Harap hati-hati......!!!, Salah clean jadi tidak bisa logon
Jika pc anda terinfeksi virus ini sebaiknya lakukan pembersihan secara total sampai ke registry karena Gnurbulf.B ini akan mencoba untuk merubah string userinit dengan mengganti lokasi file yang akan di load yakni dari C:\Windows\system32\userinit, menjadi C:\Recycled\svchost.exe.
Jika komputer anda terinfeksi Gnurbulf.B dan belum sempat membersihkan registry yang sudah dipermak oleh Gnurbulf.B, jangan terkejut jika begitu komputer anda melakukan restart [booting ulang] dan kemudian komputer tersebut tidak dapat logon ke Windows [selalu meminta konfirmasi user name dan password walaupun anda sudah memasukan user name dan password yang benar]. Hal ini disebabkan karena Windows mengalami kegagalan untuk memanggil file userinit.exe dimana kita ketahui bahwa file userinit.exe merupakan file utama yang akan di jalankan pada saat booting agar dapat logon ke Windows.
Sebenarnya anda bisa saja melakukan repair atau install ulang terhadap system komputer itu sendiri, tetapi hal ini akan memakan banyak waktu dan bukan solusi yang tepat. Sebenarnya ada satu cara yang dapat anda gunakan agar PC dapat kembali normal tanpa harus re-install yakni dengan mengembalikan string yang sudah diubah oleh virus tersebut pada string userinit dengan mengganti lokasi file yang akan di jalankan menjadi C:\Windows\system\userinit.exe.
Untuk memulihkan string userinit yang sudah diubah oleh virus sebenanya tidaklah terlalu sulit, anda hanya membutuh 2 file script dan startup disk [disket starup], karena kedua file tersebut akan dicopy melalui DOS Prompt, berikut langkah-lagkah yang harus dilakukan:
1.Buat 2 file script berikut pada program “notepad”
Copy sript dibawah ini kemudian simpan dengan nama FIX.REG
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
Catatan:
* Script ini digunakan untuk merubah string userinit yang sudah di ubah oleh virus
* Jika anda menggunakan windows 2000, ganti lokasi C:\Windows\system32 dengan C:\WINNT\system32
* Copy sript dibawah ini kemudian simpan dengan nama FIX.BAT
regedit /s c:\fix.reg
Catatan:
Script ini digunakan untuk menjalankan file FIX.REG
2. Setelah kedua script tersebut anda buat, langkah selanjutnya adalah copy file tersebut ke lokasi berikut:
* Fix.reg kopikan ke C:\
* Fix.bat kopikan ke C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Untuk mengkopi kedua file tersebut kedalam folder tersebut diatas anda membutuhkan startup disk, untuk membuat startup disk tersebut anda dapat menggunakan tools freeware seperti Avira's freeware NTFS driver via DOS boot disk, tools tersebut dapat di download di alamat:
http://www.free-av.com/antivirclassic/avira_ntfs4dos.html
Setelah software tersebut berhasil di download, install software tersebut di komputer yang bersih dari virus setelah itu anda langsung dapat membuat startup disk dengan hanya membutuhkan 1 disket.
Setelah berhasil membuat startup disk, copy kedua script yang baru di buat ke dalam disket tersebut [Fix.reg dan Fix.bat], kemudian boot komputer melalui Disket.
Setelah berhasil boot malalui disket selanjutnya copy file FIX.REG ke direktori C:\ dan FIX.BAT kedirektori C:\Documents and Settings\All Users\Start Menu\Programs\Startup.
Catatan:
Jika anda menggunakan startup disk Avira NTFS4DOS maka Drive C: [system] akan dianggap sebagai drive D:\ atau sebaliknya [untuk informasi lebih lanjut baca manual yang disertakan]
3. Setelah kedua file tersebut berhasil di copy kedirektori yang sudah ditentukan, langkah selanjutnya adalah ubah file Spoolsv.exe manjadi nama file lain [contoh: Spoolsv.eee] setelah itu copy file userinit.exe menjadi spoolsv.exe, hal ini disebabkan karena file spoolsv.exe merupakan file spooling printer yang akan dijalankan pertama kali sebelum user logon windows dan gunakan untuk memancing agar komputer dapat memunculkan Desktop Windows dengan tujuan agar file script [Fix.bat] yang di simpan di Startup menu dapat dijalankan, setelah windows berhasil menjalankan file script tersebut maka PC akan kembali ke logon screen [muncul konfirmasi untuk memasukan username dan password], jika anda mencoba untuk login ulang [memasukan username dan password] maka windows akan berjalan seperti biasa.
Catatan:
Jika setelah anda memasukan user name dan password tetapi Windows masih belum berjalan secara normal [tetap meminta konfirmasi untuk memasukan user name dan password], disarankan agar anda terus memasukan user name dan password sampai berhasil karena dibutuhkan waktu agar Windows berhasil menjalankan file userinit.exe tersebut.
4. Setelah komputer dapat berfungsi kembali, jangan lupa untuk menghapus file fix.bat [direktori C:\], reg.bat [direktori C:\Documents and Settings\All Users\Start Menu\Programs\Startup] dan rubah kembali file Spoolsv.exe yang sudah anda rubah agar printer anda dapat kembali digunakan.
5. Untuk membersihkan sisa-sisa string registry yang dibuat oleh Gnurbulf.B, copy script dibawah ini pada program “Notepad” kemudian simpan dengan nama “repair.inf” setelah itu jalankan dengan cara
o Klik kanan “repair.inf”
o Klik “Install”
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit,0, "C:\Windows\system32\userinit.exe,"
HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe"
HCR, Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe"
[del]
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKU, S-1-5-21-1454471165-1844237615-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
6. Untuk pembersihan optimal dan mencegah agar komputer tersebut tidak terinfeksi kembali, install antivirus yang sudha dapat mengenali virus ini dengan baik.
0 Komentar