W32/Rontokbro.LD

W32/Rontokbro.LD 24 November 2006

Return of the “KERE”, hati-hati dengan SexyIndoGirls



Masih ingat dengan VBWorm.ZL dimana virus ini akan mencoba memanipulasi file dengan ekst. EXE, COM, BAT dan PIF sehingga jika anda menjalankan file dengan ekstesi tersebut, satu hal yang menjadi ciri utama adalah munculnya gambar mr.halloween yang disertai beberapa baris pesan dari sang pembuat virus.



Walaupun masih menggunakan bahasa VB tetapi aksi yang dilakukan patut mendapat acungan “jempol”. Dengan mencoba blok berbagai fungsi windows apalagi di dukung dengan kemampuan untuk memanipulasi ekst yang sudah disebutkan di atas pembersihan melalui DOS adalah langkah yang tepat untuk dilakukan.



Jika kita melihat ke belakang [Sejarah], Anda tentu masih ingat dengan sejarah perkembangan komputer, jika dulu komputer itu mempunyai ukuran yang “sangat” besar kini pada perkembangan selanjutnya komputer mempunyai ukuran yang sangat kecil dan jangan salah walaupun kecil ukurannya semakin canggih fiture dan teknologi yang ada didalamnya, begitupun dengan virus Rontokbro.LD, setelah kemunculan varian pertama yang mempunyai ukuran 88 KB [Norman mendeteksi sebagai W32/VBWorm.ZL], kini sang virus sudah mengeluarkan generasi kedua dengan ukuran lebih kecil yakni 80 KB dengan sedikit modifikasi virus ini berhasil berada setingkat lebih tinggi dari varian sebalumnya dan seperti pendahulunya untuk varian ini masih menggunakan bahasa VB. Walaupun varian kedua ini mempunyai ukuran lebih kecil tetapi aksi yang dilakukan nya jauh lebih cangggih dibandingkan varian awalnya hal ini sesuai dengan tuntutan jaman dimana semakin kecil ukuran dari sebuah virus maka semakin cepat pula virus tersebut akan menyebar dan semakin ganas payload yang dimilikinya.



Perbedaan yang menonjol dari kedua virus ini adalah dimana untuk varian kedua [Rontokbro.LD] mempunyai kemampuan untuk “Disable Klik kanan” dan blok semua file executable [EXE], jadi walaupun komputer anda sudah bersih dari Rontokbro.LD maka setiap kali anda menjalankan file executable [EXE] dari sebuah program akan muncul pesan error sehingga program tersebut tidak dapat dijalankan, selain itu Rontokbro.LD juga akan mencoba blok “shut Down/Restart/Log Off” dengan cara mematikannya ditambah dengan kemampuannya untuk melakukan restart jika user menjalankan fungsi REGEDIT.



Ciri utama dari virus ini sama dengan varian sebelumnya yakni akan memunculkan pesan setiap kali komputer dinyalakan dengan pesan judul “KERE”. (lihat gambar 1)





Gambar 1, Pesan yang ditampilkan setiap kali komputer booting



Dengan update terakhir Norman sudah dapat mengenali virus ini dengan baik sebagai Rontokbro.LD (lihat gambar 2)





Gambar 2, Hasil scanning antivirus Norman



Sama seperti pendahulunya Rontokbro.LD juga akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif hal ini diperparah dengan kemampuannya untuk manipulasi semua file yang mempunyai ekst. EXE dengan merubah string di registry agar jika setiap kali user menjalankan file dengan ekst. EXE maka secara otomatis akan menjalankan dirinya.



Selain itu Rontokbro.LD juga akan menyembunyikan file EXE dari sebuah program aplikasi yang dijalankan serta akan membuat file duplikat sesuai dengan nama file yang disembunyikan. selain manipulasi file dengan ekst. EXE, Rontokbro.LD juga akan manipulasi file dengan ext. COM, PIF, BAT dan LNK. Pembersihan melalui mode Normal, safe mode atau safe mode with command prompt akan sangat sulit dilakukan oleh karena itu pembersihan melalui DOS merupakan pilihan yang tepat yang dapat dilakukan.



