Virus Trojan Terbaru versi W32/VBTroj.VNE (Rieysha) memang sangat menjengkelkan. Virus ini biasanya membuat icon gambar dengan rupa seorang gadis bersanggul Icon yang akan menyertai file virus.
Disini saya akan memberikan sebuah trik baru dalam menghapus virus trojan W32/VBTroj.VNE (Rieysha) ini dengan mengedit regestry windows.
Cirri-ciri virus Trojan W32/VBTroj.VNE (Rieysha):
Ciri utama virus Trojan W32/VBTroj.VNE (Rieysha) ini adalah dia akan menampilkan pesan notepad dengan nama file “system32pesan_dari_rieysha.txt” sebagai berikut
sayang kapan kamu kembali ke indonesia?Begitu pula pesan tersebut muncul di file MS Word anda dengan nama “system32pesan.doc” dengan pesan:
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
yanx kapan kamu balik?Ciri-Ciri komputer yang terinfeksi virus Trojan W32/VBTroj.VNE (Rieysha)
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
- Mengganti tampilan walpaper/desktop: Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
- Merubah format penanggalan dari PM/AM menjadi [Rieysha]
- Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
- Disable beberapa fungsi Windows seperti
- Disable Task Manager
- Menyembunyikan menu ShutDown komputer
- Menyembunyikan Drive
- Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
- Menyembunyikan fungsi pencarian file/folder [Search]
- Menyembunyikan [Folder Options]
- Menyembunyikan [Run]
- Menyembunyikan [Start Menu Programs]
Cara menghapus Virus Trojan: W32/VBTroj.VNE (Rieysha)
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
Cirri-ciri virus: Trojan: W32/VBTroj.VNE (Rieysha)
Di komputer anda menampilkan pesan notepad dengan nama file “system32pesan_dari_rieysha.txt” sebagai berikut
sayang kapan kamu kembali ke indonesia?Begitu pula pesan tersebut muncul di file MS Word anda dengan nama “system32pesan.doc” dengan pesan:
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
yanx kapan kamu balik?Virus Trojan W32/VBTroj.VNE (Rieysha) ini juga membuat icon gambar dengan rupa seorang gadis bersanggul Icon yang akan menyertai file virus
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
Ciri-Ciri komputer yang terinfeksi Trojan W32/VBTroj.VNE (Rieysha)
- Mengganti tampilan walpaper/desktop
- Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
- Merubah format penanggalan dari PM/AM menjadi [Rieysha]
- Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
- Disable beberapa fungsi Windows seperti
- Disable Task Manager
- Menyembunyikan menu ShutDown komputer
- Menyembunyikan Drive
- Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
- Menyembunyikan fungsi pencarian file/folder [Search]
- Menyembunyikan [Folder Options]
- Menyembunyikan [Run]
- Menyembunyikan [Start Menu Programs]
Untuk pembersihan Virus W32/VBTroj.VNE ((Rieysha) kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.
1. Hapus file virus di drive
Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.
- Klik [miniPE2XT]
- Klik [Programs]
- Klik [File Management]
- Klik [Windows Explorer]
Kemudian hapus file berikut:
- [C:\] atau Drive lain termasuk Flash disk
- C:\Windows
- C:\Windows\system32
- C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
- [Contoh: Application Data90Admin.exe]
- C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
- [Contoh: Application Data90r13y5h4ku.exe]
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe [Contoh: Startup90AVG Test Center.exe] 26 files
- C:\Documents and Settings\win321.exe
- C:\WINDOWS\Web\Printers\Write.exe
- C:\WINDOWS\Web\download.exe
- C:\Windows\Cursors\newCursor.exe
- C:\Windows\Debug\adminMode.exe
- C:\Windows\Font\rieyshaTrueType.exe
- C:\Windows\Help\userhelping.exe
- C:\Windows\java\packet.exe
- C:\Windows\Media\newmedia.exe
- C:\Windows\msagent\agentkvr.exe
- C:\Windows\registration\registy.exe
- C:\Windows\repair\setup.exe
- C:\windows\tasks\newScedule.exe
- C:\windows\system32\win34.exe
- C:\WINDOWS\system\oeminfo.exe
- C:\Windows\softwaredistribution\downloads.exe
- C:\Program Files\Internet Explorer
- hacker.exe
- IEfree.exe
Hapus file virus yang mempunyai ciri-ciri:
- Menggunakan icon
- Ukuran 228 KB
- Type file “Application”
- Ekstensi EXE
- Buka [Windows Explorer]
- Klik tombol [Search]
- Pada kolom “Search for files or folders names” isi dengan format *.exe
- Pada kolom “Look in:” pilih drive yang akan di periksa
- Klik opsi [Search Options >>]
- Pilih opsi “Size”
- Pilih “At most”
- Isi 229
- Klik opsi “Advanced Options”
- Pilih opsi “Search System folders”
- Pilih opsi “Search hidden files and folders”
- Pilih opsi “Search subfolders”
- Klik tombol “Search Now” untuk memulai pencarian
- Kemudian hapus file virus yang berhasil ditemukan sesuai dengan ciri-ciri yang telah disebutkan di atas.
- C:\CeweNakal.scr
- C:\Windows
- Oemlogo.pif
- TAKSMAN.com
- system32folder.htt
- system32desktop.ini
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32Autorun.inf
- system32pesanku.bat
- system32pesanQ.htm
- system32klikAku.bat
- system32klik2kali.bat
- system32rieysha.jpg
- D:\Puisi.txt
Masih di Mini PE, klik
- Klik MiniPE2XT]
- Klik [Programs]
- Klik [Avast! Registry Editor]
- Klik [Registry Editor]
- Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK] (lihat gambar) o Kemudian cari dan ubah registry berikut:
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]
- Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
%system% ini berbeda-beda:
- [C:\Windows\system32] ? Windows XP/2003
- [C:\Winnt\system32] ? Windows 2000
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Hapus string [r13y5h4.exe]
- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
- Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
- Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
- Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:
- Explorer
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
- NoClose
- NoDrives
- NoDriveTypeAutoRun
- NoFind
- NoFolderOptions
- NoRun
- NoStarMenuMorePrograms
- NoViewOnDrive
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
- NoCLose
- NoControlPanel
- NoDrives
- NoFind
- NoFolderOptions
- NoLOgoff
- NoRun
- NoSetFolders
- NoTrayContextMenu
- NoViewOnDrive
- NoWindowsUpdate
- StartMenuLogOff
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
- NoDispCPL
- DisableRegistryTools
- DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
- Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
- Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
- Hapus string [r13y5h4.exe]
- _User_%user%\Software\Microsoft\Internet Explorer\Main
- Pada string [Start Page] ubah “string value data” menjadi [about:blank]
- _User_%user%\Control Panel\International
- Pada string [s1159] ubah “String value data” menjadi [AM]
- Pada string [s2359] ubah “string value data” menjadi [PM]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf
Catatan:Berikut script yang harus di copy:
Jalankan file repair.inf ini setelah komputer restart
[Version]5. Restart komputer, kemudian login tanpa menggunakan CD Mini PE
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Control Panel\Desktop, Wallpaper,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255
[del]
HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
6. Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:
- Klik kanan repair.inf
- Klik Install
http://www.norman.com/support/support_tools/58732/enSumber Trikbaru.com
No comments:
Post a Comment