HotTip: Mengeliminas W32.Brontok Tanpa AV Secara Tuntas!!!i

[xstarlogic]

Tweet

Mengeliminasi Brontok secara Tuntas

tanpa AntiVirus

(Windows Xp and 2000 User)

1. Restart Windows dan masuk ke Safe Mode with Command Prompt.

Pada saat mau masuk ke Boot GUI, tekan F8, untuk masuk ke Windows Xp Startup menu. Pilih Safe Mode with Command Prompt. Pada logon screen pilih Administrator. Pada C:\> ketik Explorer dan tekan enter.


2. Cari dan hapus semua file yang berekstensi *.exe yang berikon seperti folder.
Anda dapat mengunakan fasilitas Find pada windows. Pada Find: ketik *.exe. Untuk mempermudah pencarian, Advance Option, Centang Search System folder, Search Hidden files and folder dan tentu saja Search Subfolder. Anda dapat mengunakan filter size untuk mempercepat pencarian.

Biasanya brontok suka pakai nama-nama umum seperti:
> smss.exe
> service.exe
> lsass.exe
> inetinfo.exe
> csrss.exe
Nama tersebut cenderung dapat anda jumpai di C:\Documents and Settings\*\Local
Settings\Application Data
> eksplorasi.exe (Hidden dan dapat ditemukan di C:\WINDOWS)
> sempalong.exe atau Elnor.B (Hidden dan dapat ditemukan di C:\WINDOWS\ShellNew)

Sisanya kopian dari nama folder.


3. Cari dan hapus semua file yang berekstensi *.scr yang berikon seperti folder.

Anda tidak perlu menggunakan filter size, karena *. scr adalah file Sreensaver dan lebih mudah dicari. Biasanya namanya *’s Setting.scr.


4. Cari dan hapus semua file yang berkstensi *.com yang berukuran 42 Kb atau
80 Kb dan hanya pada C:\Documents and Setting.

Pada Search in:pilih Browse...dan cari di C:\Documents and Settings. Gunakan Filter size. Jangan lupa untuk mengaktifkan opsi Search hidden files and folderkarena biasanya file ini suka bersembunyi di folder tersembunyi seperti Templates.

Nama yang digunakan biasanya:
> Brengkolang.com atau Bararontok.com


5. Cari dan hapus semua file yang bernama Empty.pif.

Empty.pif juga dapat ditemukan di sekitar C:\Documents and Settings\*\Start Menu\Programs\Startup\. Gunakan Size Filter untuk mempercepat pencarian.


6. Bukalah Registry Editor melalui Start, Run.

Jejauh pengetahuan saya, Brontok.A dan Brontok.C memungkinkan anda masih dapat membuka Regedit pada Safe Mode Command Prompt Administrator. Pada Brontok.E Kemungkinan tersebut sudah tidak lagi.

Untuk mengaktifkan Registry, anda dapat memanfaatkan Notepad untuk Membuat Visual Basic Script. Pada Notepad ketik:

Set WshShell = CreateObject("WScript.Shell")
Var_YN = MsgBox("Enable Registry Editor?", vbYesNo, "Registry Hacker")
If Var_YN = 6 Then

WshShell.RegWrite"HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System\DisableRegistryTool s",0,"REG_DWORD"
WshShell.Run("RegEdit.EXE")

Else
WshShell.RegWrite"HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System\DisableRegistryTool s",1,REG_DWORD"
Var_Ok = MsgBox("Registry Editor is Disabled!", vbOkOnly, "Registry Status")

End If

Save dengan nama sembarang tetapi ekstensinya harus *.vbs (Contoh: RegAble.vbs). Jangan lupa pada Save as type: pilih All Files (*.*)).

Jalankan Script tersebut dengan membuka secara langsung lewat Windows Explorer. Apabila semuanya benar, seharusnya icon file tersebut tidak berbentuk Text Document. Dan apabila anda menjalankan ada sebuah dialog yang menayakan Enable Registry Editor?. Klik Yes untuk mengenable dan menjalankan Registry Editor atau klik No untuk mendisable Registry Editor.

Selain mengunakan Visual Basic Script, anda dapat mengunakan Install Information Script yang lebih simpel. Jalankan Notepad dan Ketik:

[Version]
Signature="$CHICAGO$"

[DefaultInstall]
AddReg=EnableRegistry

[EnableRegistry]
HKCU,%SubKeyReg%,%ValueReg%,0x10001,0

[Strings]
SubKeyReg="Software\Microsoft\Windows\CurrentVersi on\Policies\System"
ValueReg="DisableRegistryTools"

Save dengan nama sembarang tetapi ekstensinya harus *.inf (Contoh: RegAble.inf). Jangan lupa pada Save as type: pilih All Files (*.*)).

Klik kanan pada icon file yang baru anda buat, kemudian klik Install. Jalankan Registry Editor melalui Start, Run.

