamanan GDI JPEG vulnerability. Tetapi, dengan trik mengubah icon virus (application) menjadi JPEG tentunya akan sukses mengelabui pengguna komputer, sekalipun komputernya sudah di patch teratur dan tidak memiliki kelemahan. Salah satu “MKDU (Mata Kuliah Dasar Umum:P)” bagi virus lokal di tahun 2007 adalah infeksi otomatis melalui Flash Disk. Dan disini sekali lagi kreativitas pembuat virus terlihat karena mereka mampu memanfaatkan fitur yang ada (autorun) pada hardware lain (CD/DVD Rom) dan mengimplementasikannya pada virus di Flash Disk. Seperti yang kita ketahui salah satu syarat agar virus tersebut dapat menyebar luas dan dapat berumur panjang adalah mempunyai ukuran yang kecil serta mempunyai kemampuan untuk dapat menyebar secara otomatis tanpa tergantung manusia itu sendiri, virus juga harus pandai mencari cara agar dirinya tetap aktif. Pada awal kemunculannya, virus lokal sangat tergantung manusia agar dirinya dapat aktif di komputer target, pada waktu itu virus tidak akan aktif jika file virus tersebut tidak dijalankan terlebih dahulu sehingga penyebaranya sangat lambat hal ini di dukung dengan teknik penyebarannya yang masih menggunakan Disket /Flash Disk [UFD]. Jika hal ini masih tetap dipertahankan lambat laun virus lokal akan hilang dari peredaran dunia maya apalagi saat ini user sudah semakin pintar dan sudah dapat membedakan antara file virus dan file bukan virus sehingga dengan mudah user akan menghapus file yang dianggap virus tersebut tanpa sempat menjalankan file virus tersebut. Untuk mengatasi hal tersebut diperlukan metode yang lebih “canggih” dan “efektif” agar virus tersebut dapat aktif secara otomatis tanpa harus menunggu agar user manjalankan file virus tersebut dan metode inilah yang sampai saat ini digunakan oleh kebanyakan virus lokal yang menyebar dan merupakan “MKDU” yang sudah menjadi SOP (Standard Operating Procedure) virus lokal. Metode ini sendiri sebenarnya sudah mulai dilakukan saat kemunculan virus W32/Aksika (4k51k4).

Script Autorun.inf/Desktop.ini/folder.httt

Kemudahan berbanding terbalik dengan keamanan, itulah salah satu hukum yang berlaku di dunia IT. Sadar atau tidak kemudahan yang diusung itu sendiri telah memberikan peluang program jahat untuk menyusup kedalam system komputer. Salah satu kemudahan tersebut adalah script Autorun yang digunakan untuk menjalankan suatu file secara otomatis saat user akses ke suatu Drive atau saat user menghubungkan removable disk atau saat user memasukan CD/DVD ke dalam CD/DVD ROM. Dan para programmer lokal menjadikan celah ini sebagai peluang agar virus mereka dapat menyebar lebih cepat dibandingkan sebelumnya dan sampai saat ini celah tersebut masih digunakan oleh virus agar dapat menyebarkan dirinya secara otomatis tanpa harus menungggu agar user menjalankan file virus tersebut secara manual. Cukup dengan mengakses ke Flash Disk tersebut atau mencolokkan UFD tersebut ke komputer, maka virus akan langsung menginfeksi. Agar virus ini dapat aktif setiap saat biasanya sang pembuat virus akan membuat script disetiap Drive termasuk di media Disket/FlashDisk.

Autorun.inf/desktop.ini atau Folder.htt adalah beberapa script MKDU yang biasanya akan dibuat oleh virus. Script ini sendiri sebenarnya berisi sederetan perintah yang intinya adalah untuk menjalankan file virus itu sendiri dan biasanya file induk ini akan ditempatkan di folder/direktori yang sama, agar file tersebut tidak dicurigai oleh user maka script dan file induk tersebut akan disembunyikan. W32/Askis, W32/VBWorm.ZL, VBWorm.MOS, W32/Aksika, W32/FaceCool atau W32/Solow adalah sederetan virus lokal yang akan mengunakan metode ini maka jangan heran jika mereka sukses menyebar dijagat maya tanpa mengandalkan email.

Dengan penggunaan flashdisk yang sudah umum dimana-mana, menjadi salah satu sebab menjamurnya virus, terutama virus lokal. Ini terlihat sejak masa jayanya virus brontok. Sampai saat ini, saya sering sekali melihat hampir setiap komputer/laptop teman-teman di perkantoran terkena virus, yang terkadang mereka tidak menyadari. Selain Antivirus yang seharusnya senantiasa diupdate minimal seminggu sekali, sebenarnya ada tips yang sangat bermanfaat untuk mencegah menularnya virus dari media seperti flashdisk tanpa kita sadari. Berikut langkah-langkahnya :

1. Buka Registry Editor, dengan cara klik Start Menu > Run dan ketik regedit dan klik OK


2. 2. Cari Lokasi :
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer


3. 3. Buat key baru (Klik kanan>New>DWORD Value) beri nama : NoDriveAutoRun


4. Double klik untuk mengisi nilai (data). Pilih Base : Decimal dan isikan Value data dengan nilai 67108863


5. 5. Jika diperlukan, dapat juga menambahkan nilai yang sama di
   HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer


6. Restart Komputer

Dengan penambahan setting ini, maka ketika kita memasang flashdisk, windows tidak akan otomatis menjalankan program autorun yang ada di flashdisk. Untuk lebih jelasnya, artikel ini dapat dicari/dibaca di tutorial Windows Registry Guides. Download.

