Membasmi Wayang

W32/VBWorm.NFA 19 April 2007

Bagaimana membasmi virus Wayang ?

Cara membersihkan VBWorm.NFA secara manual

1. VBWorm.NFA akan mencoba blok Desktop Windows baik pada mode Normal, safe mode walaupun safe mode comand prompt, jadi untuk pembersihan sebaiknya dilakukan pada mode DOS, jika anda mempunyai lebih dari satu komputer akan lebih mudah untuk membersihkan virus tersebut dengan menjadikannya sebagai Slave di komputer lain yang tidak terinfeksi VBWorm.NFA dengan terlebih dahulu merubah file C:\%WIndir%\System32\Msvbvm60.dll menjadi nama file lain <contohnya: Msvbvm60> hal ini dimaksudkan agar virus tersebut tidak menginfesi komputer yang sebelumnya bersih dari virus tersebut, kemudian scan dengan menggunakan antivirus yang sudah dapat mengenali virus ini atau dengan menghapus secara manual, setelah Hard Disk komputer yang sudah sebelumnya terinfeksi VBWorm,NFA sudahbersih dari virus tesrebut jangan lupa untuk untuk copy file userinit.exe yang ada di direktori [C:\Windows\system32] ke direktori [C:\Windows\nakula sadewa] menjadi nama file Spoolsv.exe, svchost.exe dan services.exe] hal ini di dimaksudkan agar komputer dapat logon ke Windows setelah itu buat script repair.vbs yang sudah disertakan disini dan jalankan file repair.vbs terseebut di komputer yang terinfeksi tadi dengan cara klik 2x file repair.vbs hal ini dilakukan untuk membersihkan registry yang sudah di buat oleh VBWorm.NFA .

Selain itu anda pun dapat membersihkan virus ini dengan mengunakan software Windows Mini PE dengan menghapus file induk yang dibuat sekaligus dapat membersihkan registry yang sudah dibuat oleh VBWorm.NFA khususnya pada registry HKLM\SOftware\Microsoft\WInodws NT\CurrentVersion\Winlogon, kemudian ganti value dari string “userinit” menjadi C:\Windows\system2\userinit.exe, [jika menggunakan Windows XP/2003] atau C:\WiNNT\system32\userinit, [jika menggunakan Windows NT/2000], hal ini dilakukan agar komputer dapat logon ke Winsdows secara Normal kemudian jalankan script repair.vbs untuk membersihkan registry yang sudah dibuat oleh VBWor.NFA <jika anda belum sempat membersihkan registry tersebut>

Pada kesempatan ini akan dijelaskan cara membersihkan VBWorm.NFA dengan menggunakan DOS. Untuk membersihkan pada mode DOS anda membutuhkan software NTFS 4 DOS, tools ini dapat di download di alamat http://www.free-av.com/antivirclassic/avira_ntfs4dos.html.

Setelah software tersebut anda download, install software tersebut di komputer yang tidak terinfeksi kemudian buat satu diket startup, disket ini yang nantinya akan digunakan untuk booting.

Setelah disket start up selesai dibuat, booting komputer dengan menggunakan Floppy Disk.. Perlu diperhatikan jika Hard Disk anda lebih dari satu partisi (partisi C sebagai Drive System dan D sebagai Drive Data), maka Drive System ( Drive C ) biasanya akan menjadi Drive terakhir.

Pada kasus ini terdapat 2 partisi yakni Drive C:\ pada kondisi normal dikenali sebagai %Drive System% dan D:\ sebagai %Drive Data%, sehingga jika komputer booting dengan menggunakan disket NTFS 4 DOS maka %Drive System% dikenali sebagai drive D:\ sedangkan %Drive Data% dikenali sebagai drive C:\.

