W32/GNURBULF.B (VIRUS FLU BURUNG) - SOLUSI TERKUNCI DI
MENU LOGON
dicetak: 2006-11-06 05:32:26 -
dibaca : 2861 kali
|
Sumber
: Vaksin.com
ira-kira pengalaman apa yang berkesan dan menyebalkan yang
pernah anda alami sehubungan dengan pintu dan kunci ? Pernahkan anda
terkunci di luar rumah anda ? Atau sebaliknya terkunci di kamar mandi dan
anda kesulitan membuka pintu keluarnya ? Kira-kira hal inilah yang
dilakukan oleh virus Flu Burung.B yang cukup marak beredar di Indonesia
(selain ROntokbro.EQ yang memamerkan kesaktiannya), mengunci pemilik OS
yang sah di layar logon tanpa bisa masuk ke Windows. Sekalipun anda sudah
memasukkan “username” dan password” yang benar pada layar logon, tetap
saja layar logon akan muncul terus menerus dan tidak memperkenankan anda
masuk ke Windows. Meskipun anda restart komputer ke “safe mode” atau
“safe mode with command prompt” yang anda temui hanyalah layar logon yang
menyebalkan karena anda terkunci di luar. JAngan cari tukang kunci dulu,
baca artikel ini sampai selesai.
Sekalipun anda sudah tahu ini aksi virus, tetapi memecahkan maslalah ini
merupakan perjuangan tersendiri. Kecuali anda sudah bete dan menggunakan
“aji pamungkas” ... FORMAT. Kalau setiap kali komputer anda format kalau
terkena virus, anda harus dipusingkan dengan masalah lain karena harus
melakukan instalasi ulang semua software anda. Menurut pengalaman mengoprek
virus, permainannya pasti di registry Windows, tetapi ada dua hal yang
harus dijawab :
1. Registry Windows yang mana ?
2. Bagaimana mengakses format harddisk NTFS karena tidak bisa diakses
dari DOS (FAT 32).
Sebagai gambaran, NTFS (New Technology File System) adalah system file
yang digunakan pertamakali oleh Windows NT dengan pertimbangan “lebih
aman” dibandingkan Fat 32, walaupun pada perkembangannya NTFS atau FAT 32
sama-sama mudah terinfeksi virus. Tetapi karena di desain berbeda dari
FAT 32, maka MS Dos (boot disket) biasa tidak bisa mengakses file dengan
format NTFS. Solusinya adalah menggunakan NTFS for DOS untuk mengakses
sistem komputer format NTFS yang menjadi korban virus. Atau jika anda
mempunyai beberapa PC, jadikan PC yang terinfeksi sebagai slave pada
sistem yang lain. Ada cara canggih lain yaitu menggunakan Mini XP.
File asli virus Gnurbulf.B ini sebesar 46 KB dan dibuat dengan
menggunakan Bahasa Visual Basic dengan ext. SCR.
Harap hati-hati......!!!, Salah clean jadi tidak bisa logon
Jika pc anda terinfeksi virus ini sebaiknya lakukan pembersihan secara
total sampai ke registry karena Gnurbulf.B ini akan mencoba untuk merubah
string userinit dengan mengganti lokasi file yang akan di load yakni dari
C:\Windows\system32\userinit, menjadi C:\Recycled\svchost.exe.
Jika komputer anda terinfeksi Gnurbulf.B dan belum sempat membersihkan
registry yang sudah dipermak oleh Gnurbulf.B, jangan terkejut jika begitu
komputer anda melakukan restart [booting ulang] dan kemudian komputer
tersebut tidak dapat logon ke Windows [selalu meminta konfirmasi user
name dan password walaupun anda sudah memasukan user name dan password
yang benar]. Hal ini disebabkan karena Windows mengalami kegagalan untuk
memanggil file userinit.exe dimana kita ketahui bahwa file userinit.exe
merupakan file utama yang akan di jalankan pada saat booting agar dapat
logon ke Windows.
Sebenarnya anda bisa saja melakukan repair atau install ulang terhadap
system komputer itu sendiri, tetapi hal ini akan memakan banyak waktu dan
bukan solusi yang tepat. Sebenarnya ada satu cara yang dapat anda gunakan
agar PC dapat kembali normal tanpa harus re-install yakni dengan
mengembalikan string yang sudah diubah oleh virus tersebut pada string
userinit dengan mengganti lokasi file yang akan di jalankan menjadi
C:\Windows\system\userinit.exe.
