W32/GNURBULF.B (VIRUS FLU BURUNG) - SOLUSI TERKUNCI DI MENU LOGON
Sumber : Vaksin.com
Kira-kira pengalaman apa yang berkesan dan menyebalkan yang pernah anda alami sehubungan dengan pintu dan kunci ? Pernahkan anda terkunci di luar rumah anda ? Atau sebaliknya terkunci di kamar mandi dan anda kesulitan membuka pintu keluarnya ? Kira-kira hal inilah yang dilakukan oleh virus Flu Burung.B yang cukup marak beredar di Indonesia (selain ROntokbro.EQ yang memamerkan kesaktiannya), mengunci pemilik OS yang sah di layar logon tanpa bisa masuk ke Windows. Sekalipun anda sudah memasukkan “username” dan password” yang benar pada layar logon, tetap saja layar logon akan muncul terus menerus dan tidak memperkenankan anda masuk ke Windows. Meskipun anda restart komputer ke “safe mode” atau “safe mode with command prompt” yang anda temui hanyalah layar logon yang menyebalkan karena anda terkunci di luar. JAngan cari tukang kunci dulu, baca artikel ini sampai selesai.
Sekalipun anda sudah tahu ini aksi virus, tetapi memecahkan maslalah ini merupakan perjuangan tersendiri. Kecuali anda sudah bete dan menggunakan “aji pamungkas” ... FORMAT. Kalau setiap kali komputer anda format kalau terkena virus, anda harus dipusingkan dengan masalah lain karena harus melakukan instalasi ulang semua software anda. Menurut pengalaman mengoprek virus, permainannya pasti di registry Windows, tetapi ada dua hal yang harus dijawab :
1. Registry Windows yang mana ?
2. Bagaimana mengakses format harddisk NTFS karena tidak bisa diakses dari DOS (FAT 32).
Sebagai gambaran, NTFS (New Technology File System) adalah system file yang digunakan pertamakali oleh Windows NT dengan pertimbangan “lebih aman” dibandingkan Fat 32, walaupun pada perkembangannya NTFS atau FAT 32 sama-sama mudah terinfeksi virus. Tetapi karena di desain berbeda dari FAT 32, maka MS Dos (boot disket) biasa tidak bisa mengakses file dengan format NTFS. Solusinya adalah menggunakan NTFS for DOS untuk mengakses sistem komputer format NTFS yang menjadi korban virus. Atau jika anda mempunyai beberapa PC, jadikan PC yang terinfeksi sebagai slave pada sistem yang lain. Ada cara canggih lain yaitu menggunakan Mini XP.
File asli virus Gnurbulf.B ini sebesar 46 KB dan dibuat dengan menggunakan Bahasa Visual Basic dengan ext. SCR.
Harap hati-hati......!!!, Salah clean jadi tidak bisa logon
Jika pc anda terinfeksi virus ini sebaiknya lakukan pembersihan secara total sampai ke registry karena Gnurbulf.B ini akan mencoba untuk merubah string userinit dengan mengganti lokasi file yang akan di load yakni dari C:\Windows\system32\userinit, menjadi C:\Recycled\svchost.exe.
Jika komputer anda terinfeksi Gnurbulf.B dan belum sempat membersihkan registry yang sudah dipermak oleh Gnurbulf.B, jangan terkejut jika begitu komputer anda melakukan restart [booting ulang] dan kemudian komputer tersebut tidak dapat logon ke Windows [selalu meminta konfirmasi user name dan password walaupun anda sudah memasukan user name dan password yang benar]. Hal ini disebabkan karena Windows mengalami kegagalan untuk memanggil file userinit.exe dimana kita ketahui bahwa file userinit.exe merupakan file utama yang akan di jalankan pada saat booting agar dapat logon ke Windows.
Sebenarnya anda bisa saja melakukan repair atau install ulang terhadap system komputer itu sendiri, tetapi hal ini akan memakan banyak waktu dan bukan solusi yang tepat. Sebenarnya ada satu cara yang dapat anda gunakan agar PC dapat kembali normal tanpa harus re-install yakni dengan mengembalikan string yang sudah diubah oleh virus tersebut pada string userinit dengan mengganti lokasi file yang akan di jalankan menjadi C:\Windows\system\userinit.exe.
Untuk memulihkan string userinit yang sudah diubah oleh virus sebenanya tidaklah terlalu sulit, anda hanya membutuh 2 file script dan startup disk [disket starup], karena kedua file tersebut akan dicopy melalui DOS Prompt, berikut langkah-lagkah yang harus dilakukan:
1.Buat 2 file script berikut pada program “notepad”
Copy sript dibawah ini kemudian simpan dengan nama FIX.REG
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Catatan:
* Script ini digunakan untuk merubah string userinit yang sudah di ubah oleh virus
* Jika anda menggunakan windows 2000, ganti lokasi C:\Windows\system32 dengan C:\WINNT\system32
* Copy sript dibawah ini kemudian simpan dengan nama FIX.BAT
regedit /s c:\fix.reg
Catatan:
Script ini digunakan untuk menjalankan file FIX.REG
2. Setelah kedua script tersebut anda buat, langkah selanjutnya adalah copy file tersebut ke lokasi berikut:
* Fix.reg kopikan ke C:\
* Fix.bat kopikan ke C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Untuk mengkopi kedua file tersebut kedalam folder tersebut diatas anda membutuhkan startup disk, untuk membuat startup disk tersebut anda dapat menggunakan tools freeware seperti Avira's freeware NTFS driver via DOS boot disk, tools tersebut dapat di download di alamat:
http://www.free-av.com/antivirclassic/avira_ntfs4dos.html
Setelah software tersebut berhasil di download, install software tersebut di komputer yang bersih dari virus setelah itu anda langsung dapat membuat startup disk dengan hanya membutuhkan 1 disket.
