1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif dimemori. Sebagai informasi Rontokbro.AL akan aktif di mode “normal”, “safe mode” maupun “safe mode with command prompt”, file induk yang aktif di memori juga sangat sulit untuk dimatikan hal ini diperparah dengan kondisi dimana virus ini akan aktif setiap kali user menjalankan file Executable [EXE] dari suatu program, tools security seperti security task manager/proceeXP atau killbox pun dibuat tak berdaya. Kabar baiknya Rontokbro.AL dibuat dengan menggunakan bahasa Visual Basic sehingga anda hanya perlu merubah file DIR/AH kemudian tekan tombol “enter” pada keyboard [untuk melihat file yang disembunyikan], jika di direktori ini ditemukan file MSVBVM60.DLL, ubah nama file tersebut dengan mengetik perintah dibawah ini
• REN MSVBVM60.DLL MSVBVM60 kemudian tekan tombol “enter“ pada keyboard
Ubah juga file MSVBVM60.DLL yang ada di direktori ..\Windows\system32, dengan mengunakan perintah yang sama seperti di atas.
Setelah file tersebut berhasil di ubah, restart komputer dan booting ke mode "Normal". Setelah komputer booting maka akan muncul beberapa pesan error, ini menandakan bahwa virus tersebut gagal untuk dijalankan [aktif] kerena tidak menemukan file MSVBVM60.DLL, jika muncul pesan tersebut klik tombol [OK],
Setelah itu hapus file induk berikut:
• C:\Data%user%.exe [contoh: Data Admin.exe]
• C:\4k51k4.exe
• C:\Puisi.txt
• C:\Desktop.ini
• C:\4K51K4, folder ini berisi 2 buah file berikut:
o Folder.htt
o New Folder.exe
• C:\Documents and Settings\%user%\Start Menu\Programs\Startup\startup.exe
• C:\Documents and Settings\%user%\Local Settings\Application Data
o 4k51k4.exe
o csrss.exe
o Empty.Pif
o IExplorer.exe
o lsass.exe
o services.exe
o shell.exe
o Winlogon.exe
• C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS
o csrss.exe
o lsass.exe
o services.exe
o smss.exe
o winlogon.exe
• C:\Documents and Settings\All Users\Start Menu\Programs\Startup
o Empty.pif
o Empty.exe
o Startup.exe
• C:\WINDOWS\4k51k4.exe
• C:\WINDOWS\system32
o Shell.exe
o MrHelloween.scr
o IExplorer.exe
• Hapus juga file yang ada di Disket/Flash Disk:
o 4K51K4, folder ini berisi 2 buah file dengan nama Folder.htt dan New Folder.exe
o Data %user%.exe, contoh: Data Admin.exe
o Desktop.ini
5. Hapus file duplikat yang sudah dibuat oleh virus baik di Hard Disk maupun di Disket/Flash Disk dengan ciri-ciri :
• Menggunakan icon folder
• Ukuran 45 KB
• Ext. exe
• Type file "application"
6. Jika komputer sudah bersih dari virus, tampilkan kembali file .EXE yang sudah disembunyikan. Gunakan perintah ATTRIB -s -h *.exe /s /d pada Dos Prompt. Sebagai informasi Rontokbro.LA juga akan mencoba untuk menyembunyikan file dengan ekst. Bat/Com/lnk dan Pif jika file tersebut dijalankan oleh karena itu untuk menampilkan kembali file dengan ext tersebut gunakan perintah seperti diatas dengan mengganti ekstensi yang akan ditampilkan, contoh ATTRIB -s -h *.com /s /d
8. Ubah kembali file msvbvm60 yang ada di direktori C:\Windows\system32 menjadi msvbvm60.dll
Sumber : Vaksin
Edited by : 203 d’KiLlEr
No comments:
Post a Comment