$Text Box: Sebagai panduan gunakan perintah berikut selama ada di mode DOS CD < untuk masuk ke folder atau Drive yang diinginkan > CD.. < untuk kemblai ke folder sebelumnya > CD\ < untuk kembali ke Root Drive > DIR < untuk melihat isi suatu folder > DIR /AH < untuk melihat file/folder yang disembunyikan > DEL < untuk menghapus file > REN < untuk merubah nama file atau nama folder > COPY < untuk copy file > DEL *.* < untuk menghapus semua file> Jika menggunakan Windows NT/2000, ganti nama folder Windows menjadi Winnt$ Setelah komputer booting melalui Disket, lakukan penghapusan file berikut:

Hapus Desktop.ini pada root [C:\]

Pada root A:\> pindahan kursor ke %Drive System% dengan menjalankan perintah berikut:

A:\>%Drive System%: <contoh, A:\>D: kemudian tekan tombol enter, setelah itu hapus file desktop.ini dengan menjalankan perintah dibawah ini:

- %Drive System%:\>del desktop.ini

Hapus file pada drive C:\ yang mempunyai ukuran file 77,196 KB, contohnya:

- %Drive System%:\>del hpbung~1.exe

- %Drive System%:\>del tugas1~1.exe

Hapus file yang berada di direktori [C:\w4y4n9]

- %Drive System%:\>cd w4y4n9

- %Drive System%:\w4y4n9>del folder.htt

- %Drive System%:\w4y4n9>del lo5tword.exe

Hapus file yang ada di folder berikut:

C:\windows\microsoft %user%
C:\windows\software %user%
C:\Windows\microsoft systemprofile
C:\windows\software systemprofile
C:\Windows\nakula sadewa

Untuk menghindari kesalahan pada saat menghapus file di lokasi yang sudah ditentukan jalankan perintah DIR /AH seperti terlihat pada contoh dibawah ini:

- %Drive System%:\windows>DIR /AH kemudian tekan tombol enter maka akan muncul beberapa Folder berikut:

· MICROS~%angka%

· SOFTWA~%angka%

· Nakula~%angka%

Text Box: Catatan:
%angka% menunjukan angka acak, contohnya: MICROS~1

Kemudian hapus file yang berada di masing-masing folder tersebut, contohnya:

- %Drive System%:\>CD Windows

- %Drive System%:\windows>del MICROS~1

- %Drive System%:\windows>del MICROS~2

- %Drive System%:\windows>del softwa~2

- %Drive System%:\windows>del softwa~3

- %Drive System%:\windows>del nakula~1

- %Drive System%:\windows>del msvbvm60.dll

$Text Box: Catatan: Pastikan semua file yang ada di Folder tersebut sudah anda hapus, untuk memastikannya anda harus terlebih dahulu masuk ke masing-masing folder yang di inginkan kemudian jika terdapat file dengan ukuran 77,196 KB atau masih terdapat file msvbvm60.dll sebaiknya anda hapus, perhatikan contoh dibawah ini: - %Drive System%:\windows>CD MICROS~1 (untuk masuk ke folder MICROS~1 ) - %Drive System%:\windows\MICROS~1>DIR (untuk melihat isi folder MICROS~1 ) Jika pada folder tersebut masih terdapat file induk yang dibuat oleh virus, hapus dengan mengggunakan perintah DEL %nama file%, contoh: %Drive System%:\windows\MICROS~1>Del msvbvm60.dll$

Setelah semua file berhasil dihapus sebaiknya ubah folder tersebut menjadi nama lain, kecuali untuk folder Nakula~1 jangan anda ubah, perhatikan contoh dibawah ini:

- %Drive System%:\windows>ren micros~1 xvirus1

- %Drive System%:\windows>ren micros~2 xvirus2

- %Drive System%:\windows>ren Software~2 xvirus4

- %Drive System%:\windows>ren Software~3 xvirus5

Seperti yang sudah dijelaskan sebelumnya bahwa VBWorm.NFA akan merubah string registry HKLM\SOftware\Microsoft\WInodws NT\CurrentVersion\Winlogon \\userinit dengan merubah path userinit ke alamat: [C:\WINDOWS\nakula sadewa\svchost.exe] sehingga jika string ini tidak di ubah ke path asal maka komputer tidak dapat logon Windows (akan selalu meminta konfirmasi untuk memasukan user name dan password), oleh karena itu untuk sementara copy file userinit.exe menjadi nama file svchost.exe, services, dan spoolsv.exe ke direktori %Drive System%:\Windows\Nakula Sadewa hal ini dimaksudkan agar komputer dapat logon ke Windows, berikut contoh perintah yang dapat digunakan:

- %Drive System%:\windows\system32>copy userinit.exe d:\windows\nakula~1\svchost.exe

- %Drive System%:\windows\system32> copy userinit.exe d:\windows\nakula~1\spoolsv.exe

- %Drive System%:\windows\system32> copy userinit.exe d:\windows\nakula~1\services.exe

Hapus file di direktori [C:\Windows]

- %Drive System%:\WIndows>del hanuman.exe

- %Drive System%:\WIndows>del msvbvm60.dll

- %Drive System%:\WIndows>del about.htm

- %Drive System%:\WIndows>del wayang~1.bmp

Hapus file di direktori [C:\windows\system32]

- %Drive System%:\windows>CD System32

- %Drive System%:\windows\system32>del gatotk~1.scr

- %Drive System%:\windows\system32>del wayang~1.bmp

- %Drive System%:\windows\system32>ren msvbvm60.dll msvbvm60

Hapus file yang berada di direktori [C:\windows\system32\%user% durjana]

- %Drive System%:\windows\system32>DIR /AH <untuk melihat folder yang disembunyikan karena folder tersebut akan disembunyikan>

- %Drive System%:\windows\system32>cd %user% <untuk masuk ke user yang di inginkan>

- %Drive System%:\windows\system32\%user%>del*.* <menghapus semua file yang ada pada folder tersebut>

Contoh:

%Drive System%:\Windows\System32\Adangd~1>del*.*

Setelah itu ubah folder %user% durjana menjadi nama lain, seperti terlihat pada contoh dibawah ini yang akan merubah folder adangd~1 menjadi xadang

- %Drive System%:\windows\system32\%user%>CD..

- %Drive System%:\windows\system32>ren adangd~1 xadang

$Text Box: Catatan: Untuk menghindari terjadi kesalahan pada saat melakukan penghapusan file yang ada di folder tersebut, sebaiknya lakukan pengecekan terlebih dahulu ke masing-masing folder tersebut dengan cara menjalankan printah CD %nama folder% (setiap folder biasanya selalu ditandai dengan adanya string <DIR> ). Folder yang dibuat virus akan berisi beberapa file berikut dengan ukuran 77,196 KB> diantaranya: csrss.exe lsass.exe msvbvm60.dll smss.exe Jika file tersebut ditemukan sebaiknya anda hapus dengan menulis perintah DEL *.* Contoh: %Drive System%:\Windows\System32\%user%>del*.*$

Hapus file yang ada di direktori [C:\Windows\system32\systemprofile durjana]

- %Drive System%:\windows\system32>CD System~1

- %Drive System%:\windows\system32\system~1>DEL *.*

- %Drive System%:\windows\system32\system~1>CD..

- %Drive System%:\windows\system32>ren system~1 xsystem~1 <merubah nama folder System~1 menjadi xsystem~1>

Hapus file yang ada di direkori [C:\WINDOWS\system32\config\systemprofile\Local Settings]

- %Drive System%:\windows\system32\config\system~1>locals~1>del *.*

- %Drive System%:\windows\system32\config\system~1>locals~1>del msvbvm60.dll

Hapus file yang ada di direktori [C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data]

- %Drive System%:\windows\system32\config\system~1>locals~1\applic~1>del *.exe

- %Drive System%:\windows\system32\config\system~1>locals~1\applic~1>del majnun~1.exe

- %Drive System%:\windows\system32\config\system~1>locals~1\applic~1>del msvbvm60.dll

Hapus file yang ada di folder [C:\Documents and Settings\%user%\Local Settings]

- %Drive System%:\>CD Docume~1

- %Drive System%:\Docume~1>DIR <untuk menampilkan semua “User Profile” yang ada>

- Setelah semua user terlihat, kemudian masuk ke user yang biasa anda gunakan untuk logon ke Windows dengan menjalankan perintah berikut:

%Drive System%:\Docume~1>CD %user%

Contohnya: D:\Docume~1>CD Adang

- Setelah itu ketik perintah berikut untuk masuk ke folder “Local Settings”

%Drive System%:\Docume~1\%user%>CD locals~1, maka kursor akan pindah ke direktori [%Drive System%:\Docume~1\%user%\locals~1>]

Pada direktori ini akan ada beberapa file virus diantaranya:

