Virus Rontokbro adalah virus lokal yang tergolong berbahaya karena sampai menjangkau Save Mode. Virus ini mempunyai kemampuan merusak yang lumayan dan sulit dihentikan bila tidak ada ANTIVIRUS. Namun ada cara untuk menghentikan kinerja Virus tersebut tanpa menggunakan ANTIVIRUS. Berikut adalah cara Eksekusi Virus tersebut:
1. Matikan System Restore pada komputer.
2. Matikan Proser yang berjalan di memori seperti lsass.exe, services.exe, dan winlogon.exe, kemudian matikan juga file lain yang berada di "C:\Documents and sttings\%user%\Local Settings\Aplication\Data" dari daftar autorun di Registry HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dan HKEY_LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
3. Untuk Memperbaiki Registry Copy dan Paste Skript Berikut di Notepad:
------------------------------Skript------------------------------
[Version]
Signature="$Chicago$"
[Version]
Signature="$Chicago$"
Provider=Microsoft
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
---------------------------akhir skript---------------------------
4. Pada Notepad pilih "File" lalu klik "Save as", lalu ubah save as type menjadi "all files", simpan dengan format ".inf", misal Hx.inf, lalu klik kanan, pilih "install".
5.Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows di semua Drive termasuk Removable Disk [Flash Disk]. Kemudian hapus file didalam folder berikut: C:\Documents and settings\%user%\Local Settings\Application Data
* Winlogon.exe
* services.exe
* lsass.exe
* smss.exe
* inetinfo.exe
* Diah84.Yitn.oss.txt
* csrss.exe
* C:\Windows\Inf\Yitnoss.exe
* C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
* C:\Documents and Settings\%user%\Templates\B.Yitnoss.com
* Winlogon.exe
* services.exe
* lsass.exe
* smss.exe
* inetinfo.exe
* Diah84.Yitn.oss.txt
* csrss.exe
* C:\Windows\Inf\Yitnoss.exe
* C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
* C:\Documents and Settings\%user%\Templates\B.Yitnoss.com
Hapus juga file/folder berikut:
C:\Documents and settings\%user%\Local Settings\Application Data
* 84-DiahLove-Yitn-oss
* Yitn.oss-3-27
* Yitn.oss-3-31
* Diah84.Yitn.oss.txt
C:\Documents and settings\%user%\Local Settings\Application Data
* 84-DiahLove-Yitn-oss
* Yitn.oss-3-27
* Yitn.oss-3-31
* Diah84.Yitn.oss.txt
____________________________________________________________________
0 komentar:
Posting Komentar