How to Kill A Dragon »

Brontok updated Removal

=================================
Brontok v. Updated Virus Removal
by Aquataine (14-10-05)
=================================

Petunjuk ini untuk virus Brontok versi updated dan juga versi lainnya,

Akibat/tanda-tanda baru dari virus versi ini:

1. Windows selalu restart jika Anda ingin melakukan logoff, shutdown, atau reboot
2. Regedit.exe DAN Registry Tools lainnya (cth: TweakUI) tidak dapat dijalankan
    dan jika dijalankan akan menyebabkan restart windows.
   (Barontok Versi sebelumnya hanya mematikan akses ke regedit.exe)
3. Ada file C:/Windows/ShellNew/bronstab atau
    C:/Winnt/ShellNew/bronstab
    berukuran 42.097 Bytes
    (Barontok versi sebelumnya berukuran ~81 Kb)

===========================
Langkah-langkah pembersihan
===========================

(Untuk win 95, 98, ME)
- Masuk ke safe mode:   Reboot lalu setelah muncul tampilan bios
  tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 2

(Untuk windows ME dan XP)
   Matikan System Restore Windows
   Start->Settings->Control panel->System atau
   Start->Control PAnel->System

   pada System restore tab… pilih opsi "Turn off System Restore"

(Untuk Win 2000, XP Home/Pro, Server 2003)

1. Reboot dan masuk ke safe mode.
   ** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ad
    pilihan: Safe mode, Normal,…. pilih:

safe mode with command prompt..

   lalu tekan enter,

   ** catatan:
    Langkah-langkah di sini HARUS dijalankan di mode command prompt (berbeda dgn virus versi         sebelumnya) karena virus versi ini menyerang service-service yang dijalankan ketika mode
    GUI dijalankan (no better way founded yet.. :-p )

  *** TIPS
    Untuk menjalankan program di command prompt:
    ketik nama program lalu tekan enter.

    contoh untuk menjalankan windows explorer:
 
    C:\>explorer.exe

    alu tekan enter

——————————————
Menghilangkan autostart virus di registry
——————————————

2. Buka regedit:

   Pada command prompt ketik regedit.exe lalu tekan enter

   Di panel kiri pilih key:

            HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

   lalu di panel kanan, hapus key:

            Bron-Spizaetus = "…….."

   Di panel kiri pilih key:

            HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run

   lalu di panel kanan, hapus key:

            Tok-Cirrhatus = "……"

   di panel kiri pilih key:

            HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>WinLogon

   lalu di panel kanan, ubah key:

            Shell = Explorer.exe "C:\WINDOWS\eksplorasi.exe"

   menjadi

            Shell = Explorer.exe

   **** PERHATIAN!!!!
    LIhat key Bron-Spizaetus di atas dan lihat nilai nya yang berisi nama
    dan letak virus, lalu cari file tersebut melalui explorer dan catat ukuran file dan tanggal         
    pembuatannya..
    Cth:   size:  42 Kb
    Date:  14-10-05

  ** Catatan:
    Jika regedit tidak dapat dibuka (muncul pesan error: ..disabled by administrator).. ini merupakan
    alah satu akibat virus barontok.
    Untuk itu saya telah membuat file untuk mengatasi masalah tsb:

    Download file PatchRegKey.inf (600 Bytes) di :
            
                     http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf

    atau

                     http://www.geocities.com/aquata1ne/PatchRegKey.inf

    Setelah di download, install file tsb dengan cara:

    pada Command Prompt ketik explorer.exe lalu tekan enter
    lalu ke direktori tempat Anda menyimpan file PatchRegKey.inf lalu
   
    klik kanan file tsb lalu pilih "Install.."
   
    lalu lanjutkan langkah 2.

———————————————–
Menghilangkan autostart virus di scheduled task
———————————————–

3. Buka Secheduled Task di Control Panel:

Control Panel->Scheduled Task   lalu tekan enter

   Hapus task dengan nama "At1" atau apapun yang berhubungan dengan virus.
   Tips:  Klik kanan task->properties, lalu lihat isi properties dan jika
            ad isi command yang mencurigakan contoh:  BArontok.com , dsb.. hapus
            task tersebut.