- dalang~1.exe

- msvbvm60.dll

- w32way~1.exe

Kemudian hapus file tersebut dengan menjalankan perintah DEL *.* seperti terlihat pada contoh dibawah ini:

%Drive System%:\Docume~1\%user%\locals~1>DEL *.*

· Hapus file [C:\documents & settings\%user%\local settings\application data]

Hapus file yang mempunyai ukuran 77,196 KB dan file msvbvm60.dll, seperti contoh dibawah ini:

- %Drive System%:\>CD Docume~1\%user%\locals~1\applic~1

- %Drive System%:\Docume~1\%user%\locals~1\applic~1>del Kotap4~1.exe

- %Drive System%:\Docume~1\%user%\locals~1\applic~1>del majnun.exe

- %Drive System%:\Docume~1\%user%\locals~1\applic~1>del smaneg~1.exe

- %Drive System%:\Docume~1\%user%\locals~1\applic~1>del msvbvm60.dll

· Hapus file [C:\Documents and Settings\%user%\My Documents\majnun.txt]

- %Drive System%:\> CD Docume~1\%user%\MYDOCU~1

- %Drive System%:\Docume~1\%user%\MYDOCU~1>DEL Majnun.txt

· Jika Hard Disk anda lebih dari satu hapus/ubah file desktop.ini dan file induk lainnnya serta file yang ada di folder w4y4n9 di %Drive Data% anda

- %Drive Data%:\>REN Desktop.ini Xdesktop

- %Drive Data%\>del hpbung~1.exe

- %Drive Data%:\> CD w4y4n9

- %Drive Data%:\w4y4n9> ren folder.htt Xfolder

- %Drive Data%:\w4y4n9>DEL lo5tword.exe

2. Setelah semua file induk tersebut berhasil di hapus kemudin restart komputer dan booting seperti biasa.

3. Setelah komputer berhasil booting hapus registri yang sudah dibuat oleh virus dengan menulis script dibawah ini pada program notepad kemudian simpan dengan nama repair.vbs dan jalankan file tersebut dengan cara klik 2x file repair.vbs

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Windows\system32\userinit.exe,"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\","C:\Windows\notepad.exe %1"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mutiara")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\systemprofile Nakula")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\systemprofile Sadewa")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCLose")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoPwdPage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper ",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme\Wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrenTVersion\Windows\Load",""

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE",""

oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper",""

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.com"

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\BackBitmapShell")

$Text Box: Catatan: JIka komputer anda menggunakan Windows NT/2000, ubah script berikut: oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Windows\system32\userinit.exe," Menjadi oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Winnt\system32\userinit.exe," Untuk melihat efek setelah anda menjalankan repair.vbs sebaiknya komputer anda Log Off terlebih dahulu, setelah komputer Log Off hapus string %User% Nakula dan %User% Sadewa pada regitry berikut: · HKCU\Software\microsoft\winodws\CurrentVersion\Run · HKLM\Software\microsoft\winodws\CurrentVersion\Run$

4. Hapus alamat URL yang sudah dibuat oleh VBWorm.NFA pada Host file Windows [C:\Windows\System32\Drivers\Etc\Host].

Untuk mempermudah proses penghapusan anda dapat menggunakan tools “HOSTER, tools ini dapat di download di alamat http://www.funkytoad.com/download/HostsXpert.zip

Jalankan tools tersebut dan hapus alamat url yang ada dengan klik tombol “Restore Microsoft Original Host File” untuk restore Host file tersebut ke Host file asli tanpa harus memilih satu persatu alamat url yang akan dihapus.

Gambar 13, Menghapus url yang dibuat oleh VBWorm.NFA dengan menggunakan HOSTER

5. Hapus juga file Desktop.ini dan foleder W4Y4n9 <file dan folder ini akan disembunyikan> serta file induk lainnya yang dibuat di Flash Disk dengan ciri-ciri:

● Icon Microsoft Word Document <MS.Word>

● Ukuran 76 KB

● Eksetnsi EXE

● Type File “Application”

6. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik

7. Jika virus sudah bersih dari komputer, ubah kembali file msvbvm60 menjadi msvbvm60.dll yang ada di direktori [C:\windows\system32]

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851