Re: [ITCENTER] Rontokbro LAgi

Seno Handoro Tue, 29 Nov 2005 10:42:30 -0800

Ini artikel yang Saya dapet dapat Forum tetangga sebelah yng Khusus ttg 
Security. masukkan dari Saudara dengan alamat E-mail 
[EMAIL PROTECTED]


Maaf saya hanya mau sharing sedikit artikel yg lumayan bagus tentang virus

"RONTOKBRO" mungkin bisa anda sebarkan ke yang membutuhkannya.

Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui
attachment email (email virus).

Nama lain virus: brorontok, Rontokbro, Brontok..


Virus ini kira2 pertama kali menyebar di bulan September 2005,dibuat oleh

orang Indonesia karena signature email nya berbahasa Indonesia dan juga saya 
melihat isi virus dalam binari dan dan menemukan

nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia
seperti keluarDOng(), dsb...

Alasan saya menulis artikel ini adalah karena banyaknya teman-teman saya
yang terkena virus ini dan sampai artikel ini dibuat belum ada Antivirus
yang dapat mendeteksi virus ini. (it's 4 u guys.. :-)



==========================================================
Langkah-langkah membersihkan komputer dari virus Barontok:
==========================================================

(Untuk win 95, 98, ME)
- Masuk ke safe mode:   Reboot lalu setelahh muncul tampilan bios
  tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 5

(Untuk windows ME dan XP)
   Matikan System Restore Windows
   Start->Settings->Control panel->System atau
   Start->Control PAnel->System

   pada System restore tab... pilih opsi "Turn off System Restore"


(Untuk Win 2000, XP Home/Pro, Server 2003)

1. Reboot dan masuk ke safe mode.
   ** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ad
pilihan: Safe mode, Normal,.... pilih safe mode lalu tekan enter

2. Setelah itu masuk windows dengan login administrator atau user lain yang
   mempunyai auth sebagai administrator,

3. Buat User account baru DENGAN account type: Computer Administrator
   lalu logoff dan login dengan account yang baru dibuat.


------------------------------------------
Menghilangkan autostart virus di registry
------------------------------------------

4. Buka regedit:   Start menu->Run->Regedit.exe lalu tekan enter
   Di panel kiri pilih key:
        HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
   lalu di panel kanan, hapus key:
        Bron-Spizaetus = "........"
   Di panel kiri pilih key:
        HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
   lalu di panel kanan, hapus key:
        Tok-Cirrhatus = "......"

** Catatan:
    Jika regedit tidak dapat dibuka (muncul pesan error).. ini merupakan
salah satu akibat virus barontok.
    Untuk itu saya telah membuat file untuk mengatasi masalah tsb:

    Download file PatchRegKey.inf (600 Bytes) di :

        http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf

        atau

         http://www.geocities.com/aquata1ne/PatchRegKey.inf

    Setelah di download, klik kanan file tsb lalu pilih "Install.." lalu
lanjutkan langkah 4.

------------------------------------------------
Menghilangkan autostart virus di scheduled task
------------------------------------------------

5. Buka Secheduled Task di Control Panel:
        Start->Settings->Control Panel->Scheduled Task   lalu tekan enter

   Hapus task dengan nama "At1" atau apapun yang berhubungan dengan virus.
Tips:  Klik kanan task->properties, lalu lihat isi properties dan jika
ad isi command yang mencurigakan contoh:  BArontok.com , dsb.. hapus
task tersebut.

---------------------------------------------------------
Cari dan Hapus file-file virus di seluruh drive komputer
---------------------------------------------------------

6. Aktifkan opsi Show hidden Files dan Ekstensi:
   Start->Settings->Control panel atau
   Start->Control Panel

   Klik Folder Options dan pada Tab view aktifkan opsi:

   1. Show hidden files&Folders

   dan matikan opsi

   2. Hide Extensions for known file types
   3. Hide Protected Operating System

7. Gunakan Search File Windows:
   Start->Search lalu tekan enter

   Cari di seluruh drive windows yang ad:  C,D, ....

   pada input Search for files or folders names masukkan:

         *.exe
   lalu pada search options pilih opsi Range Size-> At most:  81 Kb dan
pada Advanced Options pilih opsi Search system folders,
         search hidden files&folders, search subfolders
   pilihan lain biarkan kosong

   Lalu klik search now..

   Pada hasil pencarian di panel kanan hapus semua file yang:
        1. berukuran TEPAT 80 kb DAN
        2. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN
        3. File nya memiliki icon folder/direktori windows

        ** perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas
                      dan BUKAN yang memenuhi salah satu saja.

     (File yang sering ditemukan: Barontok.com, ElnorB.exe ,cari file ini)

   * Tips:  Sort hasil pencarian berdasarkan size untuk memudahkan
            penghapusan

   * Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman
     dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb),
dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file
satu2 secara manual :-p

     ** Sorry, i don't have time to write the removal program now
        (cuz too busy with my fuckin' study) maybe next time ;-)

7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat

-------------
Finishing :-p
-------------

8. Jika ada, Hapus semua shortcut virus Startup Menu di
   setiap account profile:
   C:/Document Settings/<nama_profile/Start Menu/Programs/Startup

   ** Saran:  jika memungkinkan misal pada komputer pribadi dan bukan
              multi user, hapus user account selain user account
              yang dibuat pada langkah 3 di atas (misal:Administrator,...).

