Virus Rontokbro bisa dianggap sebagai virus ‘biang kerok’ lantaran menjadi inspirasi bagi para pembuat virus lokal untuk ‘berkreasi’. Kini, virus yang mampu melumpuhkan sejumlah fungsi di OS Windows tersebut kembali menebar teror.
Berikut langkah-langkah membasmi virus W32/Rontokbro.GOL:
- Disable ‘System Restore’ (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan.
- Matikan proses yang aktif di memori. lihat artikel http://www.hong.web.id/downloads/download-anti-rootkit-untuk-windows. GMER adalah salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager yang diblok oleh virus dengan nama lain W32/Rontokbro.GOL itu. Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan GMER. * Jalankan Program GMER.exe, dan pada tab “Processes” . * Klik pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori ‘C:\Documents and settings\%user%\Local Settings\Application Data’ * Klik ‘Kill Process’, lalu ‘Yes’.
- Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara mengklik kanan file REPAIR.INF dan pilih opsi Install
- Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows di semua Drive termasuk Removable Disk [Flash Disk]. Kemudian hapus file didalam folder berikut: C:\Documents and settings\%user%\Local Settings\Application Data
* Winlogon.exe
* services.exe
* lsass.exe
* smss.exe
* inetinfo.exe
* Diah84.Yitn.oss.txt
* csrss.exe
* C:\Windows\Inf\Yitnoss.exe
* C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
* C:\Documents and Settings\%user%\Templates\B.Yitnoss.com
Hapus juga file/folder berikut:
C:\Documents and settings\%user%\Local Settings\Application Data
* 84-DiahLove-Yitn-oss
* Yitn.oss-3-27
* Yitn.oss-3-31
* Diah84.Yitn.oss.txt - Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date.
[Version] Signature="$Chicago$" Provider=Microsoft [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1"" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe" [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84 HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
Posted in: All
0 comments:
Post a Comment