Setting :

User Key: [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
System Key: [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Name: NoDriveAutoRun
Type: REG_DWORD (DWORD Value)
Value: 32-bit bitmask

 

VirusBrontok

Pengenalan Virus Brontok

1. Virus ini menyamar sebagai sub folder master contoh : Folder Lucu maka virus ini akan menyamar sebagai sub folder Lucu


2. Bedakan folder dengan virus, Jika itu bener folder maka folder tersebut tidak memiliki size, jika itu virus maka folder tersebut memiliki size, terus ada extention misal : Lucu.exe dan mempunyai size yang sama 42 KB pada setiap folder (virus). Jangan sekali2x meng-compile (Doble klik folder tersebut), jika itu di lakukan maka akan masuk ke register dan membuat sistem kerja windows mengalami gangguan.


3. Ciri komputer yang sudah terkena virus

-         Di windows explorer menu Tools -> Folder Options tidak muncul.

-         Jika menjalankan file/perintah tertentu seperti "cmd" maka komputer akan Restart sendiri

-         Tidak bisa masuk ke regedit atau msconfig

Pencegahan awal jangan sharing Folder dan jangan asal double klik folder.!! (sumber: v3 boleh.com)

Komputer restart terus menerus

Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama :

File yang diserang berontok
.. .@ @. .ASP .EXE .HTM .JS .PHP ADMIN ADOBE DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD ESAFE ESAVE ESCAN NETSCAPE NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA SPAM SPERSKY SUN. SUPPORT SYBARI WWW	AHNLAB ALADDIN ALERT ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE EXAMPLE FEEDBACK FIREWALL FOO@ FUCK FUJITSU GATEWAY GOOGLE GRISOFT GROUP OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT PROXY RECIPIENT SYMANTEC SYSTEM CONFIGURATION TEST TREND TRUST WINDOWS SECURITY.VBS	AVAST AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER HACK HAURI HIDDEN HP. IBM. INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT HOST SEARCH R SECURE SECURITY SEKUR UPDATE UTILITY VAKSIN VIRUS W3.	CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL CRACK DARK LOTUS MACRO MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL SENIOR SERVER SERVICE SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE XEROX XXX YOUR ZDNET ZEND ZOMBIE

Dengan cara membanjiri dengan ping. Namun dampak dari aktivitas ini hanya akan terasa kalau komputer yang terinfeksi mencapai jumlah yang sangat banyak (e.g. 10.0000 komputer) yang pada kasus tertentu dapat mengakibatkan website yang diserang menjadi lumpuh /down.

Perkembangan virus lokal sebenarnya sudah dikenali sejak lama sejak jamannya virus Pesin, dari sinilah mulai bermunculan virus-virus lokal yang baru sebut saja Lavist, kangen, riyanni_jangkaru aau Tabaru, kumis, fawn yosa dan terakhir Rontokbro, itulah sebagian nama-nama virus lokal yang pernah menjadi “momok” dalam beberapa bulan yang lalu, walaupun sebagian besar antivirus sudah dapat mengenali virus tersebut tetapi karena penyebarannya terbatas dilingkungan tertentu maka jika ada varian dari virus tersebut akan sangatlah sulit untuk dideteksi olah karena itu sebaiknya gunakan antivirus yang mempunyai dukungan support lokal. Dari sekian banyak virus lokal yang ada hanya 3 virus yang berhasil membumi yaitu Rontokbro, kangen dan fawn. Tetapi dari 3 jenis virus tersebut hanya Rontokbro yang mampu memberikan kerugian yang cukup besar dibandingkan dengan yang virus lokal yang lain.

Kelemahan Safemode berhasil diketahui Rontokbro.

Rontokbro adalah jenis virus lokal pertama yang dapat menyebar melalui email berbeda dengan virus lokal lain yang hanya dapat menyebar melalui dikset/USB, Komputer yang terinfeksi Rontokbro akan melakukan restart hal ini sama seperti yang dilakukan oleh virus Kumis dan virus Sasser/Blaster, bedanya komputer yang terinfeksi Rontokbro akan restart jika menjalankan suatu program aplikasi tertentu seperti regedit, msconfig atau task manager, up-date pacth yang anda lakukan tidak akan membawa dampak apa-apa karena virus ini tidak mengeksploitasi celah keamanan seperti yang dilakukan oleh Sasser/Blaster proses restartnya pun tidak memunculkan hitungan mundur seperti yang dilakukan oleh virus Sasser/Blaster, satu hal yang menjadi kelebihan dari virus ini dimana walaupun komputer dalam posisi “safe mode” komputer akan tetap restart jika menjalankan program aplikasi seperti regedit, msconfig bahkan ketika menjalankan tools seperti pocket Killbox atau HijackThis, dimana kita tahu jika komputer dijalankan dalam mode “safe mode” virus yang menginfeksi komputer tersebut tidak aktif, tetapi tidak halnya dengan Rontokbro suatu kemajuan yang luar biasa rupanya team pembuat Rontokbro sudah mengetahui titik kelemahan yang ada pada mode “safe mode”, lalu mengapa hal ini tidak digunakan oleh para pembuat virus non lokal bukankah mereka mempunyai pengalaman dan pengetahuan yang jauh lebih banyak ? Satu lagi jempol untuk pembuat Rontokbro.

File yang terinfeksi Rontokbro.N mempunyai ukuran sebesar 42kb dengan icon folder tetapi dengan extension EXE, jika dijalankan akan membuat beberapa file yaitu:

C:\Windows dengan nama file eksplorasi.exe (hidden)

C:\Windows\shellnew dengan nama sempalong.exe (hidden)

C:\WINDOWS\system32 dengan nama %username"s Setting.scr (hidden) C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file :

• Bron.tok-x-y, dimana x dan y menunjukkan angka- Loc.Mail.Bron.Tok, berisi alamat email yang diperoleh dari komputer yang terinfeksi.


• Ok-SendMail-Bron-tok, berisi email yang berhasil dikirim


• csrss.exe- inetinfo.exe


• Kosong.Bron.Tok.txt


• lsass.exe


• NetMailTmp.bin
  services.exe


• smss.exe


• Update.3.Bron.Tok.bin


• winlogon.exe

C:\Documents and Settings\bagle\Start Menu\Programs\Startup nama file

• Empty C:\Documents and settings\%Users%\Templates


• Brengkolang.com Membuat file pada setiap folder dimana file ini mempunyai nama yang sama dengan folder tersebut dengan ciri-ciri :


• Icon yang digunakan berupa Folder- Ukuran file 42 Kb


• Ekstension .EXE Rontokbro juga akan melakukan perubahan pada file C:\AUTOEXEC.BAT dengan menambahkan baris perintah “ PAUSE” Agar Rontokbro dapat aktif begitu komputer dinyalakan, ia akan membuat registry beberapa  registry key yaitu:


• Bron-Spizaetus

HKLM\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

• Tok-Cirrhatus

HKCU\Software\Microsoft\Windows\CurrentVersion\RunShell dengan value Explorer.exe “C:\Windows\Eksplorasi.exe”

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,
Disable Registry editor Seperti kebanyakan virus yang ada, virus ini juga akan menonaktifkan program yang dimungkinkan dapat mempersingkat keberadaan “mereka” diantaranya fungsi registry editor dengan menambahkan sebuah registry key: DisableRegistryTools =1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Jika fungsi registry editor dijalankan maka akan muncul pesan error:
”Registry editing has been disabled by your administrator”

DisableCMD pada registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Selain menambahkan string pada registry key, virus in juga akan menambahkan option di menu [startup] pada msconfig.

• Sempalong


• Smss


• Empty

Menyembunyikan Folder Option

Rupanya virus ini belajar dari rekan-rekannya, dimana virus ini akan menghilangkan [folder options] pada menu [tools] pada [Windows explorer], sehingga user tidak akan bisa menampilkan setiap file yang disembunyikan (hidden) oleh virus tersebut, dengan menambahkan string value :

“NoFolderOptions"=dword:00000001

pada registry key:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Rontonbro juga akan membuat task schedule pada windows dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan menjalankan file yang berada didirektori:
C:\Documents and Settings\%Users%\Templates

Restart Komputer OtomatisSalah satu kelebihan yang dimiliki oleh Rontokbro adalah dapat menyebabkan komputer restart, jangan harap up-date patch dapat menyelesaikan masalah ini, hal ini disebabkan karena Rontokbro tidak mengeksploitasi celah keamanan seperti yang biasa digunakan oleh virus Sasser atau Blaster.

Rontokbro akan merestart komputer jika anda berusaha menjalankan suatu program tertentu seperti regedit, msconfig bahkan jika anda menjalankan software pengganti Task manager seperti pocket Killbox bahkan HijackThis dan salah satu kelebihan lain yang dimiliki adalah kemampuannya untuk merestart komputer walaupun dalam mode “safe mode” walapun, oleh karena itu dibutuhkan trik untuk menangani masalah tersebut. kemungkinan besar pembuat Rontokbro selalu mengikuti saran dan perkembangan terakhir sehingga ia akan makin sulit dibasmi karena selalu mengupdate dirinya. Rontokbro akan mengambil alamat email pada semua file yang mengandung ext :

.asp

.cfm

.csv

.doc

.eml

.html

.php

.txt

.wab

Selain menyebar melaui email, Rontokbro juga akan menyebar melalui Disket/USB dengan membuat file pada folder/subfolder yang ada didisket/USB atau pada root USB itu sendiri, file yang diciptakan tersebut mempunyai ciri-ciri:

-         Icon menyerupai Folder

-         Ukuran 42 Kb

-         Ext. EXE

Rontokbro juga akan mencoba untuk melakukan koneksi dengan mengirimkan ping request ke salah satu situs dewasa seperti kaskus.com dan 17tahun.com, hal ini lah salah satu faktor yang dapat dapat memperlambat system komputer tetapi karena penyebaran koneksi internet di Indonesia relatif masih lambat, dampak dari hal ini akan kurang terasa pada user dialup rumahan karena tidak selalu terkoneksi dan dampak terbesar akses ke dua situs tersebut akan besar pengaruhnya jika komputer yang terkena Ronrokbro adalah komputer rumahan yang memiliki koneksi ADSL dan selalu terkoneksi ke internet, komputer Warnet atau kantor yang selalu terkoneksi ke internet.

