Darkside of Oktavianus

Making virus and all of them as our friends

Rontokkan virus PRCSYS (W32.SillyDC)

Posted by oktavianus pada Februari 21, 2008

 Oleh BLACK_SPIDER
Published: Februari 21, 2008
Sebelumnya salam kenal dari black_spider. . Berawal dari keluhan teman ku yang kompienya kena virus. Katanya, aku dah scan pake avast tapi ga kedetek, gimana nech…!?!?! Artikel ini bukan dimaksudkan untuk menggurui tetapi hanya sebatas berbagi pengalaman yang aku alami dan juga ditujukan buat temen-temen newbie ( seperti aku juga ) yang haus akan ilmu dan bagi yang udah expert mohon pencerahannya atas kesalahan dan kekurangan. Nama W32.SillyDC dideteksi sama Yahoo Virus Scan.

OK. Mulai… ( banyak omong lo ah… : p )
Ciri-cirinya kayak gini:
Ga bisa klik kanan pada taskbar n desktop, mematikan process explorer, hijackfree dimatiin juga, disable taskmanager, run, regedit, control panel, cmd, search, folder option. Membuat file di tiap folder dengan nama folder tersebut tapi ejaannya dibalik( misalnya folder “SYSTEM” jadi “METSYS”). Pada directory c:\windows virus tersebut membuat folder prcsys, prcsys2, prcsys3, pusat2, pusat, menggunakan icon folder dan ukuran filenya 354 KB. Apabila kita mo ngapus file dengan menekan tombol del pada keyboard, otomatis virus akan mematikan konfirmasi hapus.

Persiapan sebelum kita mulai merontokkan virus ini.
Process Explorer (http://www.sysinternals.com/) (Lo… Katanya bisa dimatiin sama virus, kok di pake juga? Ya mo gimana lagi, aku ga tau mo pake apa lagi.)
Virus Fighter (Cari aja pake bantuan om google)
Kesabaran secukupnya.

Langkah-langkah
1. Restart komputer, tekan f8 kemudian pilih safe mode.

2. Jalankan virus fighter, pada menu windows pilih rename msvbvm60.dll. (kali aja virusnya dibuat pake VB, seperti tutorial yang pernah aku baca )
3. Jalankan processexp.
· Waktu pertama menjalankan processxp, otomatis akan ditutup oleh virus. Coba jalankan lagi, tapi kalo masih ditutup juga dicoba aja ampe bisa. Kalo tetap ga bisa juga, hanya Tuhan yang tau

4. Kalo aku sih saat menjalankan ProcessXP yang kedua kalinya langsung bisa.(selama beberapa kali percobaan berhasil dan ada juga yang gagal menjalankan processXP trus aku coba restart untuk mencobanya lagi langkah 1 dan 2 ternyata bisa jalan) OK Lanjut…
5. Proses yang sedang berjalan terlihat pada processxp (virus yang menggunakan icon folder).
prcsys1.jpg

6. Klik kanan program yang iconnya folder, tapi jangan di KILL dulu, coz virus tersebut otomatis akan menjalankan file virus yang lainnya.

7. Sekarang pilih suspend semua virus yang aktif setelah itu KILL TREE dech semuanya…!
prcsys2.jpg

8. Ok, sekarang virusnya dah gak aktif.

9. Kembali lagi ke Program Virus fighter. pilih semua checkbox pada menu windows untuk mengaktifkan fitur windows yang dinonaktifkan oleh virus.
prcsys3.jpg

10. Hapus file virus pada directory : · c:\prcs

· C:\windows
( prcsys, prcsys2, prcsys3, pusat, pusat2 )
· Cari semua file aplikasi yang menggunakan icon folder (jangan mengunakan fungsii SEARCH atau SCAN FOR VIRUS Pada menu klik kanan DRIVE coz akan menjalankan viruz).

Perhatiaaaaaaaaaaaaaaaaaannnn………..!!!!!!!!!!!!!!!
Cari dan hapus semua string yang valuenya mengakses program-program yang namanya prcs, prcsys, prcsys2, prcsys3, pusat, pusat2. Yang ada pada registry editor

Registry yang di rubah oleh virus ini :
HKCR\folder\*\shell\scan for virus\command dan HKCR\folder\shell\scan for virus\command

>> Mengelabui user dengan menambahkan pilihan SCAN FOR VIRUS dan pilihan SEARCH pada menu klik kanan drive dan klik kanan folder
HKLM\software\microsoft\windows\currentversion\run
prcsys4.jpg

HKLM\system\controlset001\control\safeboot
prcsys5.jpg

HKLM\system\controlset002\control\safeboot
prcsys5.jpg

HKCU\sofware\microsoft\windows\currentversion\policies\explorer

rubah Noviewcontextmenu jadi 0, notraycontextmenu “0”, kamu bisa cari sendiri yang pengen kamu rubah, sesuai kebutuhan.
HKLM\software\microsoft\windowsNT\currentversion\winlogon ganti value pada string shell menjadi explorer.exe
prcsys6.jpg

Sebenarnya masih banyak yang dapat dilakuin, mohon untuk cari sendiri.

Segitu aja dulu, dah malem ni…. Sebenarnya sampel virus mau disertakan, karena kedetek sama yahoo jadinya ga bisa.

Shoutz to : Allah SWT, Nabi Muhammad SAW, MOM, DAD, my Brother, my Syster, My Sweatheart, My Computer (SEXY PINK).
Greetz to :

Jasakom.com atas artikel-artikelnya.
Om S’to atas buku-bukunya yang keren abiezzz (aku ga bisa ketinggalan tuh beli bukunya)

Semua Elite Hacker ( yang membuatku lebih banyak tau duania IT dengan artikel-artikelnya yang keren-keren abizzz).
Temen-temen seperjuangan (m4no3, !mo3t, N-Dr03, Be-D05, M4m3T, Y0uN6,…. Semuanya deh).

Penjaga kost 444, Sory telat bayar listriknya.
Gak lupa buat yang di SETELUK CITY, NTB.

Segala cacian, pujian, hadiah, rayuan, kritik, saran send to aron_cmx[at]yahoo.com

..SEMOGA BERMANFAAT..

(c) 2008 BLACK_SPIDER

3 Tanggapan to “Rontokkan virus PRCSYS (W32.SillyDC)”

  1. pp1979 said

    punya virus fighter nya gk bro😀 kalo ada upload donk
    nyari d google malah beda virus fighter nya ,, ato bisa kasih pengarahan dmn baut cari virus figther seperti d artikel d atas

  2. sisiin said

    virus fighter ny cari d http://www.4shared.com aj..d search ny ketik virus fighter,,nnti muncul bbrp hsil search ny (pas gw cari si cma ad 3,,trus virus fighter yg bner ad d urutan prtama =]] )..kalo ud di download trus dlem zip ato rar ato smacemnya ad nama FYRO,,brati bner..

    mendingan download ny dri kompi yg g kna si prcsys inii..soalny kalo nyoba donlod pke kompie yg ud tjangkit,,stiap kta bka link ny,,lsung d close lg sma virus ini..

    oiy,,kek ny g mesti msuk k safemode dlu d,,soalny pas d safe mode gw jalanin process exp,,prcsys ny mla g ad..tp dicoba2 aj..

    slakan mncoba..sukses y..

  3. Eddie Beal said

    oktavianus.wordpress.com’s done it once more! Superb article.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: