Mengahadapi virus flu burung

1. Buat 2 file script berikut pada program “notepad”

Copy sript dibawah ini kemudian simpan dengan nama FIX.REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

“Userinit”=”C:\\WINDOWS\\system32\\userinit.exe,”

Catatan:

- Script ini digunakan untuk merubah string userinit yang sudah di ubah oleh virus

- Jika anda menggunakan windows 2000, ganti lokasi C:\Windows\system32 dengan C:\WINNT\system32

§ Copy sript dibawah ini kemudian simpan dengan nama FIX.BAT

regedit /s c:\fix.reg

Catatan:

Script ini digunakan untuk menjalankan file FIX.REG


2. Setelah kedua script tersebut anda buat, langkah selanjutnya adalah copy file tersebut ke lokasi berikut:

§ Fix.reg kopikan ke C:\

§ Fix.bat kopikan ke C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Untuk mengkopi kedua file tersebut kedalam folder tersebut diatas anda membutuhkan startup disk, untuk membuat startup disk tersebut anda dapat menggunakan tools freeware seperti Avira’s freeware NTFS driver via DOS boot disk, tools tersebut dapat di download di alamat:

http://www.free-av.com/antivirclassic/avira_ntfs4dos.html

Setelah software tersebut berhasil di download, install software tersebut di komputer yang bersih dari virus setelah itu anda langsung dapat membuat startup disk dengan hanya membutuhkan 1 disket.

Setelah berhasil membuat startup disk, copy kedua script yang baru di buat ke dalam disket tersebut [Fix.reg dan Fix.bat], kemudian boot komputer melalui Disket.

Setelah berhasil boot malalui disket selanjutnya copy file FIX.REG ke direktori C:\ dan FIX.BAT kedirektori C:\Documents and Settings\All Users\Start Menu\Programs\Startup.

Catatan:

Jika anda menggunakan startup disk Avira NTFS4DOS maka Drive C: [system] akan dianggap sebagai drive D:\ atau sebaliknya [untuk informasi lebih lanjut baca manual yang disertakan]

Gambar 5, Proses pengkopian file [fix.bat dan fix.reg] dengan menggunakan Avira NTFS4DOS

3. Setelah kedua file tersebut berhasil di copy kedirektori yang sudah ditentukan, langkah selanjutnya adalah ubah file Spoolsv.exe manjadi nama file lain [contoh: Spoolsv.eee] setelah itu copy file userinit.exe menjadi spoolsv.exe, hal ini disebabkan karena file spoolsv.exe merupakan file spooling printer yang akan dijalankan pertama kali sebelum user logon windows dan gunakan untuk memancing agar komputer dapat memunculkan Desktop Windows dengan tujuan agar file script [Fix.bat] yang di simpan di Startup menu dapat dijalankan, setelah windows berhasil menjalankan file script tersebut maka PC akan kembali ke logon screen [muncul konfirmasi untuk memasukan username dan password], jika anda mencoba untuk login ulang [memasukan username dan password] maka windows akan berjalan seperti biasa.

Catatan:

Jika setelah anda memasukan user name dan password tetapi Windows masih belum berjalan secara normal [tetap meminta konfirmasi untuk memasukan user name dan password], disarankan agar anda terus memasukan user name dan password sampai berhasil karena dibutuhkan waktu agar Windows berhasil menjalankan file userinit.exe tersebut.

4. Setelah komputer dapat berfungsi kembali, jangan lupa untuk menghapus file fix.bat [direktori C:\], reg.bat [direktori C:\Documents and Settings\All Users\Start Menu\Programs\Startup] dan rubah kembali file Spoolsv.exe yang sudah anda rubah agar printer anda dapat kembali digunakan.

5. Untuk membersihkan sisa-sisa string registry yang dibuat oleh Gnurbulf.B, copy script dibawah ini pada program “Notepad” kemudian simpan dengan nama “repair.inf” setelah itu jalankan dengan cara

o Klik kanan “repair.inf”

o Klik “Install”

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Classes\scrfile,,,”Screen Saver”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, “C:\Windows\system32\userinit.exe,”

HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,”C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe”

HCR, Word.Document.8\DefaultIcon,,,”C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe”

[del]

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell

HKU, S-1-5-21-1454471165-1844237615-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell

Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak terinfeksi kembali, install antivirus yang sudah dapat mengenali virus ini dengan baik.