Seperti layaknya antivirus, Rontokbro juga mencoba untuk melakukan up-date ke salah satu situs yang sudah ditentukan, jadi jangan lengah sebaiknya up-date antivirus Anda agar tidak menjadi korban berikutnya dan jangan lupa agar tidak sembarangan dalam bertukar data melalui disket/usb satu tips yang mungkin berguna adalah dengan mengenali jenis file yang akan dijalankan, dan upayakan untuk selalu menampilkan ekstesi dari file tersebut agar dapat mengetahui type dari file tersebut. Satu cara yang efektif untuk mencegah Rontokbro adalah dengan menggunakan antivirus yang memberikan support lokal sehingga definisinya dapat mengimbangi munculnya varian baru Rontokbro yang sampai saat ini masih terus dikeluarkan.

Cara membersihkan Rontokbro

1. Lakukan pembersihan melalui “safe mode”


2. Matikan proses virus

Untuk mematikan proses tersebut sebaiknya jangan menggunakan program pocket killbox atau HijackThis karena komputer akan langsung restart jika anda menjalan kan tools ini, kami sarankan untuk menggunakan tools lain yang seperti PROCEXP.EXE dapat didownload di situs

http://www.sysinternals.com/Utilities/ProcessExplorer.html
Hapus proses dengan cara "klik kanan nama proses" dan pilih "kill prosess tree", agar tidak salah dalam penghapusan cari proses yang mempunyai icon "folder", seperti :

-         smss.exe

-         services.exe

-         winlogon.exe

Catatan:
Atau Anda juga dapat melakukan langkah berikut:

1. Restart komputer dan masuk dalam mode "safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus Rontokbro tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.


2. Setelah masuk mode ”Command Prompt” tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian pilih [Task Manager], setelah layar Task Manager muncul, klik menu [File] pilih [New Task (Run..), kemudian ketik [explorer] pada jendela [create new task file] setelah itu klik enter.


3. Kemudian akan muncul layar desktop (layaknya masuk ke mode "safe mode")


4. Aktifkan kembali fungsi registry editor dan hapus string yang dibuat oleh virus, tulis script seperti yang ada pada angka [3], kemudian simpan menjadi nama file "repair.inf", setelah itu jalankan file tersebut dengan cara: klik kanan file [repair.inf] kemudiani pilih [install]


5. Hapus option [Smss], [Empty] dan [Sempalong] pada msconfig di tabulasi [startup)


6. Agar ”Folder option” pada windows explorer dapat muncul, restart kembali komputer dan lakukan seperti langkah pada point (a dan b)


7. Setelah komputer masuk ke mode "safe mode" tampilkan semua file yang disembuyikan (lakukan perubahan ini pada "folder option", lihat gambar yang ada pada point [5], selanjunya ikuti petunjuk pembersihan Rontokbro seperti yang ada pda point (6-9) Tulis script berikut dan simpan di notepade beri nama file repair.inf, jalankan file tersebut (klik kanan [repair.inf] pilih [install]), hal ini dimaksudkan untuk mengqaktifkan kembali fungsi registry editor, menampilkan kembali [folder option] serta menghapus string yang telah dibuat oleh virus.

[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,Software\CLASSES\batfile\shell\open\command,,,"""%1""%*"
HKLM,Software\CLASSES\comfile\shell\open\command,,,"""%1""%*"
HKLM,Software\CLASSES\exefile\shell\open\command,,,"""%1""%*"
HKLM,Software\CLASSES\piffile\shell\open\command,,,"""%1""%*"
HKLM,Software\CLASSES\regfile\shell\open\command,,,"regedit.exe"%1""
HKLM,Software\CLASSES\scrfile\shell\open\command,,,"""%1""%*"
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Shell,0, "Explorer.exe"

[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU,Software\Microsoft\Windows\CurrentVersion\Run,Tok-Cirrhatus

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

Restart komputer dan masuk kembali ke mode "safe mode" jangan ke posiosi "normal" karena file induk dari virus ini masih ada (eksplorasi.exe dan sempalong.exe)
Tampilkan file yang disembunyikan, lakukan perubahan ini pada [folder Option]
Hapus file yang dibuat oleh Rontokbro :

- C:\Windows dengan, nama file eksplorasi.exe (hidden)

- C:\windows\shellnew, dengan nama sempalong.exe(hidden)

- C:\WINDOWS\system32, dengan nama %username"s Setting.scr (hidden)

- C:\Windows\pss, dengan nama file [Empty.pifStartup]

- C:\Documents and Settings\%user%\Local Settings\Application Data dengan nama file

- Bron.tok-[x]-[y], di mana [X] dan [Y] menunjukan angka

- Loc.Mail.Bron.Tok

- Ok-SendMail-Bron-tok

- csrss.exe

- inetinfo.exe

- Kosong.Bron.Tok.txt

- lsass.exe

- NetMailTmp.bin

- services.exe

- smss.exe

- Update.3.Bron.Tok.bin

- winlogon.exe

- smss.exe
Edit kembali file autoexec.bat di direktori C:\ dan hapus baris perintah [pause]
Hapus scheduled tasks yang dibuat oleh Rontokbro (klik [Start], [Settings], [Control Panel], kemudian klik 2 kali menu [scheduled tasks].
Hapus file yang dibuat oleh virus, untuk lebih cepatnya gunakan fasilitas [serach]

• Klik [Start]

• Klik [Search], kemudian klik [For Files or Folders]

• Kemudian pilih [All files or Folders]

• Klik option [What size is it ?]

