Trojan: W32/VBTroj.VNE Rieysha
Oleh affannur jentrek rojpoimo wonosobo
Jika komputer anda menampilkan pesan notepad dengan nama file "system32pesan_dari_rieysha.txt" sebagai berikut (lihat gambar 1) :
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.
Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan (lihat dibawah) :
yanx kapan kamu balik?
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.
Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.
Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini
Ciri-Ciri komputer yang terinfeksi
*
Mengganti tampilan walpaper/desktop
Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
*
Merubah format penanggalan dari PM/AM menjadi [Rieysha]
*
Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
*
Disable beberapa fungsi Windows seperti
o Disable Task Manager
o Menyembunyikan menu ShutDown komputer
o Menyembunyikan Drive
o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
o Menyembunyikan fungsi pencarian file/folder [Search]
o Menyembunyikan [Folder Options]
o Menyembunyikan [Run]
o Menyembunyikan [Start Menu Programs]
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE
File induk virus
Pada saat virus ini aktif ia akan mencoba untuk membuat file induk yang cukup banyak mencapai lebih dari 200 file di setiap direktori yang telah ditentukan dengan nama file acak yakni :
o Root Drive [C:\ atau D:\]
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
File yang akan dibuat ini akan mempunyai ciri-ciri
> Menggunakan icon
> Ukuran File 228 KB
> Type file “Application”
> Ekstensi EXE
File induk virus
Virus ini juga akan membuat file di direktori :
o C:\CeweNakal.scr
o C:\Windows
- Oemlogo.pif
- Taksman.com
- system32folder.htt
- system32desktop.ini
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32Autorun.inf
- system32pesanku.bat
- system32pesanQ.htm
- system32klikAku.bat
- system32klik2kali.bat
- system32rieysha.jpg
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
- hacker.exe
- IEfree.exe
o D:\puisi.txt [semua drive]
Registry
Agar salah satu dari sekian banyak file yang dibuat ini dapat dijalankan saat komputer dinyalakan, ia akan merubah beberapa registry berikut:
*
HKCU\Softawre\microsoft\Windows\currentVersion\Run
- r13y5h4.exe = C:\WINDOWS\r13y5h4.exe
*
HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = C:\windows\system32\win34.exe
- userinit = C:\windows\system32\win34.exe
Untuk memperkuat pertahanannya ia akan mencoba untuk mematikan beberapa fungsi windows seperti :
- Disable Task Manager
- Menyembunyikan menu [ShootDown komputer]
- Menyembunyikan Drive
- Menyembunyikan fungsi pencarian [Search]
- Menyembunyikan [Folder Options]
- Menyembunyikan [Run]
- Menyembunyikan [Start Menu Programs]
- Blok [Explorer]
Dengan terlebih dahulu membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
- Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoClose
- NoDrives
- NoDriveTypeAutoRun
- NoFind
- NoFolderOptions
- NoRun
- NoStarMenuMorePrograms
- NoViewOnDrive
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoCLose
- NoControlPanel
- NoDrives
- NoFind
- NoFolderOptions
- NoLOgoff
- NoRun
- NoSetFolders
- NoTrayContextMenu
- NoViewOnDrive
- NoWindowsUpdate
- StartMenuLogOff
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
- NoDispCPL
- DisableRegistryTools
- DisableTaskMgr
Aktif pada mode “safe mode” dan “safe mode with command prompt”
Virus ini juga akan aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin mempersulit peroses pembersihan dengan membuat sring pada regustry berikut.
HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = C:\windows\system32\win34.exe
- userinit = C:\windows\system32\win34.exe
HKLM\System\ControlSet001\COntrol\safeboot
- AlternateShell = r13y5h4.exe
HKLM\System\CurrentControlSet\COntrol\safeboot
- AlternateShell = r13y5h4.exe
Jejak sang Virus
Rupanya bukan cuma Riyani Jangkaru saja yang dapat meninggalkan “jejak petualangan” nya tetapi virus pun bisa meninggalkan jejak agar di lebih dikenal. Berikut beberapa jejak yang akan di tinggalkan oleh W32/VBTroj.VNE
- Merubah format penanggalan dari AM/PM menjadi "rieysha"
Untuk merubah format penanggalan ini, W32/VBTrojVNE ini akan merubah string pada registry:
HKCU\Control Panel\International
- s1159 = rieysha
- s2359 = rieysha
Merubah nama pemilik Windows (lihat gambar 7)
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
Untuk merubah format penanggalan ini, W32/VBTroj.VNE ini akan merubah string pada registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
- Merubah halaman utama [Start page] Internet Explorer menjadi [http://h1.ripway.com/anharku]
Untuk merubah halaman web ini, W32/VBTrojVNE ini akan merubah string pada registry:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- http://h1.ripway.com/anharku
Pesan sang petualang
Pada saat menginjakan kakinya di komputer target, W32/VBTroj.VNE akan menorehkan beberapa pesan yang ditujukan kepada “pujaan hati” nya, dalam bentuk file yang akan disimpan di direktori [C:\Windows], berikut beberapa pesan yang akan di buat oleh virus ini terlihat dalam gambar 1 dan 2 di atas.
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32pesanku.bat
- system32pesanQ.htm
Media Penyebaran
Untuk mempercepat penyebaranya, ia akan memanfaatkan media Flash Disk dengan membuat file induk dengan nama file acak. Agar virus ini dapat aktif secara otomatis ia akan membuat 3 (tiga) buah file untuk menjalankan salah satu file induk [film.exe] secara otomatis. (lihat gambar 8, 9 dan 10)
- C:\Windows\system32\system32folder.htt
- C:\Windows\system32\system32desktop.ini
- C:\Windows\system32\system32Autorun.inf
Menguasai komputer
Dari sekian aksi yang dilakukan di atas, virus ini mempunyai satu tujuan yakni untuk menguasai komputer target dengan cara memblok agar user tidak dapat mengakses komputer sebelum virus tersebut dibersihkan. Untuk melakukan hal ini ia akan mengganti wallpaper/desktop dengan wallpaper dirinya yang berisi pesan Error serta menampilkan pesan-pesan lainnya. Oleh karena itu pembersihan melalui “safe mode” atau “safe mode with command prompt” pun tidak akan mampu menyingkirkan virus ini kecuali jika pembersihan dilakukan pada mode “DOS” atau menggunakan software lain, contohnya dengan menggunakan Windows Mini PE [www.minipe.org]
Cara membersihkan W32/VBTroj.VNE
Karena virus ini tidak bisa di bersihkan baik pada mode “safe mode” atau “safe mode with command prompt” maka sebaiknya pembersihan dilakukan pada mode DOS atau dengan menggunakan software lain seperti Bart PE atau Mini PE dimana pembersihan ini dapat dilakukan secara manual atau dengan menjalankan removal tools [jika sudah mengenali]
Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.
1.
Hapus file virus di drive
Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.
- Klik [miniPE2XT]
- Klik [Programs]
- Klik [File Management]
- Klik [Windows Explorer]
Kemudian hapus file berikut:
o [C:\] atau Drive lain termasuk Flash disk
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
hacker.exe
IEfree.exe
Catatan:
Hapus file virus yang mempunyai ciri-ciri:
- Menggunakan icon
Ukuran 228 KB
- Type file “Application”
- Ekstensi EXE
Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:
- Buka [Windows Explorer]
- Klik tombol [Search]
- Pada kolom "Search for files or folders names" isi dengan format *.exe
- Pada kolom "Look in:" pilih drive yang akan di periksa
- kKik opsi [Search Options >>]
- Pilih opsi "Size"
§ Pilih "At most"
§ Isi 229
- Klik opsi "Advanced Options"
§ Pilih opsi "Search System folders"
§ Pilih opsi "Search hidden files and folders"
§ Pilih opsi "Search subfolders"
- Klik tombol "Search Now" untuk memulai pencarian
- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas.
Hapus juga file berikut:
- C:\CeweNakal.scr
- C:\Windows
§ Oemlogo.pif
§ TAKSMAN.com
§ system32folder.htt
§ system32desktop.ini
§ system32pesan_dari_rieysha.txt
§ system32pesan.doc
§ system32Autorun.inf
§ system32pesanku.bat
§ system32pesanQ.htm
§ system32klikAku.bat
§ system32klik2kali.bat
§ system32rieysha.jpg
- D:\Puisi.txt
2.
