Nich langkah-langkah buat ngilangin Worm local secara manual. Sample yang dibahas Worm Rontrok-Bro. Ingat bro semua tekniknya sama yang penting langkah pertama matiin dulu proses Wormnya dah gitu cari File Induk & hapus ampe bersih.
Klo Mo detailnya Simak aja nich step by step.
1. matikan virus yang sedang berjalan dengan cara kmu masuk ke Software ProCess Explorer. trus liat Empty.jpg,Blank.doc,zero.txt,Hole.zip ama Unoccupied.reg berhentikan semua exsekusi kelima diatas caranya: klikkanan di nama tersebut dan pilih Suspend setelah semua di suspend kmu dinama tadi yang lima itu, pijit tombol del lalu yes,
2. masuk windows Explorer klik Tools -->View --> Folder Options pilih Show Hidden File & Folder ilangkan tanda ceklist di hide extention for know file types ilangkan tanda ceklist di hide protected operations system file (recommended),
3. hapus semua file exe berbentuk folder dan folder yang di bikin oleh Worm Brontok yaitu a. kmu liat didesktop ada suatu folder bernama "New Folder" atau apalah yg penting dia tuch dihidden, kmu delete aja b. AUT0EXEC.exe (ini pake huruf nol bukan O)di C:\ c. msvbvm60.dll di C:\ d. system32.exe di C:\windows e. hapus folder dengan nama "dllchache"(didalam Folder Ini terdapat file Empty.jpg,Blank.doc,zero.txt,Hole.zip
Unoccupied.reg) di C:\WINDOWS\system32 f. dllchache.exe di C:\WINDOWS\system32 g. rund1132.exe C:\WINDOWS\system32 h. M5VBVM60.exe C:\WINDOWS\system32,
4. Repair semua register yang udah diubah oleh wrom rontrok bro a. klik semua file repair (yang udah aku kasih) b. di setiap file itu klik kanan lalu pilih instal (kmu klik aja file yang gw kasih di Folder Virus Handler.yaitu yang kata repair dan sejenisnya PatchRegKey.inf di klik kanan dan pilih instal.),
5. sekarang ngebersihin register yang udah diubah sama Virus rontok bro (manual) a. masuk ke program regedit dengan cara tekan di keyboard windows + R b. lalu ketikan regedit c. cari register - register ini.(ada yang diubah ada yang dihapus).
Yang dihapus :
(1) alamatnya di HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run hapus yang bernama "Secure64" dan "Secure32"
(2) alamatnya di HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run hapus yang bernama "Blank AntiViri"
(3) alamatnya di HKEY_CLASSES_ROOT\Applications\ "rund1132.exe"
(4) alamatnya di
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList hapus "b"
(5) alamatnya HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache hapus "C:\AUT0EXEC.BAT" (ini nol bukan O)
(6) alamatnya HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache hapus C:\AUT0EXEC.BAT (7) alamatnya HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications hapus "rund1132.exe"
(8) alamatnya
HKEY_USERS\S-1-5-21-515967899-764733703-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenW
ithList hapus "b"
Yang diUbah :
(1) HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon perbaiki "Userinit" klik ganda dan hapus bagian "C:\WINDOWS\system32\M5VBVM60.EXE StartUp" menjadi saja "C:\WINDOWS\system32\userinit.exe,"
(2) HKEY_CLASSES_ROOT\comfile\shell\open\command perbaiki di "(Default)" isinya menjadi " \"%1\" %* "
(3) HKEY_CLASSES_ROOT\txtFile\shell\open\command perbaiki di "(Default)" isinya menjadi " "%1" %* "
(4) alamatnya
diHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenWithList perbaiki di "MRUList" isinya menjadi "a"
(5) alamatnya HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache perbaiki di "C:\WINDOWS\system32\rund1132.exe" menjadi "C:\\WINDOWS\\system32\\rundll32.exe" dengan isi "Run a DLL as an App"
(6) alamatnya HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command perbaiki di "(Default)" isinya menjadi " \"%1\" %* "
(8) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\print\command perbaiki di "(Default)" isinya menjadi " "%1" %* "
(9) HKEY_USERS\S-1-5-21-515967899-764733703-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\OpenW
ithList perbaiki di "MRUList" isinya menjadi "a"
Nah sekarang kmu liat didesktop ada suatu folder yang di hidden kmu delete aja
sebelum kmu lakukan itu semua kmu instal dulu stylexp
udah gitu cek logoff atau restart klo wormnya nongol lagi berarti blom berees
<span class="fullpost">
Type rest of the post here
</span>
Tidak ada komentar:
Posting Komentar