• Kemudian pilih option [Specify Size (in Kb)]

• Pada kombo Box, pilih [At most] kemdian isi ukuran file dengan angka [43], setelah itu klik [Search]

• Setelah proses pencarian selesai, sortir berdasarkan ukuran (size), kemudian hapus file yang mempunyai ukuran 42 kb, jangan sampai terjadi kesalahan dalam penghapusan file karena ada beberapa file windows yang mempunyai ukuran 42 kb, cari file yang icon folder dengan extension. EXE, seperti gambar dibawah ini:

9. Untuk pembersihan lebih cepat sebaiknya anda gunakan antivirus yang sudah dapat mengenali Rontokbro.N jangan lupa update antivirus yang terinstall, sebagai informasi antivirus Norman dengan up-date terakhir sudah dapat menganali virus ini engan baik.

Tips dan Trik

Berikut ada beberapa tips dan trik yang dapat digunakan terhindar dari serangan virus lokal.

1. Jangan sembarangan dalam melakukan pertukaran data melaui disket/usb
2. Patikan disket/Usb bersih dari virus dengan melakukan scan terhadap disket/usb sebelum digunakan.

3. Kenali jensi file yang akan dijalankan

4. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk mengetahui jenis file sebelum dijalankan.

5. Rajin mengikuti perkembangan virus

6. Install antivirus yang mempunyai dukungan support lokal dan up-date otomatis

 

Cara Mudah Proteksi komputer anda dari virus tanpa program Antivirus & Firewall

Untuk mencegah virus, trojan, worm dan sejenisnya dengan memakai antivirus?, belum tentu berguna. Karena virus selalu lebih baru dari antivirus, kalau proteksi dengan program firewall & Antivirus RTS? (Real Time System), bisa juga... cumannya komputer anda akan berjalan lebih lambat, karena program tersebut residen di memory dan memakan system resource lagi pula setiap anda membuka program baru, selalu akan muncul pertanyaan apakah program ini boleh dijalankan.

Jadi solusi yang aman, cepat dan praktis bagaimana? Nah baca lebih lanjut artikel ini. Artikel ini sengaja ditulis bagi anda yang ingin mencegah kerusakan system, file dan data anda tanpa perlu campur tangan antivirus dan firewall alias MANUAL.

Pertama-tama akan kami jelaskan definisi dan bagaimana virus, trojan, worm dan sejenisnya bisa masuk ke dalam sistem komputer anda.

1. Virus sebenarnya lain dengan trojan atau worm, tapi pada prakteknya penyebarannya virus banyak di maanfaatkan oleh program worm dan trojan. Trojan adalah sebuah program yang dapat dijalankan (biasanya ber-ekstension EXE) oleh pengguna komputer dan ketika program tersebut dijalankan, dia akan merubah sesuatu dari sistem komputer kita (pada umumnya registri windows yang diubah). Nah kalau virus itu residen di memori dan dia akan merubah file yang biasanya ber-ekstension EXE atau COM dan kadang-kadang file tersebut menjadi rusak. Kalau worm (cacing) merupakan program kecil yang berupa script yang bisa nempel di mana aja, bahkan bisa nempel di html file (file website).
Program antivirus pada umumnya menggabungkan semua worm dan trojan dalam kategori VIRUS, cuma mungkin dikasih kode virusnya contoh yang worm di kasih kode W depannya baru nama worm tersebut (contoh: w32/sober) dan kita juga akan menggangapnya sama karena semua itu merusak sistem file komputer. Intinya virus bisa berupa atau berfungsi seperti trojan/worm dan sebaliknya juga, apalagi kalau file tersebut telah ter-infeksi, otomatis akan menjadi file trojan/worm juga, karena kalau pengguna membukanya akan meng-infeksi file-file lainnya.

2. Penyebaran virus dulunya hanya bisa melalui media luar seperti disktet, tapi di jaman ini virus pada umumnya memanfaatkan teknologi internet untuk menyebar luas. Cara masuknya bisa melalui E-mail (attachment), mirc, messenger (kirim/download file), download dr situs (terutama situs porno) atau bahkan memanfaatkan kelemahan dari sistem browser kita. Banyak cara pembuat virus untuk menjebak orang supaya tertarik untuk men-download dan membuka file yang ber-virus, antara lain dengan iming-iming gambar porno, gambar lucu, tools yang berguna buat anda, cara dapat uang, games bagus, hingga yang baru-baru ada pesan dr FBI/CIA untuk anda.