Hapus/edit kembali registry yang sudah diubah virus
o Masih di Mini PE, klik
o Klik MiniPE2XT]
o Klik [Programs]
o Klik [Avast! Registry Editor]
o Klik [Registry Editor]
o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK]
o Kemudian cari dan ubah registry berikut:
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]
§ Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]
Catatan:
%system% ini berbeda-beda:
· [C:\Windows\system32] à Windows XP/2003
· [C:\Winnt\system32] à Windows 2000
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Hapus string [r13y5h4.exe]
- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:
§ Explorer
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
§ NoClose
§ NoDrives
§ NoDriveTypeAutoRun
§ NoFind
§ NoFolderOptions
§ NoRun
§ NoStarMenuMorePrograms
§ NoViewOnDrive
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
§ DisableCMD
§ DisableRegistryTools
§ DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
§ NoCLose
§ NoControlPanel
§ NoDrives
§ NoFind
§ NoFolderOptions
§ NoLOgoff
§ NoRun
§ NoSetFolders
§ NoTrayContextMenu
§ NoViewOnDrive
§ NoWindowsUpdate
§ StartMenuLogOff
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
§ NoDispCPL
§ DisableRegistryTools
§ DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
§ Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
§ Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
§ Hapus string [r13y5h4.exe]
- _User_%user%\Software\Microsoft\Internet Explorer\Main
§ Pada string [Start Page] ubah “string value data” menjadi [about:blank]
- _User_%user%\Control Panel\International
§ Pada string [s1159] ubah “String value data” menjadi [AM]
§ Pada string [s2359] ubah “string value data” menjadi [PM]
3.
Restart komputer
4.
Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf
Catatan
Jalankan file repair.inf ini setelah komputer restart
Berikut script yang harus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\Desktop, Wallpaper,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
5.
Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6.
Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:
o Klik kanan repair.inf
o Klik Install
Jika komputer anda menampilkan pesan notepad dengan nama file "system32pesan_dari_rieysha.txt" sebagai berikut (lihat gambar 1) :
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.
Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan (lihat dibawah) :
yanx kapan kamu balik?
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.
Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.
Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini
Ciri-Ciri komputer yang terinfeksi
*
Mengganti tampilan walpaper/desktop
Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
*
Merubah format penanggalan dari PM/AM menjadi [Rieysha]
*
Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
*
Disable beberapa fungsi Windows seperti
o Disable Task Manager
o Menyembunyikan menu ShutDown komputer
o Menyembunyikan Drive
o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
o Menyembunyikan fungsi pencarian file/folder [Search]
o Menyembunyikan [Folder Options]
o Menyembunyikan [Run]
o Menyembunyikan [Start Menu Programs]
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE
File induk virus
Pada saat virus ini aktif ia akan mencoba untuk membuat file induk yang cukup banyak mencapai lebih dari 200 file di setiap direktori yang telah ditentukan dengan nama file acak yakni :
o Root Drive [C:\ atau D:\]
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
File yang akan dibuat ini akan mempunyai ciri-ciri
> Menggunakan icon
> Ukuran File 228 KB
> Type file “Application”
> Ekstensi EXE
File induk virus
Virus ini juga akan membuat file di direktori :
o C:\CeweNakal.scr
o C:\Windows
- Oemlogo.pif
- Taksman.com
- system32folder.htt
- system32desktop.ini
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32Autorun.inf
- system32pesanku.bat
- system32pesanQ.htm
- system32klikAku.bat
- system32klik2kali.bat
- system32rieysha.jpg
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
- hacker.exe
- IEfree.exe
o D:\puisi.txt [semua drive]
Registry
Agar salah satu dari sekian banyak file yang dibuat ini dapat dijalankan saat komputer dinyalakan, ia akan merubah beberapa registry berikut:
*
HKCU\Softawre\microsoft\Windows\currentVersion\Run
- r13y5h4.exe = C:\WINDOWS\r13y5h4.exe
*
HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = C:\windows\system32\win34.exe
- userinit = C:\windows\system32\win34.exe
Untuk memperkuat pertahanannya ia akan mencoba untuk mematikan beberapa fungsi windows seperti :
- Disable Task Manager
- Menyembunyikan menu [ShootDown komputer]
- Menyembunyikan Drive
- Menyembunyikan fungsi pencarian [Search]
- Menyembunyikan [Folder Options]
- Menyembunyikan [Run]
- Menyembunyikan [Start Menu Programs]
- Blok [Explorer]
Dengan terlebih dahulu membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
- Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoClose
- NoDrives
- NoDriveTypeAutoRun
- NoFind
- NoFolderOptions
- NoRun
- NoStarMenuMorePrograms
- NoViewOnDrive
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoCLose
- NoControlPanel
- NoDrives
- NoFind
- NoFolderOptions
- NoLOgoff
- NoRun
- NoSetFolders
- NoTrayContextMenu
- NoViewOnDrive
- NoWindowsUpdate
- StartMenuLogOff
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
- NoDispCPL
- DisableRegistryTools
- DisableTaskMgr
Aktif pada mode “safe mode” dan “safe mode with command prompt”
Virus ini juga akan aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin mempersulit peroses pembersihan dengan membuat sring pada regustry berikut.
HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = C:\windows\system32\win34.exe
- userinit = C:\windows\system32\win34.exe
HKLM\System\ControlSet001\COntrol\safeboot
- AlternateShell = r13y5h4.exe
HKLM\System\CurrentControlSet\COntrol\safeboot
- AlternateShell = r13y5h4.exe
Jejak sang Virus
Rupanya bukan cuma Riyani Jangkaru saja yang dapat meninggalkan “jejak petualangan” nya tetapi virus pun bisa meninggalkan jejak agar di lebih dikenal. Berikut beberapa jejak yang akan di tinggalkan oleh W32/VBTroj.VNE
- Merubah format penanggalan dari AM/PM menjadi "rieysha"
Untuk merubah format penanggalan ini, W32/VBTrojVNE ini akan merubah string pada registry:
HKCU\Control Panel\International
- s1159 = rieysha
- s2359 = rieysha
Merubah nama pemilik Windows (lihat gambar 7)
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
Untuk merubah format penanggalan ini, W32/VBTroj.VNE ini akan merubah string pada registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
- Merubah halaman utama [Start page] Internet Explorer menjadi [http://h1.ripway.com/anharku]
Untuk merubah halaman web ini, W32/VBTrojVNE ini akan merubah string pada registry:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- http://h1.ripway.com/anharku
Pesan sang petualang
Pada saat menginjakan kakinya di komputer target, W32/VBTroj.VNE akan menorehkan beberapa pesan yang ditujukan kepada “pujaan hati” nya, dalam bentuk file yang akan disimpan di direktori [C:\Windows], berikut beberapa pesan yang akan di buat oleh virus ini terlihat dalam gambar 1 dan 2 di atas.
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32pesanku.bat
- system32pesanQ.htm
Media Penyebaran
Untuk mempercepat penyebaranya, ia akan memanfaatkan media Flash Disk dengan membuat file induk dengan nama file acak. Agar virus ini dapat aktif secara otomatis ia akan membuat 3 (tiga) buah file untuk menjalankan salah satu file induk [film.exe] secara otomatis. (lihat gambar 8, 9 dan 10)
- C:\Windows\system32\system32folder.htt
- C:\Windows\system32\system32desktop.ini
- C:\Windows\system32\system32Autorun.inf
Menguasai komputer
Dari sekian aksi yang dilakukan di atas, virus ini mempunyai satu tujuan yakni untuk menguasai komputer target dengan cara memblok agar user tidak dapat mengakses komputer sebelum virus tersebut dibersihkan. Untuk melakukan hal ini ia akan mengganti wallpaper/desktop dengan wallpaper dirinya yang berisi pesan Error serta menampilkan pesan-pesan lainnya. Oleh karena itu pembersihan melalui “safe mode” atau “safe mode with command prompt” pun tidak akan mampu menyingkirkan virus ini kecuali jika pembersihan dilakukan pada mode “DOS” atau menggunakan software lain, contohnya dengan menggunakan Windows Mini PE [www.minipe.org]
Cara membersihkan W32/VBTroj.VNE
Karena virus ini tidak bisa di bersihkan baik pada mode “safe mode” atau “safe mode with command prompt” maka sebaiknya pembersihan dilakukan pada mode DOS atau dengan menggunakan software lain seperti Bart PE atau Mini PE dimana pembersihan ini dapat dilakukan secara manual atau dengan menjalankan removal tools [jika sudah mengenali]
Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.
1.
Hapus file virus di drive
Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.
