Jika komputer anda penuh dengan shortcut folder dan terdapat file Baca AQ.rtf atau My name is Yuyun.rtf hal ini berarti komputer anda terkena virus Yuyun Vbs/harry potter atau dikenal oleh avira sebagai virus vbs/yuyun. Yuyun vbs / harry potter adalah sebuah virus yang menginfeksi komputer dengan membuat shortcut pada semua folder yang ada dengan nama yang sama dengan folder-folder tersebut. selain itu yuyun vbs ini akan menaruh beberapa file lainnya yaitu Thumb.db, autorun.inf, microsoft.lnk, auto.exe yang berisi scipt autorun.inf, V.doc, Yuyun.Q, 3 file berformat *.tmp dengan nama acak dan New Folder.lnk atau Harry Potter and... .lnk.
Saat yuyun vbs pertama kali menginfeksi maka yang akan dilakukannya adalah membuat file pada my document dengan nama database.mdb, autorun.inf, Thumb.db yang hampir sama dengan Thumbs.db disini yang benar adalah Thumbs.db, membuat file autorun.inf dan thumb.db pada drive cd/dvd dan membuat serta mengubah beberapa registry.
Pada setiap tanggal 1 atau saat virus ini menginfeksi saat tanggal 1, yuyun vbs atau yuyun_cantik ini akan membuat shortcut pada desktop dengan nama yuyun_cantix. File tersebut tidak dapat anda hapus terkecuali anda menghapus terlebih dahulu registry yang dibuat olehnya. Yuyun virus ini akan mencoba memerintahkan printer untuk print file V.doc pada setiap tanggal 1. Selain file tersebut yuyun cantik ini akan membuat file *.rtf dengan nama Baca AQ.rtf dan My name is Yuyun.rtf pada semua folder.
Beberapa resgitry yang dibuat dan diubah olehnya adalah sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-Explorer
HKEY_CLASSES_ROOT\lnkfile
-IsShortcut
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-DisableRegistrytools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-HonorAutoRunSetting
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
-Recent
Setelah berhasil membuat beberapa file dan registry yuyun vbs akan mulai menginfeksi komputer korbannya dengan membuat shortcut dan menaruh file-feli virusnya. Yuyun vbs akan menjalankan beberapa file virusnya saat pertama kali komputer dihidupkan yaitu database.mdb yang terdapat pada my document dan :Microsoft Office Update For Windows XP.sys yang terdapat pada C:\WINDOWS\:Microsoft Office Update For Windows XP.sys. Pada kasus yang av-soft alami saat analisa virus ini, file :Microsoft Office Update For Windows XP.sys tidak ditemukan mungkin karena av-soft terlalu cepat menganalisa.
Yuyun vbs bukan merupakan virus baru sehingga hampir semua antivirus baik lokal maupun non lokal telah mampu membasminya. Namun disini av-soft mengenalkan bagaimana cara membasmi virus tanpa antivirus.
Hal yang pertama adalah mematikan proses virus tersebut. Dikarenakan virus ini merupakan virus vbs yang memerlukan wscript.exe sebagai jalan satu satunya untuk dapat hidup maka kita harus mematikan proses wscript.exe pada taskmanager. Taksmanager tidak dibuat disable oleh virus ini sehingga kita cukup mudah mematikan proses tersebut. Atau anda dapat menggunakan CProcess pengganti taskmanager
Kedua adalah memperbaiki registry, baik yang dibuat maupun yang diubah oleh yuyun vbs ini. Silahkan anda copy paste script dibawah ini pada notepad dan simpan pada komputer dengan nama "repair.inf" tanpa tanda petik. Setelah menyimpannya klik kanan pada file tersebut dan pilih instal. Atau anda bisa langsung download repair registry virus yuyun vbs di av-soft.4shared.
[Version]
Signature="$Chicago$"
Provider=av-soft.blosgspot
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCR, lnkfile, IsShortcut
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders,Recent,0x00020000,"%USERPROFILE%\Recent"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, HonorAutoRunSetting
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate
HKLM, Software\Classes\CLSID\{11111111-2222-3333-4444-555555555555}
Cara ketiga dan merupakan cara terakhir adalah dengan menghapus semua file virus yang terdapat pada komputer anda.Hapus file database.mdb dan yang tersuper hidden yang berada pada my document dan :Microsoft Office Update For Windows XP.sys yang terdapat pada C:\WINDOWS\:Microsoft Office Update For Windows XP.sys. Gunakan fitur Search windows pada komputer anda. Mulailah mencari dengan kata thumb.db, autorun.inf, microsoft.lnk, New Folder.lnk, New Harry Potter and....Ink, Auto.exe, V.doc, Yuyun.Q, Baca AQ.rtf, My Name is Yuyun.rtf, file berformat *.tmp yang berada pada folder yang sama dengan V.doc, Yuyun.Q dan auto.exe dan yang perlu anda berhati-hati menghapus adalah pada saat anda harus mencari file dengan format *.lnk yang merupakan hasil infeksi virus tersebut yang sama dengan nama folder pada komputer anda. Pada file virus yang berformat *.tmp sebaiknya anda hapus semua karena file-file tersebut tidaklah penting. Dan jangan lupa untuk menghapus Shortcut yuyun_cantix pada desktop(jika ada). Perhatikan Gambar berikut untuk memudahkan pencarian file-file tersembunyi :
Jika anda ke merasa kesulitan dalam mencari file yang tersembunyi anda dapat menggunakan aplikasi hidden file tool, download disini.
Av-soft menyediakan virus untuk dapat anda download semata-mata untuk dijadikan sebagai bahan pelajaran dan atau sebagai database antivirus lokal maupun non lokal. Silahkan download virus yuyun vbs ini disini. dan Download Source Code virus tersebut disini.