Bila anda tidak mendapatkan reaksi diatas, maka ada kemungkinan bahwa file-file *.vbs dan *.inf tidak terassosiasi dengan tepat di registry. Anda harus menggunakan 3rd Party untuk mengenable Regedit. Anda dapat mengunakan 3rd Party Commersial, ataupun yang gratis seperti Madonote for Xpyang dapat di download lewatwww.asahi-net.or.jp.


7. Hapus atau ganti nol pada value:
- "NoFolderOption" dapat ditemukan di:
> HKCU\Microsoft\Windows\CurrentVersion\Policies\Exp lorer
> HKU\.Default\Microsoft\Windows\CurrentVersion\Poli cies\Explorer
- "DisableCMD dapat" dapat ditemukan di:
> HKCU\Microsoft\Windows\CurrentVersion\Policies\Sys tem
> HKU\.Default\Microsoft\Windows\CurrentVersion\Poli cies\System
- "DisableRegistryTools" dapat ditemukan di:
> HKU\.Default\Microsoft\Windows\CurrentVersion\Poli cies\System
Disini saya tidak dapat memberi garansi secara rinci. Apabila anda menemukan value seperti diatas dan datanya "1", anda dapat menghapusnya atau menggantikannya dengan "0"


8. Carilah dan Hapuslah startup untuk brontok pada keys
- Pada HKCU\Microsoft\Windows\\CurrentVersion\Run
> Tok-Cirrhatus ... C:\Documents and Setting\*\Local Setings\Application Data\Smss.exe
- Pada HKLM\Software\Microsoft\Windows\CurrentVersion\Run
> Bron-Spizaetus ... c:\Windows\ShellNew\Sempalong.exe
- Pada HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon
> Shell ... Explorer.exe "C:\Windows\Eksplorasi.exe\"
Pada value ini cukup diganti dengan:
Shell ... Explorer.exe
- Pada HKU\.Default\Microsoft\Windows\CurrentVersion\Run
> Tok-Cirrhatus... C:\Windows\System32\config\System Profiles\
Local Settings\Application Data\Smss.exe
- Semua *\Run yang memangil nama Brontok (Bila ragu-ragu, periksalah semua data dengan melacak setiap file yang dipangila melaui Keys *\Run)


9. Restart dan masuk lah ke Normal Mode.

Cobalah untuk menjalankan tools-tools Windows seperti: RegEdit, MSConfig, MSDOS Prompt atau Task Manager. Bila masih Shutdown, penghapusannya belum tuntas. Bila muncul pesan ...eksplorasi.exe cannot be found..., maka anda lupa melewati no.8 point ke-3.


10. Apabila anda menghendaki kemampuan Registry Editing, jalankan file VBS atau INF.

Jalankan VBS atau INF yang telah anda buat pada account yang anda kehendaki memiliki kemampuan registry editing. Apabila pada komputer anda terdapat lebih dari satu user yang akan anda enablekan registry editingnya, maka anda harus menjalankan VBS atau INF tersebut pada setiap account.

[xstarlogic]

Tweet

Catatan Khusus


Bagi yang ingin menuliskan mempublikasikan tread ini ke Majalah atau tabloid, syaratnya:

1. Memberi tahu kepada saya lewat e-mail saya di yahoo. Anda tidak perlu menunggu jawaban saya "Ya" atau "Tidak".
2. Tulis nama saya sebagai penulis pada artikel, tempat dimana anda mengambil atau mengkopi artikel ini, dan jangan me modifikasi isinya!!!
3. Saya suka orang yang mengakui hak karya orang lain. Oleh karena itu, JANGAN MENGAKU ANDA YANG MENULISNYA!!!

[andhee]

Tweet

GOOD TIPS !!!!
kebetulan kalo gue pake cara yg lebih mudah.... boot pake cd windows minipe dan hapus file2 berbahaya tersebut secara manual

[Nakamura]

Tweet

bagi yg terkena brontok...ada yg berbaik hati bagi2 tips nih...

[Warlords]

Tweet

GOOD TIPS !!!!
kebetulan kalo gue pake cara yg lebih mudah.... boot pake cd windows minipe dan hapus file2 berbahaya tersebut secara manual

bagus juga ide loe ndhee. bagi2 langkahnya dong. siapa tahu nanti gue kena

[aripware]

Tweet

Pake NC (under dos) juga bisa, tinggal ngapal lokasi file virusnya aja. Thaks info no. 8 point 3. Kemaren persis kayak gitu saat masuk windows.

[Initial D]

Tweet

Thx to Oom Patrick+ yg tlh men-Sticky (Pinned) Thread ini

Thx jg buat Oom Etaslim yg dolo tlh men-Sticky Bermain2 dgn Registry & Bermain2 dgn Hex Code

Ini adl yg kedua kalinya permohonan saya dikabulkan, many2 thx to them

-_^ (point 2 thumb)


Sekadar utk menambahkan lg info, saya jg menemukan thread yg ampir2 mirip namun tema & permasalahannya sama : Brontok

Link : gimana ilangin w32.rontokbro@mm ?? (Klik utk melihat detail lbh lanjut)

[patrick]

Tweet

Thx to Oom Patrick+ yg tlh men-Sticky (Pinned) Thread ini

Jangan panggil Oom ah...ketuaan! aku masih perjaka kok...