- Klik [miniPE2XT]
- Klik [Programs]
- Klik [File Management]
- Klik [Windows Explorer]
Kemudian hapus file berikut:
o [C:\] atau Drive lain termasuk Flash disk
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
hacker.exe
IEfree.exe
Catatan:
Hapus file virus yang mempunyai ciri-ciri:
- Menggunakan icon
Ukuran 228 KB
- Type file “Application”
- Ekstensi EXE
Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:
- Buka [Windows Explorer]
- Klik tombol [Search]
- Pada kolom "Search for files or folders names" isi dengan format *.exe
- Pada kolom "Look in:" pilih drive yang akan di periksa
- kKik opsi [Search Options >>]
- Pilih opsi "Size"
§ Pilih "At most"
§ Isi 229
- Klik opsi "Advanced Options"
§ Pilih opsi "Search System folders"
§ Pilih opsi "Search hidden files and folders"
§ Pilih opsi "Search subfolders"
- Klik tombol "Search Now" untuk memulai pencarian
- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas.
Hapus juga file berikut:
- C:\CeweNakal.scr
- C:\Windows
§ Oemlogo.pif
§ TAKSMAN.com
§ system32folder.htt
§ system32desktop.ini
§ system32pesan_dari_rieysha.txt
§ system32pesan.doc
§ system32Autorun.inf
§ system32pesanku.bat
§ system32pesanQ.htm
§ system32klikAku.bat
§ system32klik2kali.bat
§ system32rieysha.jpg
- D:\Puisi.txt
2.
Hapus/edit kembali registry yang sudah diubah virus
o Masih di Mini PE, klik
o Klik MiniPE2XT]
o Klik [Programs]
o Klik [Avast! Registry Editor]
o Klik [Registry Editor]
o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK]
o Kemudian cari dan ubah registry berikut:
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]
§ Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]
Catatan:
%system% ini berbeda-beda:
· [C:\Windows\system32] à Windows XP/2003
· [C:\Winnt\system32] à Windows 2000
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Hapus string [r13y5h4.exe]
- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:
§ Explorer
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
§ NoClose
§ NoDrives
§ NoDriveTypeAutoRun
§ NoFind
§ NoFolderOptions
§ NoRun
§ NoStarMenuMorePrograms
§ NoViewOnDrive
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
§ DisableCMD
§ DisableRegistryTools
§ DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
§ NoCLose
§ NoControlPanel
§ NoDrives
§ NoFind
§ NoFolderOptions
§ NoLOgoff
§ NoRun
§ NoSetFolders
§ NoTrayContextMenu
§ NoViewOnDrive
§ NoWindowsUpdate
§ StartMenuLogOff
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
§ NoDispCPL
§ DisableRegistryTools
§ DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
§ Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
§ Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
§ Hapus string [r13y5h4.exe]
- _User_%user%\Software\Microsoft\Internet Explorer\Main
§ Pada string [Start Page] ubah “string value data” menjadi [about:blank]
- _User_%user%\Control Panel\International
§ Pada string [s1159] ubah “String value data” menjadi [AM]
§ Pada string [s2359] ubah “string value data” menjadi [PM]
3.
Restart komputer
4.
Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf
Catatan
Jalankan file repair.inf ini setelah komputer restart
Berikut script yang harus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\Desktop, Wallpaper,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
5.
Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6.
Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:
o Klik kanan repair.inf
o Klik Install
sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?
by:rieysha
Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.
Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan (lihat dibawah) :
yanx kapan kamu balik?
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu
Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.
Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.
Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini
Ciri-Ciri komputer yang terinfeksi
*
Mengganti tampilan walpaper/desktop
Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
*
Merubah format penanggalan dari PM/AM menjadi [Rieysha]
*
Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
*
Disable beberapa fungsi Windows seperti
o Disable Task Manager
o Menyembunyikan menu ShutDown komputer
o Menyembunyikan Drive
o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
o Menyembunyikan fungsi pencarian file/folder [Search]
o Menyembunyikan [Folder Options]
o Menyembunyikan [Run]
o Menyembunyikan [Start Menu Programs]
Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE
File induk virus
Pada saat virus ini aktif ia akan mencoba untuk membuat file induk yang cukup banyak mencapai lebih dari 200 file di setiap direktori yang telah ditentukan dengan nama file acak yakni :
o Root Drive [C:\ atau D:\]
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
File yang akan dibuat ini akan mempunyai ciri-ciri
> Menggunakan icon
> Ukuran File 228 KB
> Type file “Application”
> Ekstensi EXE
File induk virus
Virus ini juga akan membuat file di direktori :
o C:\CeweNakal.scr
o C:\Windows
- Oemlogo.pif
- Taksman.com
- system32folder.htt
- system32desktop.ini
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32Autorun.inf
- system32pesanku.bat
- system32pesanQ.htm
- system32klikAku.bat
- system32klik2kali.bat
- system32rieysha.jpg
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
- hacker.exe
- IEfree.exe
o D:\puisi.txt [semua drive]
Registry
Agar salah satu dari sekian banyak file yang dibuat ini dapat dijalankan saat komputer dinyalakan, ia akan merubah beberapa registry berikut:
*
HKCU\Softawre\microsoft\Windows\currentVersion\Run
- r13y5h4.exe = C:\WINDOWS\r13y5h4.exe
*
HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = C:\windows\system32\win34.exe
- userinit = C:\windows\system32\win34.exe
Untuk memperkuat pertahanannya ia akan mencoba untuk mematikan beberapa fungsi windows seperti :
- Disable Task Manager
- Menyembunyikan menu [ShootDown komputer]
- Menyembunyikan Drive
- Menyembunyikan fungsi pencarian [Search]
- Menyembunyikan [Folder Options]
- Menyembunyikan [Run]
- Menyembunyikan [Start Menu Programs]
- Blok [Explorer]
Dengan terlebih dahulu membuat string pada registry berikut:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
- Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoClose
- NoDrives
- NoDriveTypeAutoRun
- NoFind
- NoFolderOptions
- NoRun
- NoStarMenuMorePrograms
- NoViewOnDrive
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoCLose
- NoControlPanel
- NoDrives
- NoFind
- NoFolderOptions
- NoLOgoff
- NoRun
- NoSetFolders
- NoTrayContextMenu
- NoViewOnDrive
- NoWindowsUpdate
- StartMenuLogOff
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
- NoDispCPL
- DisableRegistryTools
- DisableTaskMgr
Aktif pada mode “safe mode” dan “safe mode with command prompt”
Virus ini juga akan aktif walaupun komputer booting pada mode “safe mode” atau “safe mode with command prompt” sehingga semakin mempersulit peroses pembersihan dengan membuat sring pada regustry berikut.
HKLM\Software\microsoft\WindowsNT\CurrentVersion\Winlogon
- Shell = C:\windows\system32\win34.exe
- userinit = C:\windows\system32\win34.exe
HKLM\System\ControlSet001\COntrol\safeboot
- AlternateShell = r13y5h4.exe
HKLM\System\CurrentControlSet\COntrol\safeboot
- AlternateShell = r13y5h4.exe
Jejak sang Virus
Rupanya bukan cuma Riyani Jangkaru saja yang dapat meninggalkan “jejak petualangan” nya tetapi virus pun bisa meninggalkan jejak agar di lebih dikenal. Berikut beberapa jejak yang akan di tinggalkan oleh W32/VBTroj.VNE
- Merubah format penanggalan dari AM/PM menjadi "rieysha"
Untuk merubah format penanggalan ini, W32/VBTrojVNE ini akan merubah string pada registry:
HKCU\Control Panel\International
- s1159 = rieysha
- s2359 = rieysha
Merubah nama pemilik Windows (lihat gambar 7)
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
Untuk merubah format penanggalan ini, W32/VBTroj.VNE ini akan merubah string pada registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
- Merubah halaman utama [Start page] Internet Explorer menjadi [http://h1.ripway.com/anharku]
Untuk merubah halaman web ini, W32/VBTrojVNE ini akan merubah string pada registry:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- http://h1.ripway.com/anharku
Pesan sang petualang
Pada saat menginjakan kakinya di komputer target, W32/VBTroj.VNE akan menorehkan beberapa pesan yang ditujukan kepada “pujaan hati” nya, dalam bentuk file yang akan disimpan di direktori [C:\Windows], berikut beberapa pesan yang akan di buat oleh virus ini terlihat dalam gambar 1 dan 2 di atas.
- system32pesan_dari_rieysha.txt
- system32pesan.doc
- system32pesanku.bat
- system32pesanQ.htm
Media Penyebaran
Untuk mempercepat penyebaranya, ia akan memanfaatkan media Flash Disk dengan membuat file induk dengan nama file acak. Agar virus ini dapat aktif secara otomatis ia akan membuat 3 (tiga) buah file untuk menjalankan salah satu file induk [film.exe] secara otomatis. (lihat gambar 8, 9 dan 10)
- C:\Windows\system32\system32folder.htt
- C:\Windows\system32\system32desktop.ini
- C:\Windows\system32\system32Autorun.inf
Menguasai komputer
Dari sekian aksi yang dilakukan di atas, virus ini mempunyai satu tujuan yakni untuk menguasai komputer target dengan cara memblok agar user tidak dapat mengakses komputer sebelum virus tersebut dibersihkan. Untuk melakukan hal ini ia akan mengganti wallpaper/desktop dengan wallpaper dirinya yang berisi pesan Error serta menampilkan pesan-pesan lainnya. Oleh karena itu pembersihan melalui “safe mode” atau “safe mode with command prompt” pun tidak akan mampu menyingkirkan virus ini kecuali jika pembersihan dilakukan pada mode “DOS” atau menggunakan software lain, contohnya dengan menggunakan Windows Mini PE [www.minipe.org]
Cara membersihkan W32/VBTroj.VNE
Karena virus ini tidak bisa di bersihkan baik pada mode “safe mode” atau “safe mode with command prompt” maka sebaiknya pembersihan dilakukan pada mode DOS atau dengan menggunakan software lain seperti Bart PE atau Mini PE dimana pembersihan ini dapat dilakukan secara manual atau dengan menjalankan removal tools [jika sudah mengenali]
Untuk pembersihan kali ini, kita akan menggunakan software Mini PE, silahkan download tools tersebut di alamat www.minipe.org, kemudian burn ke CD dan booting komputer dengan menggunakan CD tersebut. Setelah berhasil booting dengan menggunakan CD tersebut lakukan langkah pembersihan selanjutnya.
1.
Hapus file virus di drive
Gunakan tools [Windows explorer] untuk memudahkan dalam mencari dan menghapus file induk virus.
- Klik [miniPE2XT]
- Klik [Programs]
- Klik [File Management]
- Klik [Windows Explorer]
Kemudian hapus file berikut:
o [C:\] atau Drive lain termasuk Flash disk
o C:\Windows
o C:\Windows\system32
o C:\Documents and Settings\%user%\Application Data%angka%Admin.exe
[Contoh: Application Data90Admin.exe]
o C:\Documents and Settings\%user%\Local Settings\Application Data%angka%r13y5h4ku.exe
[Contoh: Application Data90r13y5h4ku.exe]
o C:\Documents and Settings\%user%\Start Menu\Programs\Startup%angka%AVG Test Center.exe
[Contoh: Startup90AVG Test Center.exe] 26 files
o C:\Documents and Settings\win321.exe
o C:\WINDOWS\Web\Printers\Write.exe
o C:\WINDOWS\Web\download.exe
o C:\Windows\Cursors\newCursor.exe
o C:\Windows\Debug\adminMode.exe
o C:\Windows\Font\rieyshaTrueType.exe
o C:\Windows\Help\userhelping.exe
o C:\Windows\java\packet.exe
o C:\Windows\Media\newmedia.exe
o C:\Windows\msagent\agentkvr.exe
o C:\Windows\registration\registy.exe
o C:\Windows\repair\setup.exe
o C:\windows\tasks\newScedule.exe
o C:\windows\system32\win34.exe
o C:\WINDOWS\system\oeminfo.exe
o C:\Windows\softwaredistribution\downloads.exe
o C:\Program Files\Internet Explorer
hacker.exe
IEfree.exe
Catatan:
Hapus file virus yang mempunyai ciri-ciri:
- Menggunakan icon
Ukuran 228 KB
- Type file “Application”
- Ekstensi EXE
Untuk mempercepat pencarian sebaiknya menggunakan tools pencarian [Search], caranya:
- Buka [Windows Explorer]
- Klik tombol [Search]
- Pada kolom "Search for files or folders names" isi dengan format *.exe
- Pada kolom "Look in:" pilih drive yang akan di periksa
- kKik opsi [Search Options >>]
- Pilih opsi "Size"
§ Pilih "At most"
§ Isi 229
- Klik opsi "Advanced Options"
§ Pilih opsi "Search System folders"
§ Pilih opsi "Search hidden files and folders"
§ Pilih opsi "Search subfolders"
- Klik tombol "Search Now" untuk memulai pencarian
- Kemdian hapus file virus yang berhasil ditemukan sesai dengan ciri-ciri yang telah disebutkan di atas.