Sebenarnya cara mengatasi virus itu cukup mudah, antara lain:
1. Jangan membuka atau menerima file yang di dapat dr email, mirc dan messenger kalau anda belum kenal dengan pengirimnya dan belum yakin file itu berisi virus.
2. Kalau anda browser ke situs yang tidak anda kenal, matikan program java & java script. Matikan juga fitur install auto atau install on demand supaya program yang berisi virus tidak akan masuk secara otomatis ke komputer anda.
3. Kalau membuka disket, CD, DVD, USB drive dan media luar apapun bentuknya, scan dahulu dengan program antivirus untuk memastikan itu benar-benar aman.

Tips di atas mungkin akan mencegah masuknya virus ke komputer anda, tapi tidak akan 100% pasti komputer anda tidak terkena virus, bisa saja anda kecolongan. Lebih dari 90% komputer yang terkoneksi di Internet pernah terkena virus. Nah untuk mengatasi supaya anda aman dari virus, walaupun virus tersebut sempat masuk ke komputer anda, berikut ini adalah caranya:

1. Virus pada umumnya akan merusak dan memperlambat proses kerja komputer. Untuk menghindari kerusakan yang ditimbulkan virus, anda harus punya cadangan penyimpanan data atau file system. Untuk itulah backup system & data sangat diperlukan, apalagi kita tidak akan mengetahui virus di masa yang akan datang akan secanggih apa dan efek kerusakan yang ditimbulkan sejauh apa. cara backup pada winXp dan winme dengan create restore point dahulu di program> accesories> system tools> system restore, win98 bisa pakai Microsoft Backup dengan membackup folder windows semuanya. Khusus untuk data, Winxp dan winme juga harus menggunakan Microsoft Backup, karena system restore tidak 100% mengembalikan data anda.

Kalau anda males melakukannya secara manual, winxp dan winme sudah otomatis melakukannya setiap anda mematikan komputer anda, Untuk win98 satu-satunya cara hanya memakai program system schedule windows atau program lainnya yang berfungsi sebagai otomatis backup, ketika komputer lagi idle. tapi untuk pastinya, winxp dan winme juga harus memakai program tersebut supaya bila terjadi apa-apa, anda tinggal me-restore kembali. Bila komputer anda hari ini terkena virus, anda tinggal restore system sebelumnya atau yang kemarin.

2. Cara ini adalah untuk mencegah virus merusak file system kita yang biasanya berakhiran EXE, dan Sebelum anda melakukan hal ini, anda harus terlebih dahulu membackup system windows anda (baca keterangan no 1 di atas), karena penulis takut anda melakukan kesalahan yang dapat berakibat fatal terhadap system anda. Anda juga harus mempunyai dasar Windows untuk melakukan ini, kalau tidak, anda akan bingung dan kesulitan untuk memahaminya.

Caranya cukup mudah, anda tinggal merubah attribut dari file EXE anda menjadi READ ONLY alias cuma bisa dibaca, tidak bisa ditulis. caranya bisa anda menggunakan SEARCH dari windows anda, kemudian cari semua program yang ber-ektenstion EXE (search key-nya *.exe) di folder windows. Setelah itu blok semua program yang tampil (atau tekan ctrl+a) terus klik kanan pilih properties. Setelah itu pilih READ-ONLY di bagian bawah kotak pilihan atributes. Bagi yang tahu DOS (command prompt) bisa menggunakan perintah ATTRIB, fungsinya sama saja dengan cara di atas. contoh: c:\windows>attrib +r *.exe

Hal ini akan mencegah virus untuk merubah atau merusak file-file tersebut, karena pilihan tadi mematikan fitur untuk merubah file-file tersebut. Kalau anda ingin lebih yakin virus bisa mendeteksi hal tersebut, anda bisa tambahkan pilihan HIDDEN (menyembunyikan file tersebut) di sebelah kanan dari READ ONLY. Dengan kedua pilihan tersebut virus-virus pada umumnya tidak akan dapat menginfeksi file tersebut. Kalau anda ingin menampakan file HIDDEN ketika membuka folder di komputer anda, anda bisa pilih "show all hidden files" di "folder option".

Anda juga bisa melakukan hal di atas ke semua folder komputer anda, kalau anda merasa hal ini perlu dilakukan, atau mungkin dilakukan juga ke file lain yang bukan ber-ekstensi EXE atau COM. Cara ini adalah cara yang paling efektif dan telah diuji coba oleh penulis. Satu hal yang penting diketahui, kalau anda ingin melakukan penghapusan atau perubahaan ataupun anda sering meng-update file yang ber-ekstensi EXE tersebut, anda harus ingat untuk membuka proteksi read-only atau hidden tersebut. Kalau tidak file tersebut tidak akan bisa dihapus atau diupdate, dan akan muncul pesan error.

Ini adalah salah satu cara untuk memproteksi file, cara lainnya dan cara Untuk mengetahui cara virus merusak/merubah file, membasmi atau menghapus virus secara manual, akan penulis bahas di kesempatan lain.