Untuk mengelabui user, Rontokbro.LD akan menggunakan icon “Folder” dengan exstension EXE serta mempunyai type file sebagai “Application”, tetapi jika virus tersebut sudah menginfeksi komputer maka type file “Application” akan berubah menjadi “File Folder” dengan melakukan perubahan pada string registry, dengan demikian semakin sempurnalah penyamaran yang dilakukan oleh Rontokbro.LD (lihat gambar 3)





Gambar 3, File yang terinfeksi Rontokbro.LD



Jika file tersebut dijalankan maka akan muncul sebuah pesan dari si pembuat virus, jika pada varian awalnya akan mempunyai judul “Jeritan Suara Hati” tetapi untuk varian kedua akan mempunyai judul “KERE”, lihat gambar 1 :



Jika virus sudah menginfeksi komputer Rontokbro.LD akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, diantaranya:



- Data %user logon%.exe di setiap partisi Hard Disk

- C:\kere.exe

- Membuat folder KERE pada setiap Drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.pif".

- C:\Documents and Settings\All Users\Start Menu\Programs\Startup

§ Empty.pif

§ Empty.exe dan Startup.exe



- C:\Documents and Settings\Default User\Start Menu\Programs\Startup

§ Startup.exe

- C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP

§ Startup.exe



- C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup

§ Startup.exe

- C:\Documents and Settings\%user%\Local Settings\Application Data

§ IExplorer.exe

§ shell.exe

§ csrss.exe

§ kere.exe

§ lsass.exe

§ services.exe

§ winlogon.exe

- C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS

§ Csrss.exe

§ lsass.exe

§ services.exe

§ smss.exe

§ winlogon

- C:\Documents and Settings\%user%\Start Menu\Programs\Startup

§ Startup.exe



- C:\Program Files\Microsoft Office\OFFICE11\STARTUP

§ Startup.exe

- C:\Windows

§ kERe.exe



- C:\WINDOWS\system32

§ MrBugs.scr

§ IExplorer.exe

§ Shell.exe

- C:\Windows\Downloaded Program Files\SexyIndoGirls.pif

- C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak



-------------------------------------------------------------------------------------------------------

Catatan:

%user logon% menunjukan user yang digunakan untuk login ke windows

-------------------------------------------------------------------------------------------------------



Sebagai penunjang agar file tersebut dapat dijalankan, ia akan membut beberapa string pada registry dibawah ini:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Logon%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE

System Monitoring = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\LSASS.EXE



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe "C:\WINDOWS\System32\IExplorer.exe"

userinit = C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\IExplorer.exe



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

kERe = C:\WINDOWS\kERe.exe

MSMSGS = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE

Service%user logon% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE

-------------------------------------------------------------------------------------------------------

Catatan:

%user logon% menunjukan user yang digunakan untuk login ke windows

-------------------------------------------------------------------------------------------------------



Manipulasi Screen Saver Windows

Selain itu Kere juga akan memanipulasi “Screen Saver Windows” [menyamar seolah-olah sebagai screen saver] dengan mengganti file yang akan di jalankan menjadi Mr.Bugs.scr file ini akan disimpan didirektori [C:\Windows\system32]. File ini akan dijalankan pada waktu-waktu yang telah ditentukan sehingga secara otomatis akan mengaktifkan dirinya. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

HKEY_CURRENT_USER\Control Panel\Desktop

C:\WINDOWS\System32\MRBugs.scr



Untuk mempertahankan dirinya Rontokbro.LD akan mencoba untuk melakukan Disable beberapa software security termasuk antivirus maupun fungsi windows seperti regedit, msconfig, task manager, folder option dan cmd selain itu Rontokbro.LD juga akan disable klik kanan [sedangkan pada VBWorm.ZL tidak disable klik kanan] dengan membuat string pada registry berikut:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoFolderOptions

NoViewContextMenu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

DisableRegistryTools

DisableTaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerision\Policies\Explorer

NoTrayContextMenu

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerison\Policies\Explorer

NoTrayCOntextMenu

NoClose

NoFind

NoSetFolders

NoSetTaskbar

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

DisableRegistryTools

DisableTaskMgr

DisableCMD

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

Disabled =1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFolderOptions

NoViewContextMenu



Rontokbro.LD juga akan mematikan “system restore” dan blok file installer yang mempunyai ekst. MSI dengan membuat string pada registry berikut : (lihat gambar 4)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore

DisableConfig

DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

DisableMSI = 1

LimitSystemRestoreCheckpointing = 1





Gambar 4, Rontokbro.LD menyembunyikan tabulasi “System restore”



Manipulasi file .EXE, .COM, .BAT, .PIF dan .LNK

Harap hati-hati... jika anda terinfeksi Rontokbro.LD [juga VBWorm.ZL] jangan sesering mungkin menjalankan file yang mempunyai ekst. .exe, .com, .bat, .pif dan .lnk karena jika anda menjalankan file dengan extension tersebut maka secara tidak langsung akan mengaktifkan virus tersebut. Untuk melakukan hal ini ia akan merubah string pada registry berikut:



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command

§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

§ Default = "C:\WINDOWS\System32\shell.exe" "%1" %*



Rontokbro.LD juga akan mebut merubah string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

§ Auto = 1

§ Debugger = "C:\WINDOWS\System32\Shell.exe"



Selain itu jika komputer anda sudah bersih dari pengaruh Rontokbro.LD tetapi selama anda tidak membersihkan string registry yang telah disebutkan di atas maka setiap kali anda menjalankan program yang mempunyai ekstensi .exe, .com, .pif, .lnk dan .bat maka akan muncul pesan error seperti terlihat pada gambar dibawah 5 dan 6 ini :





Gambar 5, Pesan error pada saat menjalankan program [gambar1]





Gambar 6



Menyembunyikan file eksekusi dari sebuah program

Sama seperti pada varian sebalumnya [VBWorm.ZL] Rontokbro.LD juga akan menyembunyikan setiap file executable [.exe] dari sebuah program jika program tersebut dijalankan kemudian untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri:

Menggunakan icon “Folder”

Ukuran 80 KB

Ext. .EXE

Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.



Merubah type file dari “Application” menjadi “File Folder”

Jika komputer anda terinfeksi virus ini coba perhatikan semua file yang mempunyai ext. EXE dimana sebelumnya akan mempunyai type sebagai file “Apllication” kini akan berubah menjadi “File Folder”. Rontokbro.DL sebenarnya mempunyai tujuan lain dalam merubah type file tersebut yakni agar user terkecoh dengan file yang sudah terinfeksi sehingga dengan “tenang” user akan menjalankan file tersebut, tapi kenapa hal ini bisa terjadi ??? hal ini disebabkan Rontokbro.LD akan menggunakan icon “Folder” sehingga dengan type file sebagai “File Folder” maka semakin sempurnalah penyamaran virus tersebut, karena user beranggapan file tersebut adalah “Folder” bukan “applikasi”. Untuk melakukan hal tersebut Rontokbro.LD akan merubah string pada registry berikut : (lihat gambar 7)



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

Default = File Folder



Gambar 7, Manipulasi registri oleh Kere yang mengakibatkan file virus terlihat “seolah-olah” folder



Manipulasi file MSVBVM60.dll

Program bahasa yang digunakan untuk membuat Virus ini adalah bahasa VB. Anda pasti sudah tahu bahwa agar semua file yang dibuat dengan menggunakan bahasa VB tidak aktif [termasuk virus] anda hanya perlu merubah file msvbvm60.dll yang berada didirektori [C:\windows\system32] menjadi nama file lain [contoh: msvbvm60old]. Tetapi rupanya virus ini belajar dari pengalaman, dengan tujuan agar Rontokbro.LD dapat tetap aktif dan user kesulitan dalam merubah file tersebut maka Rontokbro.LD akan copy file yang sama [msvbvm60.dll] ke direktori [C:\windows] dengan attribut “hidden” begitupun file msvbvm60.dll yang ada di direktori [C:\windows\system32] juga akan disembunyikan.



Aktif pada mode safe mode dan safe mode with command prompt

Sebagai upaya untuk mempertahankan dirinya, Rontokbro.LD akan tetap aktif walaupun komputer di booting pada mode “safe mode” dan “safe mode with command prompt” sehingga mempersulit proses pembersihan dengan melakukan perubahan pada registry berikut:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

AlternateShell = C:\WINDOWS\kERe.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot

AlternateShell = C:\WINDOWS\kERe.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

AlternateShell = C:\WINDOWS\kERe.exe



Membuat file duplikat

Sebagai penutup Rontokbro.LD akan membuat file duplikat disetiap folder dan sub folder sesuai dengan nama folder/file yang ada di foldersubfolder tersebut dengan ciri-ciri

Menggunakan icon “Folder”

Ukuran 80 KB

Ext. .EXE

Type file “File Folder” walaupun sebenarnya merupakan “Application” hal ini disebebkan karena virus ini akan merubah type file dari “Application” menjadi “File Folder” teknik ini juga digunakan untuk mengelabui user.