Anyway, cuma mau kasih tau buat para member yang udah baca thread ini, kalo besok2 ada member lain yang nanya tentang cara menghapus brontok, bisa suruh langsung refer ke thread ini.

Thanks bros!

regards,
pat

[xstarlogic]

Tweet

Waktu Gue pertama nyoba Ngilangin Torjan Gila ini, gue sampe setengah mati kaga berhasil berhasil. Waktu Masuk Safe mode Si-Dia ternyata udah jalan duluan. Mbuka MSConfig (Tools favorit gue) langsung shutdown. Buka RegEdit apalagi... Kandas!!! Uda Ngunci kaga mau dibuka lagi dan Tutup Turun (Eng-Indo Translation Error ya...?) .

Akhirnya gue mencoba mengunakan Safe Mode with Command Prompt. Sebenerarnya gue suka banget ama DOS. Aku nemuin perbedaan yang berarti antara DOS Xp dan DOS 98. yaitu: Walau di DOS, Xp mampu membuka Applikasi W32, nyoba-nyoba mbuka MS Word, Wah koq bisa... Klo di 98 kaga bisa. Ini menginspirasi gue untuk mencoba membuka Explorer.exe, salah satu file program jantung di Semua produk Windows. E...! Ternyata langsung tombol start nongol...

Pada saat itu MS-Config jalan. Sori RegEdit masih Ngunci... Langsung aku cari sumbernya. lewat MS-Config, dan dapet nama aneh-aneh. Gue pake Find dan hapus semua folder berikon exe, yang file-file berekstensi com sama juga.

Ada hal yang aneh... Aku ingat klo Windows tuh kaga bisa mbedain exe, com, dan pif. Semua bisa dibuka dengan cara yang sama. Coba rekan-rekan lakukan hal berikut.

Copy ganti nama NOTEPAD.EXE ke NOTEPAD.COM ato NOTEPAD.PIF. Notepad tetep terbuka. Coba lihat registry bagian exefile, comfile, dan piffile di HKEY_CLASSES_ROOT\. Liat bagian Shell\Open-nya. Pasti Rekan-rekan lihatnya "%1" %*. kloa pada scrfile (Screensaver) "%1" /S, klo mo panggil layar konfigurasinya cukup "%1".

Langsung aku ganti nama Brenkolang.com ke brengkolang.exe, dan Ikonnya ternyata folder mbo...

Empty.PIF juga tidak luput dari experiment gue dan pof...! Sama juga.

Kemudian gue nyari Sumber Error "...Explorasi.exe cannot be found..." Ternya di situ...yang aku tulis diatas.

Awalnya untuk mengaktifkan Registry, aku pake X-Setup Pro rarena di Xp, Registry yang telah dikunci mengalami embargo. Tidak bisa diimpor apalagi mengekspor. Lain cerita dengan 98 yang klo dah dikunci, buat entries lewat Notepad dan diimpor langsung bebas embargo.

Pada waktu aku browsing majalah kompie, aku liat tips Mengubah kecepatan Start lewat VBS, ini menjadi inspirasi menggunakan VBS untuk membuka Registry Xp yang terkunci. VBS Tersebut tersebut kerja untuk Win9X, 2000 dan Xp mbo ternyata....

Aku lagi mencoba mengunakan HTML untuk mengolah registry ntar klo berhasil aku tambah ke tutorial ini. Just incase klo si Tukang Gatel dari Bandung mbuat Brontox yang bisa ngerusak entries vbsfile. Selain HTML, masih ada cara mengunakan VB6...Liat aza besok...

Rekan-rekan bahasa gue sebenarnya Friendly tapi klo tulis tutorial yah resmi lah. Biar bisa dibaca semua orang.

Sebelum gue mengakhiri yang ini, coba rekan-rekan lakukan hal ini. Hilangkan Explorer.exe pada ...\Shell. Ntar Kalo ngerestart dan dah masuk Windows, startnya pasti ga nongol. Tenang aza. Tekan Ctrl-Alt-Del untuk mengaktifkan Windows Task Manager. Klik file, klik (Run...).Klik New Task (Run...) ketik explorer.exe. Langsung deh... Tombol Start Nongol. Coba hilangkan explorer.exe dari Processes di Task Manager. Ntar Startnya pasti hilang lagi, dan klo dipangil ya kembali. Anyway, jangan mencoba End Task pada explorer.exe di Windows 9x! Ntar kompie pasti minta Shutdown.

[dewanggaba]

Tweet

gue heran yach, kalo yang request Initial_D mesti approvenya cepet banget dech?
ada apa yach?