10 Jurus Sakti Antivirus dan Worm

Mencegah lebih baik daripada mengobati. Pepatah ini ternyata berlaku juga di dunia komputer. Daripada mengeluarkan biaya besar untuk mengobati komputer, lebih baik sedini mungkin melakukan pengamanan yang dapat menjauhkan komputer Anda dari serangan virus. Berikut sepuluh virus sakti untuk mengelakkan serangan virus dan worm pada komputer Anda:

1. Selalu lakukan Scan terhadap disket yang masuk ke dalam PC Anda.
Meski nampaknya sepele, tapi hal kecil ini akan membantu melindungi komputer Anda dari virus yang ditularkan melalui perilaku tukar menukar disket. Jika sebuah PC terinfeksi oleh virus, maka disket yang dimasukkan kedalamnya, kemungkinan besar akan terinfeksi juga. karena itu, jangan sembarangan membuka disket milik teman pada komputer Anda, sebelum disket itu lolos seleksi scandisk. Jika ternyata program scandisk dapat mendeteksi keberadaan virus tetapi tidak dapat menyembuhkannya, jangan memaksa untuk membuka file pada disket tersebut. Toh, ini juga bisa menjadi semacam warning bagi Anda, supaya segera melengkapi komputer Anda dengan penangkal virus.

2. Scan juga CD yang masuk kedalam CD drive Anda.
Meski tampaknya lebih eksklusif dan aman, tetapi CD ternyata juga memiliki potensi yang sama seperti disket, dalam menularkan virus. Karena itu, jangan lengah! Tetap lakukan scan terhadap sebuah CD yang akan dipasang pada komputer Anda, sekalipun CD itu baru saja dibeli dari toko.

3. Lakukan scan terhadap harddisk Anda, tiap kali Anda akan mulai bekerja dengannya.
Sebagaimana balita yang selalu diperiksa kesehatannya, PC Anda juga harus selalu dipantau apakah masih sehat atau telah terinfeksi oleh virus. Lagipula dengan melakukan scan terhadap harddisk sebelum memulai suatu pekerjaan, Anda mengurangi resiko gangguan yang diakibatkan oleh virus selama proses kerja Anda. Selain itu, juga memperkecil peluang terjadinya kerusakan pada file Anda.

4. Proteksi disket Anda, jika Anda memasukkannya ke dalam PC orang lain.
Seperti telah disebutkan diatas, jika Anda terpaksa harus memasukkan disket milik Anda ke dalam komputer orang lain, maka disket Anda perlu diproteksi terlebih dahulu. Konsekuensinya, Anda tidak dapat melakukan perubahan terhadap file yang tersimpan dalam disket tersebut.

5. Jangan sembarangan men-download attachment.
Dewasa ini banyak jenis worm yang mengirimkan copy dirinya dalam bentuk attachment e-mail. Misalnya worm Miss world. karena itu Anda jangan sembarang membuka attachment jika alamat pengirim tidak Anda kenal. Bahkan meskipun Anda mengenali alamat pengirim, jika tidak ada kesepakatan sebelumnya bahwa orang tersebut akan mengirimkan e-mail berikut attachment, maka sebaiknya Anda menghapus saja attachment tersebut. Tidak peduli betapapun menariknya subjek attachment tersebut. Karena banyak pencipta worm, memanfaatkan keingintahuan seseorang agar mau membuka attachment maut tersebut. Misalnya virus Jenifer Lopez dan worm Miss world yang dikatakan memuat gambar bugil Jenifer Lopez dan gambar Miss world dalam kostum bikini.

6. Selektif dalam membuka e-mail.
Begitu juga hukum yang berlaku dalam membuka e-mail. sejumlah virus dan worm menduplikasi dirinya dan mengirimkan copy tersebut pada seluruh alamat e-mail yang tertera pada address book Microsoft Outlook Express komputer yang diserangnya. Dengan demikian, si calon korban tidak akan menaruh kecurigaan dan dengan segera akan membuka e-mail beracun tersebut. Karena itu, jika Anda menerima e-mail dari seseorang yang Anda kenal, tetapi dengan subjek yang aneh sebaiknya langsung hapus saja e-mail itu. Kecuali Anda berdua memang sudah membuat janji sebelumnya.

7. Memasang dan selalu meng-update program antivirus pada komputer Anda.
Terkadang, orang yang masih awam dibidang komputer, merasa sudah aman jika sudah memasang program Norton atau MacAffee. Anda salah! Program antivirus itu memiliki masa kadaluarsa juga seperti makanan kaleng. Karena itu, Anda harus selalu meng-update program antivirus Anda. karena program antivirus yang sudah expired, tidak akan punya gigi lagi untuk menahan serangan virus pada komputer Anda.

8. Selalu mengikuti perkembangan berita terbaru tentang virus.
Selain memiliki masa kadaluarsa, program antivirus ini juga selalu mengalami update sehubungan dengan virus-virus baru yang terus di-release. Para ahli terus menerus melakukan pengembangan untuk menandingi pencipta virus yang juga berlomba-lomba menciptakan virus yang lebih ganas dari hari ke hari. Karena itu Anda harus rajin mengikuti berita tentang perkembangan virus yang terbaru. Setelah itu, Anda dapat mencari di internet perusahaan antivirus terbaru yang telah meng-update produknya untuk mengantisipasi serangan virus baru tersebut. Banyak sekali perusahaan software antivirus yang menyediakan fasilitas download gratis melalui internet.

