[Manual] Mengmbalikan efek virus Robbie.exe

blackmarlincode · **Posted:** Fri May 02, 2008 11:17 pm

Sebelumnya,salam kenal buat "RAINHEART REBEL REVOLUTION"
Ternyata ada yg bikin "virus-like" sperti Gutbai.exe
Mumpung nganggur, ane dunlut to virus dan mencoba menjalankannya.

BTW: Ane gak pake System Restore/Anti Virus apapun buat ngebalikin efek dari Robbie.exe
Cuman SAFE MODE aja... Sory klo kebanyakan gambar..

Alat dan Bahan :
1. VMWare Workstation 5.5
2. ISo Wind**ws XP SP2 VLK
3. Sedikit logika + Segelaz Wedang Jahe

Tahap 1
Extract file virus dari RAR

Jalanin tu virus

Efeknya terlihat seperti gambar

wah..sepertinya Command Prompt+registry didisabled (seperti biasanya virus lokal)
Langsung saja, ane reboot, pengen nge-etest SAFE MODE Command Prompt

Login sebagai Administrator, jgn user paz kita jalanin tu virus, soalnya
user tsb udh di disable command prompt + registry-nya

Langsung perintah "explorer" untuk manggil explorer..ternyata bisa..

Coba "dir" ke C: ..lha nemu Windows.exe + folder Windows jadi Hidden

Langsung rename Windows.exe jadi Windows.exe.txt

Coba cari autorun.inf ato folder autorun

Lha nemu, langsung rename menjadi Setup.exe.txt juga autorun.inf jadi autorun.inf.txt

Sekalian Rename folder autorun menjadi autorun-txt

Cari kembaran Windows.exe maupun setup.exe di direktory windows..nah..ada Rebel.exe

Cari lagi di System32 ach.. lho.. koq ada XP@SP4.exe yah..

Jadi kembarannya (windows.exe,setup.exe,XP@SP4.exe ama rebel.exe)

Apa lagi ya.. Coba extensi *.com /*.pif /*.scr <-- biasanya virus
Metode cari sederhana, cari yg kembar di folder windows berikut subfoldernya...

Setelah nemu, cukup di rename jadi dell.com.txt

Jadi kembarannya (dell.com di Windows dan Windows/System32)

Test jalankan regedit

Browse ke [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies]
Wadoh..banyak yg dirubah..

Cek juga [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Hapus aja key itu!

Periksa [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
Hapus aja key itu!

Periksa juga [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
Rubah dengan Registered Owner dan Organization defaultnya PC kamu..

Cek [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
Hapus semua key-nya

Nah, setelah ini buat user baru (untuk mendefaultkan settingan yg disabled)
pake perintah
"net user %userbaru% /add"
"net localgroup Administrator %userbaru% /add
Hapus username yg dipake buat jalanin tuh virus (misalkan name usernya BEJO)
"net user BEJO /delete"

Lalu restart, pake perintah "shutdown -r -f -t 00"
Setelah restart, masuk normal ke windows XP ente..

beberapa bagian masih belom normal..
buka registry..browse ke policies di hkcu

Log off kemudian login lagi..
Udah deh balik normal lagi...

Proses diatas memang agax ribet, tapi bisa jadi PROOF of CONCEPT bahwa ngembalikin
efek Robbie.exe gak harus pake SystemRestore (yg siapapun aja juga bisa)

Maap klo ada kata2 yg salah..

[Manual] Mengmbalikan efek virus Robbie.exe

Who is online