Saat yuyun vbs pertama kali menginfeksi maka yang akan dilakukannya adalah membuat file pada my document dengan nama database.mdb, autorun.inf, Thumb.db yang hampir sama dengan Thumbs.db disini yang benar adalah Thumbs.db, membuat file autorun.inf dan thumb.db pada drive cd/dvd dan membuat serta mengubah beberapa registry.
Pada setiap tanggal 1 atau saat virus ini menginfeksi saat tanggal 1, yuyun vbs atau yuyun_cantik ini akan membuat shortcut pada desktop dengan nama yuyun_cantix. File tersebut tidak dapat anda hapus terkecuali anda menghapus terlebih dahulu registry yang dibuat olehnya. Yuyun virus ini akan mencoba memerintahkan printer untuk print file V.doc pada setiap tanggal 1. Selain file tersebut yuyun cantik ini akan membuat file *.rtf dengan nama Baca AQ.rtf dan My name is Yuyun.rtf pada semua folder.
Isi Baca AQ.rtf, My name is Yuyun.rtf dan V.doc
Beberapa resgitry yang dibuat dan diubah olehnya adalah sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-Explorer
HKEY_CLASSES_ROOT\lnkfile
-IsShortcut
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-DisableRegistrytools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-HonorAutoRunSetting
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
-Recent
Setelah berhasil membuat beberapa file dan registry yuyun vbs akan mulai menginfeksi komputer korbannya dengan membuat shortcut dan menaruh file-feli virusnya. Yuyun vbs akan menjalankan beberapa file virusnya saat pertama kali komputer dihidupkan yaitu database.mdb yang terdapat pada my document dan :Microsoft Office Update For Windows XP.sys yang terdapat pada C:\WINDOWS\:Microsoft Office Update For Windows XP.sys. Pada kasus yang av-soft alami saat analisa virus ini, file :Microsoft Office Update For Windows XP.sys tidak ditemukan mungkin karena av-soft terlalu cepat menganalisa.
Yuyun vbs bukan merupakan virus baru sehingga hampir semua antivirus baik lokal maupun non lokal telah mampu membasminya. Namun disini av-soft mengenalkan bagaimana cara membasmi virus tanpa antivirus.
Hal yang pertama adalah mematikan proses virus tersebut. Dikarenakan virus ini merupakan virus vbs yang memerlukan wscript.exe sebagai jalan satu satunya untuk dapat hidup maka kita harus mematikan proses wscript.exe pada taskmanager. Taksmanager tidak dibuat disable oleh virus ini sehingga kita cukup mudah mematikan proses tersebut. Atau anda dapat menggunakan CProcess pengganti taskmanager
Kedua adalah memperbaiki registry, baik yang dibuat maupun yang diubah oleh yuyun vbs ini. Silahkan anda copy paste script dibawah ini pada notepad dan simpan pada komputer dengan nama "repair.inf" tanpa tanda petik. Setelah menyimpannya klik kanan pada file tersebut dan pilih instal. Atau anda bisa langsung download repair registry virus yuyun vbs di av-soft.4shared.
[Version]
Signature="$Chicago$"
Provider=av-soft.blosgspot
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCR, lnkfile, IsShortcut
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders,Recent,0x00020000,"%USERPROFILE%\Recent"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, HonorAutoRunSetting
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate
HKLM, Software\Classes\CLSID\{11111111-2222-3333-4444-555555555555}
Cara ketiga dan merupakan cara terakhir adalah dengan menghapus semua file virus yang terdapat pada komputer anda.Hapus file database.mdb dan yang tersuper hidden yang berada pada my document dan :Microsoft Office Update For Windows XP.sys yang terdapat pada C:\WINDOWS\:Microsoft Office Update For Windows XP.sys. Gunakan fitur Search windows pada komputer anda. Mulailah mencari dengan kata thumb.db, autorun.inf, microsoft.lnk, New Folder.lnk, New Harry Potter and....Ink, Auto.exe, V.doc, Yuyun.Q, Baca AQ.rtf, My Name is Yuyun.rtf, file berformat *.tmp yang berada pada folder yang sama dengan V.doc, Yuyun.Q dan auto.exe dan yang perlu anda berhati-hati menghapus adalah pada saat anda harus mencari file dengan format *.lnk yang merupakan hasil infeksi virus tersebut yang sama dengan nama folder pada komputer anda. Pada file virus yang berformat *.tmp sebaiknya anda hapus semua karena file-file tersebut tidaklah penting. Dan jangan lupa untuk menghapus Shortcut yuyun_cantix pada desktop(jika ada). Perhatikan Gambar berikut untuk memudahkan pencarian file-file tersembunyi :
Jika anda ke merasa kesulitan dalam mencari file yang tersembunyi anda dapat menggunakan aplikasi hidden file tool, download disini.
Av-soft menyediakan virus untuk dapat anda download semata-mata untuk dijadikan sebagai bahan pelajaran dan atau sebagai database antivirus lokal maupun non lokal. Silahkan download virus yuyun vbs ini disini. dan Download Source Code virus tersebut disini.
5 komentar:
Makasih infonya..
harus lebih hati² nih..
kok saya cari di taskmanager file wscript.exe tidak kutemukan ya...gmn donk cara nyari file wscript.exe selain dr taskmanager..?
Makasih sebelumnya
coba lebih teliti lagi, jika tidak ditemukan gunakan pengganti taksmanager. Atau anda restart terlebih dulu, dan coba cari kembali.
semoga berhasil..
mas bagai mana cara downloadnya
@Anonim "mas bagai mana cara downloadnya"
silahkan lihat di sini http://av-soft.blogspot.com/2008/08/cara-download-virus.html
Posting Komentar