Hapus juga file berikut:
- C:\CeweNakal.scr
- C:\Windows
§ Oemlogo.pif
§ TAKSMAN.com
§ system32folder.htt
§ system32desktop.ini
§ system32pesan_dari_rieysha.txt
§ system32pesan.doc
§ system32Autorun.inf
§ system32pesanku.bat
§ system32pesanQ.htm
§ system32klikAku.bat
§ system32klik2kali.bat
§ system32rieysha.jpg
- D:\Puisi.txt
2.
Hapus/edit kembali registry yang sudah diubah virus
o Masih di Mini PE, klik
o Klik MiniPE2XT]
o Klik [Programs]
o Klik [Avast! Registry Editor]
o Klik [Registry Editor]
o Setelah muncul layar [Select File With Registry], klik tombol [Load selected OS registry], jika muncul layar konfirmasi, klik tombol [OK]
o Kemudian cari dan ubah registry berikut:
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
§ Klik 2x pada string [Shell], kemudian pada kolom “string value data” ubah menjadi [explorer.exe], Kemudian klik tombol [OK]
§ Klik 2x pada string [Userinit], kemudian pada kolom “string value data” ubah menjadi [%System%:\userinit.exe,], Kemudian klik tombol [OK]
Catatan:
%system% ini berbeda-beda:
· [C:\Windows\system32] à Windows XP/2003
· [C:\Winnt\system32] à Windows 2000
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run
§ Hapus string [r13y5h4.exe]
- _LOCAL_MACHINE_SYSTEM\ControlSet001\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\ControlSet002\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SYSTEM\CurrentControlSet\Control\SafeBoot
§ Klik 2x pada string [AlternateShell], kemudian pada kolom [String Value Data] ganti menjadi CMD.exe, kemudian klik tombol [OK]
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies, kemudian hapus string berikut:
§ Explorer
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
§ NoClose
§ NoDrives
§ NoDriveTypeAutoRun
§ NoFind
§ NoFolderOptions
§ NoRun
§ NoStarMenuMorePrograms
§ NoViewOnDrive
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
§ DisableCMD
§ DisableRegistryTools
§ DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, kemudian hapus string berikut:
§ NoCLose
§ NoControlPanel
§ NoDrives
§ NoFind
§ NoFolderOptions
§ NoLOgoff
§ NoRun
§ NoSetFolders
§ NoTrayContextMenu
§ NoViewOnDrive
§ NoWindowsUpdate
§ StartMenuLogOff
- _LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, kemudian hapus string berikut:
§ NoDispCPL
§ DisableRegistryTools
§ DisableTaskMgr
- _LOCAL_MACHINE_SOFTWARE\Microsoft\WindowsNT
§ Pada string [RegisteredOrganization] ubah “string value data” sesuai dengan keinginan Anda
§ Pada string [RegisteredOwner] ubah “string value data” sesuai dengan keinginan Anda
- _USER_%user%Software\Microsoft\Windows\CurrentVersion\Run
§ Hapus string [r13y5h4.exe]
- _User_%user%\Software\Microsoft\Internet Explorer\Main
§ Pada string [Start Page] ubah “string value data” menjadi [about:blank]
- _User_%user%\Control Panel\International
§ Pada string [s1159] ubah “String value data” menjadi [AM]
§ Pada string [s2359] ubah “string value data” menjadi [PM]
3.
Restart komputer
4.
Fix ulang registry untuk memastikan semua registry sudah di perbaiki, silahkan copy script dibawah ini pada program “notepad” kemudian simpan dengan nama repair.inf
Catatan
Jalankan file repair.inf ini setelah komputer restart
Berikut script yang harus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Control Panel\Desktop, Wallpaper,0,
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Softawre\microsoft\Windows\currentVersion\Run, r13y5h4.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStarMenuMorePrograms
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoSetFolders
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoTrayCOntextMenu
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoViewOnDrive
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoWindowsUpdate
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoStartMenuLogoff
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispCPL
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,DisableTaskMgr
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
5.
Restart komputer, kemudian login tanpa menggunakan CD Mini PE
6.
Jalankan repair.inf untuk membersihkan registry yang sudah di buat/diubah oleh virus caranya:
o Klik kanan repair.inf
o Klik Install
Tidak ada komentar:
Posting Komentar