Untuk memulihkan string userinit yang sudah diubah oleh virus sebenanya
tidaklah terlalu sulit, anda hanya membutuh 2 file script dan startup
disk [disket starup], karena kedua file tersebut akan dicopy melalui DOS
Prompt, berikut langkah-lagkah yang harus dilakukan:
1.Buat 2 file script berikut pada program “notepad”
Copy sript dibawah ini kemudian simpan dengan nama FIX.REG
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Catatan:
* Script ini digunakan untuk merubah string userinit yang sudah di ubah
oleh virus
* Jika anda menggunakan windows 2000, ganti lokasi C:\Windows\system32
dengan C:\WINNT\system32
* Copy sript dibawah ini kemudian simpan dengan nama FIX.BAT
regedit /s c:\fix.reg
Catatan:
Script ini digunakan untuk menjalankan file FIX.REG
2. Setelah kedua script tersebut anda buat, langkah selanjutnya adalah
copy file tersebut ke lokasi berikut:
* Fix.reg kopikan ke C:\
* Fix.bat kopikan ke C:\Documents and Settings\All Users\Start
Menu\Programs\Startup
Untuk mengkopi kedua file tersebut kedalam folder tersebut diatas anda
membutuhkan startup disk, untuk membuat startup disk tersebut anda dapat
menggunakan tools freeware seperti Avira's freeware NTFS driver via DOS
boot disk, tools tersebut dapat di download di alamat:
http://www.free-av.com/antivirclassic/avira_ntfs4dos.html
Setelah software tersebut berhasil di download, install software tersebut
di komputer yang bersih dari virus setelah itu anda langsung dapat
membuat startup disk dengan hanya membutuhkan 1 disket.
Setelah berhasil membuat startup disk, copy kedua script yang baru di
buat ke dalam disket tersebut [Fix.reg dan Fix.bat], kemudian boot
komputer melalui Disket.
Setelah berhasil boot malalui disket selanjutnya copy file FIX.REG ke
direktori C:\ dan FIX.BAT kedirektori C:\Documents and Settings\All
Users\Start Menu\Programs\Startup.
Catatan:
Jika anda menggunakan startup disk Avira NTFS4DOS maka Drive C: [system]
akan dianggap sebagai drive D:\ atau sebaliknya [untuk informasi lebih
lanjut baca manual yang disertakan]
3. Setelah kedua file tersebut berhasil di copy kedirektori yang sudah
ditentukan, langkah selanjutnya adalah ubah file Spoolsv.exe manjadi nama
file lain [contoh: Spoolsv.eee] setelah itu copy file userinit.exe
menjadi spoolsv.exe, hal ini disebabkan karena file spoolsv.exe merupakan
file spooling printer yang akan dijalankan pertama kali sebelum user
logon windows dan gunakan untuk memancing agar komputer dapat memunculkan
Desktop Windows dengan tujuan agar file script [Fix.bat] yang di simpan
di Startup menu dapat dijalankan, setelah windows berhasil menjalankan
file script tersebut maka PC akan kembali ke logon screen [muncul
konfirmasi untuk memasukan username dan password], jika anda mencoba
untuk login ulang [memasukan username dan password] maka windows akan
berjalan seperti biasa.
Catatan:
Jika setelah anda memasukan user name dan password tetapi Windows masih
belum berjalan secara normal [tetap meminta konfirmasi untuk memasukan
user name dan password], disarankan agar anda terus memasukan user name
dan password sampai berhasil karena dibutuhkan waktu agar Windows
berhasil menjalankan file userinit.exe tersebut.
4. Setelah komputer dapat berfungsi kembali, jangan lupa untuk menghapus
file fix.bat [direktori C:\], reg.bat [direktori C:\Documents and
Settings\All Users\Start Menu\Programs\Startup] dan rubah kembali file
Spoolsv.exe yang sudah anda rubah agar printer anda dapat kembali
digunakan.
5. Untuk membersihkan sisa-sisa string registry yang dibuat oleh
Gnurbulf.B, copy script dibawah ini pada program “Notepad” kemudian
simpan dengan nama “repair.inf” setelah itu jalankan dengan cara
o Klik kanan “repair.inf”
o Klik “Install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
UncheckedValue,0x00010001,0
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0,
"C:\Windows\system32\userinit.exe,"
HKLM,
SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe"
HCR,
Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe"
[del]
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKU,
S-1-5-21-1454471165-1844237615-725345543-1003\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon, shell
6. Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak
terinfeksi kembali, install antivirus yang sudha dapat mengenali virus
ini dengan baik.
|
Tidak ada komentar:
Posting Komentar