9. Men-download Microsoft Outlook Security Patch ke dalam sistem komputer Anda.
Sebagaimana diketahui, tidak ada program software yang sempurna. Maksudnya, pasti ada bug atau titik lemah di dalam software itu. demikian juga halnya yang terjadi dengan aplikasi Microsoft Outlook Express. Karena itu, dengan men-download Microsoft Outlook Security Patch ke dalam sistem komputer Anda, berarti Anda telah menanggulangi bug yang ada pada program ini. Berkat bantuan program kecil ini, kinerja dari "satpam" Microsoft Outlook Express menjadi lebih maksimal dalam menjaga komputer Anda, dari virus atau worm yang menyerang dengan memanfaatkan address book Microsoft Outlook express.

10. Menonaktifkan Windows Scripting Host.
Sebagaimana diketahui, banyak virus dan worm baru yang dikembangkan dengan visual basic scripting di bawah sistem windows. Untuk memperkecil serangan, Anda sebaiknya menonaktifkan program yang berfungsi untuk mengotomatisasi suatu fungsi. Namun demikian, perlu diingat bahwa tidak semua virus berbahasa VBS dapat ditahan dengan menonaktifkan program ini.

Halo semua...ini ada sedikit bagi-bagi "kue" info seputar pembasmian brontok. info ini didasarkan pengalaman saya sendiri saat "in the middle of nowhere" (maklum saat itu saya sedang di kepulauan natuna).

Brontok yg saya hapus kemungkinan varian N,karena aktif di safemode. Selain menggunakan cara dari vaksin.com ada lagi tambahan yang cukup penting.

Cara berikut digunakan pada Windows basis NT (NT4/2000/XP)

1. selalu scan harddisk dgn antivirus di 'safemode with command prompt' langsung dari foldernya lewat command prompt,jangan lewat windows explorer. Apabila sulit,gunakan midnight commander atau 2xExplorer. Hapus file yg ditemukan (hampir semua antivirus yg dipakai sudah mengenali brontok,per update sesudah bulan maret 2006)

2. setelah hilang, restart lagi ke mode yg sama,lalu jalankan task manager lewat Ctrl-Shit-Esc dan pada menu run ketik 'diskmgmt.msc' (disk management console). Saya tidak memakai Ctrl-Alt-Del karena sepertinya sang virus menjadi aktif lagi.

3. cari harddisk yg terkena,lalu pada bagian kiri harddisk (yang ada tulisan online) klik kanan. pilih properties.

4. matikan 'disk monitoring' di bagian 'system restore' karena di bagian inilan windows menyimpan salinan dan struktur sistem. sialnya, tempat inilah yang menjadi favorit brontok bersembunyi, yang berakibat antivirus tetap menemukan brontok namun file ybs tidak bisa dihapus (muncul "access denied").

5. restart kembali ke safe mode command prompt. restart diperlukan agar windows melepas 'kunci' pada folder "system volume information". jalankan scan antivirus kembali, dimana pasti brontok akan terdetek lagi.

6. selanjutnya bersihkan registry dan recycle bin (lihat juga petunjuk di vaksin.com). dengan demikian anda tidak perlu instal ulang windows.

7. baru sekarang boleh restart ke mode normal.

catatan:
- selain disket dan UFD, scan juga CD/DVD, terutama hasil bakaran sendiri. saya pernah mendapatkan CD instalasi antivirus (yang bajakan),namun didalamnya sudah ada sempalong.exe dkk, yang notabene milik brontok.

- antivirus yang gratisan namun asli dan selalu terupdate akan lebih baik dibanding yang terkenal (baca=mahal) namun tidak pernah diupdate. Selang waktu update yang optimum setidaknya 1x seminggu.

- backup file penting seperti dokumen,agar kalau memang harus re-install,masih ada cadangan. saya dapat bocoran sms, pembuat brontok memang memanfaatkan kebiasaan 'malas' orang indonesia: 1) malas update antivirus, 2) malas scan removable disk, 3) malas membackup, 4) malas repot-repot mengurus data dan komputernya, dan 5) malas mengikuti berita (terutama seputar virus).

demikian semoga bermanfaat,kalau ada yang kurang,maafkan saya....

4 langkah penting yang harus diambil untuk membasmi virus2 lokal (termasuk brontok) yang biasa aq pake di kantor:

1. Matikan proses virusnya
Maksudnya : Biar nanti kalo discan atao di lakukan langkah ke2,ga dibikin lagi ama tuh virus.
Caranya : Bisa pake program2 pembaca proses seperti processexplorer,IKnowPS dan program yang lain sejenis.
Note : ProcessExplorer dan dikenalin ma Brontok varian baru.!

2. Hilangkan entri mereka di registry dan start-up window
Maksudnya : Kalo direstart virusnya ga jalan lagi.
Caranya : Download script dari vaksin.com untuk menghapusnya. N kalo kurang yakin bisa dicek lagi dengan HijackThis!
Note : Untuk Brontok varian baru, dia merename file msvb*.dll menjadi msvb*.dll.xxx (xxx = angka). File ini dipake oleh HijackThis! ama beberapa program windows yang lain.

3. Update Antivirus anda! 3x
Maksudnya : Udah pada tahu maksudnya khan?
Caranya : cari update di masing2 web vendor Antivirus anda…
Note : Update, update, update…. Karena update sangat penting!

4. Scan Seluruh hardisk + flash disk anda

Artikel Terkait:

• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 

Posted in: Komputer