Flu-Burung Killer

ditulis oleh : erlia_bandel at yahoo dot com

bagi yang sudah pernah terkena virus ini dipastikan bakal BT abis. gejalanya bermacam-macam dari "penampakan" notepad yang isinya norak abis di layar komputer, pointer mouse yang gak bisa digerakkan, pengennya ditengah mulu sampai gak bisa login ke windows.

yup, betul sekali, virus ini bernama "flu burung" atau bahasa kerennya {Gnurbulf.B}. virus ini merupakan turunan dari {W32/Gnurbulf} yang kurang sukses di pasaran.

sebenarnya virus ini gak jauh berbeda dengan virus pendekar blank dan brontok, sama-sama bermain di registry windows yang menyebabkan virus ini selalu ada di komputer walaupun direstart berkali-kali (dengan safe mode atau command prompt).

jika anda mengalaminya, jangan panik, tetap tenang, tarik nafas dalam-dalam !
tunggulah sampai tampilan notepad muncul di layar setelah itu tekan {alt} F4, tahan trus sampai notepadnya hilang, pointer mouse biasanya sudah normal dan bisa digerakkan, kemudian ikuti langkah-langkah dibawah ini untuk menghabisi "flu-burung"

tahap 1
1. start - run - cmd
2. attrib -s -h c:\recycled (lakukan juga untuk d:\)
3. del c:\recycled (lakukan juga untuk d:\)

hapus file :
SVCHOST.EXE
SMSS.EXE
SPOOLSV.EXE
CTFMON.EXE

tahap 2
1. masuk ke C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}
2. hapus file Docicon.exe (induk virus)

tahap 3
1. ubah “Folder Option” dengan tujuan untuk menampilkan ekstensi file sehingga akan
dapat dibedakan file virus dengan file MSWord
2. ubah string pada registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
CheckedValue = 0
DefaultValue = 0
UncheckedValue = 1
sampai tahap ini ektensi file akan terlihat

tahap 4
1. cari file dengan ektensi .scr dengan perintah search di windows explorer
2. hapus file tersebut secara permanen dengan perintah [shift] del

tahap 4
1. ubah atribut file .doc yang statusnya hidden dengan perintah :
{drive} attrib -s -h /s /d *
file .doc yang hidden akan kembali normal

tahap 5
1. ubah string registry dengan script dibawah ini dengan cara :
buka notepad, copy dan simpan dengan nama repair.inf
klik kanan repair.inf, klik install

--------------------------------------------------------------------
[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, SoftwareCLASSESbatfileshellopencommand,,,"""%1"" %*"

HKLM, SoftwareCLASSEScomfileshellopencommand,,,"""%1"" %*"

HKLM, SoftwareCLASSESexefileshellopencommand,,,"""%1"" %*"

HKLM, SoftwareCLASSESpiffileshellopencommand,,,"""%1"" %*"

HKLM, SoftwareCLASSESregfileshellopencommand,,,"regedit.exe "%1""

HKLM, SoftwareCLASSESscrfileshellopencommand,,,"""%1"" %*"

HKLM, SOFTWAREClassesscrfile,,,"Screen Saver"

HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Userinit,0, "C:Windowssystem32userinit.exe,"

HKLM, SOFTWAREClassesWord.Document.8DefaultIcon,,,"C:WINDOWSInstaller{90110409-6000-11D3-8CFE-0150048383C9}wordicon.exe"

HCR, Word.Document.8DefaultIcon,,,"C:WINDOWSInstaller{90110409-6000-11D3-8CFE-0150048383C9}wordicon.exe"

[del]

HKCU, SoftwareMicrosoftWindows NTCurrentVersionWinlogon, shell

HKU, S-1-5-21-1454471165-1844237615-725345543-1003SoftwareMicrosoftWindows NTCurrentVersionWinlogon, shell

----------------------------------------------------------------------------------------------
langkah ini akan mengembalikan registry sebelum diubah oleh virus

tahap 6
1. masuk ke start menu
2. hapus file desktop.ini

klik start - all program - startup
klik kanan desktop.ini
klik delete file

restart komputer !!
apabila ada pesan error seperti svchost not found, masuk ke c:\windows\system32, cari file svchost.exe, copikan ke c:\recycled kemudian restart. Biasanya pesan error akan hilang!

kini komputer anda sudah terbebas dari virus "flu-burung"

ps. buat yang bikin program ini, berhati-hatilah, karena banyak orang yang mengutuk perbuatan anda !!!