Hapus Virus Amburadul « Luxmile’s Weblog

Hapus Virus Amburadul

Virus Amburadul dan variannya, semisal virus Fotoku, MyLove, de el el merupakan program kecil yg dibuat agar menyebar secara otomatis dengan memanfaatkan aktivitas-aktivitas pemakai komputer, seperti mengklik drive dan flashdisk di windows explorer, virus jenis ini lebih dikenal sebagai program pengganggu atau “Malware” karen efek sampingnya yg benar-benar menyebalkan namun tidak merusak, namun jika pembuat variannya lebih tega, virus ini bisa diubah menjadi ganas dan berbahaya.

Salah satu varian virus Amburadul ini adalah virus Fotoku yg menyebar dg memanfaatkan media USB flashdisk, biasanya virus ini mengkopi dirinya sendiri ke USB flashdisk dg membuat direktory “Image” yg berisi aplikasi dirinya sendiri dg icon gambar JPEG agar penampilan dirinya seolah-olah berupa gambar biasa, ditambah lagi dg penamaan file-file dirinya tersebut cukup “menarik” dan “merangsang” untuk di klik atau di jalankan berakibat virus ini cukup potensial untuk menyebar. Efek yg menyebalkan dari virus ini disamping penyebarannya juga adalah dg menutup akses ke beberapa sistem vital, seperti memblok akses ke aplikasi reg-edit, console, msconfig, dan lain-lain disamping terkadang menampakkan dirinya dg pop-up berisi identitas dirinya diikuti aktivitas cdrom yg tiba-tiba terbuka/tutup secara otomatis seakan-akan komputer tersebut berhantu.

Untuk menghapus virus ini bisa dilakukan dg program antivirus yg telah bisa mengenal virus ini seperti tool AnSav, PCMan, dan AVG terbaru, namun penghapusan menggunakan antivirus tersebut tidak sepenuhnya bersih, mengingat virus Amburadul ini mengubah banyak hal di registry, seperti memblok akses program consol, registry editor, dan lain-lain. Cara lain yg lebih meyakinkan adalah dengan menghapus secara manual serta menggunakan satu tool CurrProcess untuk menghentikan proses virus Amburadul yg sedang aktif di memori.

Berikut adalah langkah-langkah penghapusan virus Amburadul secara manual:

Isolasi komputer yg terinfeksi dengan cara mencabut kabel jaringan komputer anda (jika terkoneksi ke jaringan lokal/LAN) untuk mencegah penyebaran virus.
Matikan “System Restore” setiap drive dengan cara klik kanan “My Computer”, klik “Propertis”, dan pilih “System Restore”, matikan system restore dg uncheck pilihan “System Restore”.
Matikan proses virus Amburadul yg masih aktif di memori dg menggunakan program berikut: CurrProcess
Simpan kode dibawah berikut ini menjadi file berekstensi .inf:

[Version]
Signature=”$Chicago$”
Provider=Nobody

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title,
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA

Klik kanan file *.inf tersebut, lalu klik “Install”
Hapus aplikasi utama virus di %systemroot%\system32\~A~m~B~u~R~a~D~u~L~ atau utk Windows XP terletak di C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~, file virus ini kemungkinan tak tampak (hidden) sehingga anda perlu merubah filenya agar kelihatan. Juga hapus file-file berikut:

csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
Drive:\Autorun.inf
Drive:\FoToKu xx-x-*.exe, where x show the date when virus active
Drive:\Friendster Community.exe
Drive:\J3MbataN K4HaYan.exe
Drive:\MyImages.exe
Drive:\PaLMa.exe
Drive:\Images

Tulisan di atas disadur dari link berikut: www.istanto.net, jadi jika anda bisa mereview komentar rekan-rekan disitu yg telah berhasil menghapus virusnya… Gud Lak

~ by luxmile on October 18, 2008.

Posted in Tulisan Artikel...
Tags: Komputer, Virus

One Response to “Hapus Virus Amburadul”

jampottttt asuuuuuuuuuu “Klik kanan file *.inf tersebut, lalu klik “Install” ” trus kompi hang!!!!!

kampret said this on November 12, 2008 at 06:49 | Reply

	Sierra 881U dengan W… on Modem Sierra Wireless 881…
	eko sw on Starter Kit!
	kampret on Hapus Virus Amburadul
	Rahmah on Starter Kit!
	Mr WordPress on Starter Kit!

Luxmile’s Weblog

Hapus Virus Amburadul

One Response to “Hapus Virus Amburadul”

Leave a Reply

Recent Comments

Recent Posts

Categories