9. Reboot dan masuk windows seperti biasa.

Catatan:
Cara ini sudah BERHASIL diterapkan di banyak komputer
(pastikan Anda sudah mengikuti semua langkah di atas)

Komentar,saran,pertanyaan (I don't need your money :-p)
harap di kirim ke email saya:

---
END
---

To Virus Writer...!!!!
     I think u're good enough in windows environment (and also
     our nation problems-> as your political signature),
     but still u SUCK!!, u know why:
     First: U use visual basic to write program (yeaah..i know it)
            (basic is ridiculous language.. it sucks!!)
     2nd  : Your virus is too weak, too many similarity
            with other previous virus. Write better codes, guy..
     3rd  : U use microsoft products to write codes..
            (they don't even can truly find good algorithm,
             they only buy or steal it)
     last : Pathetic... u can't solve our nation problems with
            your fucking code.
            Get a real life, man...

Semoga Membantu!






----- Original Message ----- 
From: "Antivirus Administrator" <[EMAIL PROTECTED]>
To: <[email protected]>
Sent: Tuesday, November 29, 2005 2:35 PM
Subject: Re: [ITCENTER] Rontokbro LAgi


> Hehehe sini yee gwe bisikin...
>
> Coba loe patch selengkap"nya komputer elo trus disable dulu anti virus elo
> udah tuh jalanin file yang ada diattachment berikut...
> buktikan klo patch yang ente banggakan bisa memblcok ini file... File ada 
> di
> attachment.... catatan ext txt rubah ke zip
>
> Salam sayang. selalu...
>
> member yang lain harap jangan dibuka ini file, cukup Om Purwanto aja yang
> buka hehehhehe
>
>
>
> On 11/28/05, [EMAIL PROTECTED] <
> [EMAIL PROTECTED]> wrote:
>>
>> Bener lagi tuh bung Albert..........
>>
>> Memang yang paling penting adalah patchesnya yang terupdate terus, dan
>> software antivirus hanyalah pelengkap saja...
>>
>> regards,
>>
>>
>>
>>
>>
>> "Albert Siagian" <[EMAIL PROTECTED]>
>> Sent by: [email protected]
>> 11/28/2005 03:50 PM
>> Please respond to
>> [email protected]
>>
>>
>> To
>> <[email protected]>
>> cc
>>
>> Subject
>> RE: [ITCENTER] Rontokbro LAgi
>>
>>
>>
>>
>>
>>
>>
>> -----Original Message-----
>> From: [email protected] [mailto:[EMAIL PROTECTED] On 
>> Behalf
>> Of Antivirus Administrator
>> Sent: Monday, November 28, 2005 2:09 PM
>> To: [email protected]
>> Subject: Re: [ITCENTER] Rontokbro LAgi
>>
>> FRENZ sekarang hampir semua antivirus sudah bisa menghapus ini virus... 
>> so
>> what gitu loh.... masih mempermasalah patch .....
>> klo terinfeksi virus ini cukup update antivirus trus scan,,,, selesai
>> urusannya.... antivirus seperti symantec coorporate/ personal, mc afee,
>> Norman, Sophos, eTrust antivirus, TrendMicro. PC Cilin, dll udah bisa
>> ngehapus virus ini....
>> Ga usah mempermasalahkan patch lagi....yang juga namanya virus bisa
>> menyebar
>> pada banyak media tidak hanya lewat email atau internet.... lewat media
>> storage external juga bisa....
>>
>> OK FRENZ..... salam,
>>
>> BenQ.
>>
>>
>> ****************
>> Hhmm....saya berani terbalik tuh. Pasang patch, anti-virus dilepas. 
>> Justru
>> AV itu hanya pelengkap, yang penting patchesnya.
>> ***************
>>
>> Salam
>> Albert
>>
>>
>>
>> --
>> www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
>> Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
>> :: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
>> ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
>> $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
>>
>> [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
>>
>>
>> Yahoo! Groups Links
>>
>>
>>
>>
>>
>>
>>
>>
>> ______________________________________________________________________
>> This email has been scanned by the MessageLabs Email Security System.
>> For more information please visit http://www.messagelabs.com/email
>> ______________________________________________________________________
>>
>>
>>
>> [Non-text portions of this message have been removed]
>>
>>
>>
>>
>>
>>
>> --
>> www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
>> Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
>> :: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
>> ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
>> $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
>>
>> [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
>>
>>
>> Yahoo! Groups Links
>>
>>
>>
>>
>>
>>
>>
>
>
> --
> Salam,
> Supenri or just call me BenQ....
> Spesial penghancur VIRUS...
> contact: [EMAIL PROTECTED]
> or: [EMAIL PROTECTED]
>
>  ----------
>
> PK
>
>
> [Non-text portions of this message have been removed]
>
>
>
>
>
> -- 
> www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
> Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
> :: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
> ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
> $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
>
> [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
>
>
> Yahoo! Groups Links
>
>
>
>
>
>
>
>
> -- 
> No virus found in this incoming message.
> Checked by AVG Free Edition.
> Version: 7.1.362 / Virus Database: 267.13.5/183 - Release Date: 11/25/2005
>
> 





-- 
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia 
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] 
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: 
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$

[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id 

 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/ITCENTER/

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/

Re: [ITCENTER] Rontokbro LAgi

Kirim email ke