   ** TIPS
    Anda dapat masuk ke control panel melalui explorer yang sudah
    dijalankan sebelumnya.

———————————————————
Mengaktifkan kembali aplikasi sistem yang di matikan Virus
———————————————————-

4. Untuk mengaktifkan kembali opsi Folder Options di Control Panel:

   Di command prompt ketik regedit lalu tekan enter:

          HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>Explorer

Lalu cari key berikut:
            
           NoFolderOptions = "dword:00000001"

dan ubah menjadi:

            NoFolderOptions = "dword:00000000"

dengan menge-set value dengan nilai 0 (nol).

Tutup regedit dan logoff windows untuk me-reload registry.

Logon windows dan lanjutkan ke langkah selanjutnya.

 

——————————————————–
Cari dan Hapus file-file virus di seluruh drive komputer
——————————————————–

5. Aktifkan opsi Show hidden Files dan Ekstensi:

    Masuk ke control panel melalui explorer lalu

    Klik Folder Options dan pada Tab view aktifkan opsi:

    1. Show hidden files&Folders
   
        dan matikan opsi

    2. Hide Extensions for known file types
    3. Hide Protected Operating System

6. Gunakan Search File Windows:
   
   Pada explorer, pilih search di toolbar

   Cari di seluruh drive windows yang ad:  C,D, ….
 
   pada input Search for files or folders names masukkan:
   
         *.exe
   lalu pada search options pilih opsi Range Size-> At most:  X Kb

     X = ukuran file yang diperoleh dari langkah 2 di atas
   
   dan pada Advanced Options pilih opsi Search system folders,

search hidden files&folders, search subfolders

   pilihan lain biarkan kosong

   Lalu klik search now..

   Pada hasil pencarian di panel kanan hapus semua file yang:
1. berukuran TEPAT sama dengan X  DAN
2. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN
3. Untuk file .exe, file nya memiliki icon folder/direktori windows

** perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas
    dan BUKAN yang memenuhi salah satu saja.

    File yang sering ditemukan di direktori

           C:\Documents and Settings\\Local Settings\Application Data

   adalah:

           lsas.exe, smss.exe, winlogon.exe, services.exe
 
   
    Cari File di atas dan HAPUS!!!!

   * * Tips:  Sort hasil pencarian berdasarkan size untuk memudahkan
        penghapusan

7. Ulangi langkah ke-6 atas dengan input search file: *.pif, *.com, *.bat

8. Hapus file autoexec.bat di C:/

————-
Finishing :-p
————-

9. Untuk mengaktifkan kembali program-program registry seperti TweakUI.XP
    ketik perintah berikut di command prompt:

    REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

  Lalu ketik enter.

  ** Catatan
    Perintah di atas tidak ada baris baru (terus bersambung ke kanan).

10. Reboot dan masuk windows seperti biasa.

Catatan:
Cara ini sudah BERHASIL diterapkan di banyak komputer
(pastikan Anda sudah mengikuti semua langkah di atas)

Komentar,saran,pertanyaan (I don’t need your money :-p)
harap di kirim ke email saya:

—–
END
—–

By aquataine

Contact Email:    aquataine@f-m.fm
                        web.developer@Phreaker.net

This entry was posted on Friday, October 14th, 2005 at 11:05 am and is filed under Computer. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

3 Responses to “Brontok updated Removal”

  1. Ando Says:
    November 18th, 2005 at 7:50 am

    OK thanx jack, Maklum awam
    adeklu aman semoga lu juga aman.

  2. Allodooxype Says:
    November 30th, 2008 at 7:46 pm

    Cheers!
    I made on photoshop glitter myspace pictures.
    take a look at them:
    http://tinyurl.com/65lf75
    Thanks for your site ;-) xoxo

  3. HeshyodosyNok Says:
    December 27th, 2008 at 7:49 am

    How are you? your website is nice
    I have a new band and we just had a live gig u can see here:
    http://tinyurl.com/7×2s6l

Leave a Reply