Media penyebaran

Sama seperti varian awalnya [VBWorm.ZL], Untuk menyebarkan dirinya Rontokbro.LD masih menggunakan media Disket/UFD dengan copy beberapa file serta membuat file duplikat disetiap folder dan sub folder dengan nama file sesuai dengan nama folder yang disembunyikan, berikut beberapa file yang di copy ke media Disket/UFD:



Data %user logon%.exe

Membuat folder KERE [hidden file] dimana folder ini berisi 2 file yakni “folder.htt” dan “SexyIndoGirls.pif”



Catatan:

%user logon% menunjukan user yang digunakan untuk login ke windows

Cara membersihkan Rontokbro.LD secara manual

Putuskan hubungan komputer yang akan dibersihkan dari Jaringan [LAN/WAN]

Matikan proses virus yang aktif di memori. Sebagaimana yang telah dijelaskan di awal bahwa virus ini sulit untuk dibersihkan baik melalui mode “Normal”, “safe mode” atau “safe mode with command prompt” karena ia akan mencoba untuk blok dari berbagai arah agar dirinya tetap aktif termasuk untuk memanipulasi file dengan ext. exe, com, bat, lnk dan pif dengan merubah ke lokasi file induk virus tersebut sehingga jika anda menjalankan file dengan ext tersebut maka secara tidak langsung akan menjalankan virus tersebut, oleh karena itu pembersihan sebaiknya dilakukan melalui mode DOS PROMPT.



Jika komputer anda terinstall Windows dengan OS NT/2000/XP/2003 dengan format NTFS anda dapat menggunakan software NTFS for DOS. Tools ini digunakan untuk membuat Disket Stratup yang nantinya digunakan untuk menghapus file induk virus tersebut, software ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html. Setelah berhasil download dan menginstall software tersebut buat Disket Startup, untuk membuat disket stratup anda hanya membutuhkan 1 [satu] disket saja. Setelah sisket starup tersebut berhasil dibuat booting komputer melalui disket.



Sebagai informasi Rontokbro.LD dibuat dengan menggunakan program bahasa VB dengan demikian untuk mematikan proses virus tersebut untuk sementara waktu anda hanya perlu merubah file MSVBVM60.dll, Ingat !! virus ini juga akan membuat file MSVBVM60.dll pada direktori [C:\Windows] oleh karena itu selain anda merubah file MSVBVM60.dll di direktori [C:\Windows\System32] anda juga harus merubah file yang sama pada direktori [C:\Windows]



Jika anda menggunakan Software NTFS for DOS biasanya Drive System [C:\] akan menjadi Drive terakhir [contohnya: jika Hard Disk anda mempunyai 2 partisi maka partisi C:\ (system) menjadi D:\.



Setelah anda berhasil masuk ke dalam lingkungan DOS dengan menggunakan NTFS for DOS pastikan kursor berada di Drive system anda [contoh D:\] kemudian rename file MSVBVM60.dll yang ada didirektori [C:\Windows dan C:\Windows\system32] dengan terlebih dahulu masuk ke direktori yang telah disebutkan diatas terlebih dahulu. Setelah itu ketik perintah DIR /AH [untuk melihat file yang di sembunyikan] kemudian ketik kambali perintah ren msvbvm60.dll msvbvm60old kemudian tekan tombol [enter], untuk lebih jelasnya perhatikan gambar 8 dibawah ini :





Gambar 8, Merubah file msvbvm60.dll pad DOS Prompt



Setelah berhasil merubah file MSVBVM60.dll, restart komputer dan booting ke mode “normal”.



Pesan error setelah merubah file msvbvm60.dll

Setelah anda merubah file msvbvm60.dll dan jika anda mencoba untuk menjalankan suatu program [bukan cuma program yang dibuat dengan Visual Basic saja] maka akan muncul pesan error “seolah-olah program tersebut tidak dapat menemukan file msvbvm60.dll” hal ini karena Rontokbro.LD akan mengalihkan ke lokasi file virus itu sendiri [C:\Windows\system32\shell.exe].Perhatikan gambar dibawah 9 ini





Gambar 9, Pesan error ketika menjalankan program



Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf setelah itu jalakan file tersebut dengan cara:

Klik kanan repair.inf

Klik Install



Tetapi Rontokbro.LD akan mencoba untuk blok fungsi klik kanan pada desktop atau file sehingga user akan kesulitan untuk menjalankan file tersebut [repair.inf], oleh karena itu anda harus mengaktifkan kembali fungsi klik kanan tersebut. Untuk mengaktifkan fungsi klik kanan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.bat dan jalankan file tersebut dengan cara klik 2 x file tersebut.



Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerision\Policies\explorer\NoTrayCOntextMenu")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer\NoViewContextMenu")



Setelah itu restart komputer dan booting pada mode “Normal”. Setelah fungsi klik kanan dapat kembali digunakan, hapus sisa string yang masih ada, untuk mempercepat salin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut [klik repair.inf à klik install]



[Version]

Signature="$Chicago$"

Provider=Vaksincom



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

hklm, SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Auto,0x00000020,0

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug,Debugger,0,

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Control Panel\Desktop, SCRNSAVE.EXE,0,

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,kERe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MSMSGS

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,System Monitoring

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System, DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing



------------------------------------------------------------------------------------------

Catatan:

Sebelum menjalankan repair.inf lakukan pengecekan ulang pada script berikut:



HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"



Kemudian ganti pada baris C:\Windows\system32\userinit.exe, menjadi C:\Winnt\system32\userinit.exe, jika menggunakan Windows NT/2000, karena baris script diatas [C:\Windows\system32\userinit.exe] berlaku jika komputer terinstall Windows XP/2003.



Setelah menjalankan repair.inf sebaiknya Anda cek kembali registry berikut, karena untuk string yang dibuat akan berbeda-beda sesuai dengan login user yang digunakan pada komputer yang terinfeksi.



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Logon%user% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\CSRSS.EXE

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Service%user login% = C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS\SERVICES.EXE



Kemudian hapus string Logon %user% dan Service %user%

------------------------------------------------------------------------------------------



Hapus file induk yang telah dibuat oleh virus. Sebelum anda menghapus file induk tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “ show hidden file anda folder” dan mematikan option “hide file extension for known type” dan “hide protected operating system files (recommended) pada “FOLDER OPTION” kemudian hapus file berikut:



· Data %user%.exe pada setiap partisi Hard Disk, dimana %user% menunjukan user yang digunaakn untuk login ke windows

· C:\kere.exe

· Membuat folder KERE pada setiap drive, dimana folder ini berisi 2 buah file dengan nama "folder.htt" dan "sexyIndoGirls.exe", kedua file ini akan disembunyikan

· C:\Documents and Settings\All Users\Start Menu\Programs\Startup

§ Empty.pif

§ Empty.exe dan Startup.exe

· C:\Documents and Settings\Default User\Start Menu\Programs\Startup

§ Startup.exe

· C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup

§ Startup.exe

· C:\Documents and Settings\%user%\Application Data\Microsoft\Word\STARTUP

§ Startup.exe

· C:\Documents and Settings\%user%\Local Settings\Application Data

§ IExplorer.exe

§ shell.exe

§ csrss.exe

§ kere.exe

§ lsass.exe

§ services.exe

§ winlogon.exe

· C:\Documents and Settings\%user%\Local Settings\Application Data\WINDOWS

§ Csrss.exe

§ lsass.exe

§ services.exe

§ smss.exe

§ winlogon

· C:\Documents and Settings\%user%\Start Menu\Programs\Startup

§ Startup.exe

· C:\Program Files\Microsoft Office\OFFICE11\STARTUP

§ Startup.exe

· C:\Windows

§ kERe.exe

· C:\WINDOWS\system32

§ MrHelloween.scr

§ shell.exe

§ IExplorer.exe

§ C:\Windows\Downloaded Program Files\SexyIndoGirls.pif

§ C:\Windows\Downloaded Program Files\CONFLICT.X\SexyIndoGirls.pif, dimana X menunjukan angka acak

§ Jika anda mempunyai Flash Disk sebaiknya cek dan hapus file yang mempunyai nama Data %user logon%.exe [contoh: Data Administrator] dan folder “KERE” [folder ini akan disembunyikan]



Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:

Menggunakan icon “Folder”

Ukuran file 80 KB

Mempunyai extension .EXE

Type file “Application”

Tampilkan kembali semua file executable [.EXE] yang telah disembunyikan oleh virus, untuk mempercepat anda dapat menggunakan perintah ATTRIB pada DOS PROMPT, contoh:



ATTRIB –h –r *.exe /s kemudian tekan tombol [enter] (lihat gambar 10)





Gambar 10, Mengembalikan file .exe yang disembunyikan oleh virus



Jika komputer sudah benar-benar bersih dari virus, rename [ubah] kembali file msvbvm60.dll yang sudah diubah sebelumnya pada didirektori [C:\Windows\system32].

Untuk pembersihan optimal dan mencegah infeksi ulang install antivirus yang sudah dapat mengenali virus ini dengan baik