[PCplus] Re: (Tanya) Virus Visual Basic Script & Autorun

Sat, 22 Dec 2007 19:43:03 -0800 

Subject: [PCplus] (Tanya) Virus Visual Basic Script & Autorun
Saturday, December 22, 2007, 11:08:55 PM,
"T.A.R" <[EMAIL PROTECTED]> wrote:

>  Gw ada masalah nih ama virus visual basic script di Windows XP .
>  Pertama gw dapat virus win31.dll.vbs, dia mengcopy ke semua drive dan UFD.
>  gw dah matikan autoplay di group policy, tapi masih tetap jalan.
>  Setelah gw matikan proses virus , gw buat batch file untuk rename
> file virus dan autorunnya (kalo gw hapus normal dari drive si virus autorun , 
> dari
> Command Prompt juga gak bisa dihapus jadi gua rename dulu ), 
>  Setelah batch file gw jalanin si virus dan autorun jadi berubah
> nama dan gak jalan ,baru gw hapus .Tapi yang di UFD walaupun virus dan 
> autorun dah gak
> ada, pas UFD di buka muncul peringatan "cannot find script win31.dll.vbs"
>  Tapi setelah UFD gw cabut dan colok lagi, tuh UFD jadi normal lagi dan gak 
> ada virus.

win32.dll.vbs kali? ini pernah gw posting:

Friday, November 23, 2007, 1:31:52 AM, balthaZor wrote:
yup, kena virus jenis .VBS
dari sample yang pernah gw dapet, dia gak ngerusak dokumen
dan gak mendisable apapun.
misi utamanya cuma modif window title Internet Explorer
dgn kata² menghujat Israhell & US.

cara bersihinnya:

1. buka task manager, lalu end task "wscript.exe" process

2. run: cmd
   lalu ketik perintah ini:
     attrib -h -s -r %systemroot%\Win32.dll.vbs
     del %systemroot%\Win32.dll.vbs

3. Ulangi perintah spt no.2 utk semua root drive
   termasuk flashdisk, contoh:
     attrib -h -s -r X:\Win32.dll.vbs
     del X:\Win32.dll.vbs
     attrib -h -s -r X:\autorun.inf
     del X:\autorun.inf

   catatan:
   - ganti X: dgn drive di PC Anda.
   - sewaktu AKAN nancepin flashdisk, tekan & tahan
     tombol [Shift] spy autorun-nya tidak jalan.

4. run: regedit
   buka
   "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
   hapus string "mcafee" yang manggil file "Win32.dll.vbs"

   buka
   "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main"
   hapus string "Window Title" yang berisi kata² hujatan.

   buka
   "HKEY_CURRENT_USER\vbsfile\DefaultIcon"
   dobel klik default string-nya, ganti value data "shell32.dll,2"
   jadi "%SystemRoot%\System32\WScript.exe,2" tanpa tanda kutip.


>  Sekarang gw dapat virus VBS lagi namanya virusremoval.vbs dia mengcopy ke
>  WINDOWS\system32 dan UFD gak ke drive, setelah gua matikan proses virus.
>  buat batch file kayak di atas , hapus virus dari UFD dan WINDOWS\system32.
>  yang di UFD kejadiannya sama tapi setelah cabut & colok , normal lagi.
>  Cuma windowsnya kalo startup selalu muncul peringatan dari windows
> based script "Cannot find script
> C:\WINDOWS\system32\virusremoval.vbs"
>  Gw dah nyari file autorun nya di windows, run di regedit, pake registry 
> cleaner
>  hasilnya gak ada, akhirnya gw rename aja file wscript.exe punya windows
>  biar peringatan itu gak muncul waktu start-up.

run: msconfig
klik tab "Startup", periksa satu² pada kolom "Command"
un-check startup yang manggil virusremoval.vbs

kalo cuma del file worm vbs & del autorun-nya gampang.
tapi dia kan ngacak2 registry juga.
ZIP lalu upload aja file virusremoval.vbs nya.
lalu posting link-nya disini.

salam^^
  balthazor[at]oprekpc.com



 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/mailplus/

<*> Your email settings:
    Individual Email | Traditional

<*> To change settings online go to:
    http://groups.yahoo.com/group/mailplus/join
    (Yahoo! ID required)

<*> To change settings via email:
    mailto:[EMAIL PROTECTED] 
    mailto:[EMAIL PROTECTED]

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/

Kirim email ke