Setelah berhasil membuat startup disk, copy kedua script yang baru di buat ke dalam disket tersebut [Fix.reg dan Fix.bat], kemudian boot komputer melalui Disket.
Setelah berhasil boot malalui disket selanjutnya copy file FIX.REG ke direktori C:\ dan FIX.BAT kedirektori C:\Documents and Settings\All Users\Start Menu\Programs\Startup.
Catatan:
Jika anda menggunakan startup disk Avira NTFS4DOS maka Drive C: [system] akan dianggap sebagai drive D:\ atau sebaliknya [untuk informasi lebih lanjut baca manual yang disertakan]
3. Setelah kedua file tersebut berhasil di copy kedirektori yang sudah ditentukan, langkah selanjutnya adalah ubah file Spoolsv.exe manjadi nama file lain [contoh: Spoolsv.eee] setelah itu copy file userinit.exe menjadi spoolsv.exe, hal ini disebabkan karena file spoolsv.exe merupakan file spooling printer yang akan dijalankan pertama kali sebelum user logon windows dan gunakan untuk memancing agar komputer dapat memunculkan Desktop Windows dengan tujuan agar file script [Fix.bat] yang di simpan di Startup menu dapat dijalankan, setelah windows berhasil menjalankan file script tersebut maka PC akan kembali ke logon screen [muncul konfirmasi untuk memasukan username dan password], jika anda mencoba untuk login ulang [memasukan username dan password] maka windows akan berjalan seperti biasa.
Catatan:
Jika setelah anda memasukan user name dan password tetapi Windows masih belum berjalan secara normal [tetap meminta konfirmasi untuk memasukan user name dan password], disarankan agar anda terus memasukan user name dan password sampai berhasil karena dibutuhkan waktu agar Windows berhasil menjalankan file userinit.exe tersebut.
4. Setelah komputer dapat berfungsi kembali, jangan lupa untuk menghapus file fix.bat [direktori C:\], reg.bat [direktori C:\Documents and Settings\All Users\Start Menu\Programs\Startup] dan rubah kembali file Spoolsv.exe yang sudah anda rubah agar printer anda dapat kembali digunakan.
5. Untuk membersihkan sisa-sisa string registry yang dibuat oleh Gnurbulf.B, copy script dibawah ini pada program “Notepad” kemudian simpan dengan nama “repair.inf” setelah itu jalankan dengan cara
o Klik kanan “repair.inf”
o Klik “Install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe"
HCR, Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe"
[del]
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKU, S-1-5-21-1454471165-1844237615-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
6. Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak terinfeksi kembali, install antivirus yang sudha dapat mengenali virus ini dengan baik.
Di bawah ini kami merekomendasikan pemecatan alat untuk userinit.exe. Penghapusan alat telah Nilai 5 sapi dari 5 oleh Tucows dan sebelumnya CNET's Editor's Choice. Jangan ragu untuk men-download di LINK INI " http://74.125.95.132/translate_c?hl=en&ie=UTF-8&sl=en&tl=id&u=http://www.virusremovalguru.com/software/remove.php&rurl=translate.google.com&usg=ALkJrhiNT_8x_tqfMqiPQp2Mc7W_Hj54Xg"
TV Streaming
RCTI live streaming : Klik Tombol RCTI untuk menyaksikan Live streaming RCTI
SCTV online streaming : Klik Tombol SCTV untuk menonton SCTV Live Streaming
Global TV Streaming - Trans TV - TVone : klik tombol masing-masing untuk menyaksikan live streaming televisi online tersebut.
translate this page
Chat yuk
Buku Tamu
Label
- hack-Crack (34)
- Tips (29)
- Basic blog (27)
- Freedom Surf (21)
- Sofware Review (20)
- Blogger (13)
- Wordpress (13)
- Intermediate Blog (9)
- WINDOWS (9)
- Advertisement (7)
- Hardware (5)
- Review software (5)
- Blog (3)
- Internet Cepat (3)
- Game (2)
- Manga (2)
- Anti Virus (1)
Teman Yang mampir
Custom Search
Selasa, 29 September 2009
SOLUSI TERKUNCI DI MENU LOGON (uSERINIT)
Langganan:
Posting Komentar (Atom)
Mengenai Saya
- Erwin Arianto
- Penulis tuk diri sendiri, Internal Audit untuk Sebuah Perusahaan, Pencinta Puisi, Cerpen, Seorang Hamba yang berusaha, Menjadi Ayah yang baik untuk Quineisha & Qhaira, menjadi Insan Taqwa
IP Anda
Diary Saya
Berlangganan Artikel
Blog Archive
- Januari (3)
- Oktober (4)
- April (1)
- Februari (1)
- Januari (21)
- April (2)
- Desember (3)
- November (5)
- Juli (5)
- Juni (1)
- April (6)
- Desember (1)
- November (2)
- Oktober (3)
- September (11)
- Agustus (7)
- April (2)
- Maret (7)
- Februari (1)
- Januari (27)
- Desember (10)
- Agustus (1)
- Juni (3)
- Mei (4)
- April (2)
- Oktober (1)
- September (37)
0 komentar:
Posting Komentar