Chaca the Silly Bonek yg suka bolos
Duhai cintaku, sayangku, lepaskanlah
Perasaanmu, rindumu, seluruh cintamu
Dan kini hanya ada aku dan dirimu
Sesaat di keabadian
Selain Ari Lasso yang tertarik berduet dengan BCL (Bunga Citra Lestari), rupanya para programmer virus banyak sekali yang ingin berduet dengan BCL. Bedanya kalau Ari Lasso berduet dengan BCL menghasilkan lagu indah dan sebaliknya pembuat virus berduet dengan BCL (mencatut nama BCL) menyebarkan virus maut. Nama BCL memang sangat menjual dan sangat banyak digunakan oleh pembuat virus untuk memancing korbannya menjalankan virus. Salah satunya adalah virus Bonek yang lebih dikenal dengan nama love-chaca yang memalsukan diri sebagai file gambar JPEG dengan nama “Bikini Bunga Citra Lestari” (lihat gambar 2).
Jika anda sering menonton pertandingan sepakbola, tentu sudah familiar dengan kata “Bonek” yaitu singkatan dari “Bondo Nekat”. Bonek yang diidentikkan sebagai sekelompok pendukung (suporter) sepakbola bermodal nekat (tongpes alias kantong kempes) dari kota “Pahlawan” Surabaya.
Kini, anda perlu berhati-hati karena telah menyebar virus bonek love chaca (school is hell). Dengan update terbaru Norman Virus Control mendeteksinya sebagai W32/SillyFDC.F.
Virus ini sulit untuk di matikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Selain itu, virus ini dapat menghapus file executable (*.exe) yang dianggap dapat membahayakan dirinya, khususnya jika kita sudah terinfeksi kemudian berusaha untuk mematikan proses virus tsb.
Jika anda tidak ingin terinfeksi oleh virus tsb, maka waspadalah terhadapa jenis file virus ini yang menggunakan icon gambar Jpeg, berukuran sekitar 122 kb dan bertype file application, karena system penyebaran virus ini begitu mudah dengan mengandalkan system autoplay windows sehingga mudah menyebar melalui media USB Flash. (lihat gambar 2)
Jika dijalankan (baik secara sadar atau tidak sadar oleh user), maka virus akan membuat sebuah file yaitu “school is hell.doc” pada my documents yang berisi sebagai berikut :
Ya Allah Ya Tuhan Kami
Engkau Yang Maha Pengasih lagi Penyayang
Berikan kami kesabaran, ketabahan dan keikhlasan selalu
Untuk bersabar, lapang dada dan percaya
Pada apa yang dikatakan oleh semua orang
Kalau untuk sekolah harus keluarkan banyak biaya
Kalau untuk belajar kita harus rela mendapat hukuman
Kalau untuk pintar harus bersedia disiksa
Ya Allah
Memang hidup harus disangga dengan harapan
Tapi mampukah kami untuk tidak berputus asa
Jika sekolah hanya melahirkan perbudakan
Ya Allah
Ajarilah kami untuk selalu percaya dengan ucapan alim ulama
Yang selalu memberi janji kalau orang miskin bukan disini kemenangannya
Berikan kami kesabaran pada janji-janji penguasa
Yang sering mengatakan kalau pendidikan akan menjadi prioritas kebijakannya
Anugerahilah kami ketabahan untuk tidak melakukan pemberontakan
Pada mereka yang kejam dan sewenang-wenang
Ya Allah
Teguhkan hati kami untuk tidak mudah berhamba pada kekayaan dan ketenaran
Amin
File Penunjang Virus
Untuk mempertahankan dirinya, ia akan membuat beberapa file virus yang akan dijalankan setiap kali komputer dinyalakan/restart komputer. Beberapa file virus tsb diantaranya yaitu :
Ø C:\WINDOWS\W90F87Z70V.exe
Ø C:\WINDOWS\system32\A75H74K65J.exe
Ø C:\WINDOWS\I89W73Y87L.exe
Ø C:\WINDOWS\system32\Y68S82D89R.exe
Sebagai penunjang file tsb, ia akan membuat beberapa string pada registry yang diantaranya :
Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon
· Userinit = C:\windows\system32\userinit.exe, c:\documents and settings\localservice\local settings\spoolsv.exe
· Shell = explorer.exe C:\documents and settings\localservice\local settings\svchost.exe
· System = C:\Documents and Settings\LocalService\Local Settings\mencerdaskan_Bangsa.exe
Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
· Load = c:\documents and settings\%user%\local settings\application data\csrss.exe
Ø HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AEDebug
· Debugger = C:\Documents and Settings\LocalService\Local Settings\Application Data\lsass.exe
Ø HKEY_CURRENT_USER\Software\Microsoft\Command Processor
· Autorun
Aktif pada Service
Selain itu, ia pun aktif pada service windows dengan membuat string berikut :
Ø Black Parade = C:\WINDOWS\F71B70G66D.exe
Ø Heroes City = C:\WINDOWS\system32\S75T69K83E.exe (lihat gambar 3)
Proteksi File Eksekusi
Untuk memproteksi dari file-file executable, ia membuat string pada registry agar file executable seperti *.exe, *.scr, *.bat, *.pif, *.com, justru malah menjalankan file virus, diantaranya yaitu :
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Ø HKEY_CLASS_ROOT\exefile\shell\open\command
· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
Ø HKEY_CLASS_ROOT\batfile\shell\open\command
· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
Ø HKEY_CLASS_ROOT\comfile\shell\open\command
· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command
Ø HKEY_CLASS_ROOT\scrfile\shell\open\command
· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
Ø HKEY_CLASS_ROOT\piffile\shell\open\command
· (Default)="C:\WINDOWS\system32\S75T69K83E.exe" "%1" %*
Aktif pada Mode safe mode
Ia pun dapat aktif dalam mode normal maupun safe mode, untuk itu ia membuat string berikut :
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
· AlternateShell=C:\WINDOWS\need-Education.exe
Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot
· AlternateShell=C:\WINDOWS\need-Education.exe
Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot
· AlternateShell=C:\WINDOWS\need-Education.exe
Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot
· AlternateShell=C:\WINDOWS\need-Education.exe
Disable Fungsi Windows
Seperti pada umumnya virus-virus lokal, seperti biasa akan menonaktifkan beberapa fungsi windows. Beberapa fungsi windows yang di blok, yaitu :
- Hidden Drive USB
- Disable Find
- Disable Run
- Disable Registry Editor
- Disable Task Manager
- Disable Command Prompt
- Disable Control Panel
- Disable Explorer Context Menu
- Disable Taskbar Context Menu
Mengalihkan fungsi program menjadi Notepad
Seperti halnya virus pada umumnya, ia akan mengalihkan beberapa fungsi dari program aplikasi dan windows, seperti :
- Msconfig.exe (System Configuration Utility)
- Mmc.exe (Computer Management)
- Regedit.exe (Registry Editor)
- KillVB.exe (Program untuk mematikan aplikasi Visual Basic)
- Rstrui.exe (System Restore)
- Tskmgr.exe (Task Manager)
- Wscript.exe (Windows Scripting Host)
Mengubah Properties System
Untuk hal tsb, ia akan membuat string pada registry :
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
· RegisteredOrganization=Source of Scream
· RegisteredOwner=Heroes
Serta membuat file oemlogo.bmp dan oeminfo.ini pada C:\WINDOWS\system.
Mengubah Tampilan Folder Options
Fungsi folder options memang tidak di blok, tetapi justru diubah sehingga tetap saja tidak dapat digunakan dengan baik. (lihat gambar 5)
Untuk hal ini dibuat string sebagai berikut :
Ø HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
· Text=h3r035 - love Chaca
Ø HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
· ClassicViewState, Type =
· ControlPanelInMyComputer, Type =
· DesktopProcess, Type =
· DisableThumbCache, Type =
· FolderSizeTip, Type =
· FriendlyTree, Type =
· Hidden, Type =
· HideFileExt, Type =
· NetCrawler, Type =
· PersistBrowsers, Type =
· ShowCompColor, Type =
· ShowFullPath, Type =
· ShowFullPathAddress, Type =
· ShowInfoTip, Type =
· SimpleSharing, Type =
· SuperHidden, Type =
· Thickets, Type =
· WebViewBarricade, Type =
Block website security
Virus ini pun akan mencoba blocking terhadap beberapa website security, dengan cara merubah host file di komputer korban. Berikut hasil file host yang di ubah :
# Sepurane cak, nunut nyangkruk
127.0.0.1 www.vaksin.com
127.0.0.1 vaksin.com
127.0.0.1 www.jasakom.com
127.0.0.1 jasakom.com
127.0.0.1 www.vb-bego.com
127.0.0.1 vb-bego.com
127.0.0.1 www.sysinternals.com
127.0.0.1 sysinternals.com
127.0.0.1 www.avast.com
127.0.0.1 avast.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 www.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.norman.com
127.0.0.1 norman.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.secunia.com
127.0.0.1 secunia.com
127.0.0.1 www.zonelabs.com
127.0.0.1 zonelabs.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.free-av.com
127.0.0.1 free-av.com
127.0.0.1 www.neuber.com
127.0.0.1 neuber.com
127.0.0.1 www.bleepingcomputer.com
127.0.0.1 bleepingcomputer.com
127.0.0.1 www.iknowprocess.com
127.0.0.1 iknowprocess.com
127.0.0.1 www.kaspersky.com
127.0.0.1 kaspersky.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.friendster.com
127.0.0.1 friendster.com
127.0.0.1 www.yahoo.com
127.0.0.1 yahoo.com
127.0.0.1 www.google.com
127.0.0.1 google.com
127.0.0.1 www.google.co.id
127.0.0.1 google.co.id
Terakhir, jika kita akan membuka Internet Explorer, maka akan muncul peringatan seolah-olah komputer kita akan di format. Hal ini dibuat virus dengan string sebagai berikut :
Ø HKCU\Software\Microsoft\Internet Explorer\Main
· Start Page = C:\Windows\system32\error.htm
· Window Title = i lov u chaca
Cara Mengatasi W32/SillyFDC.F :
Karena sulitnya melakukan pembersihan baik melalui normal maupun safe mode, maka ada beberapa langkah yang bisa anda pilih.
- Anda bisa melakukan pembersihan dengan menjadikan drive/harddisk yang terinfeksi menjadi slave (sebelumnya anda bisa merename file msvbvm60.dll pada direktory C:\Windows\System32, menjadi file yang anda inginkan yang nantinya anda bisa rename kembali seperti semula jika virus sudah terhapus), untuk kemudian dilakukan proses scanning dengan antivirus yang ter-update atau dengan melakukan penghapusan secara manual.
Untuk itu anda bisa menggunakan fitur searching di Windows untuk menghapus secara manual file-file virus yang sudah ada dengan ciri-ciri :
- Ukuran file 122 kb
- Berextension *.exe
- Bertype file Application
Tampilkan folder WINDOWS yang di hidden dengan menggunakan dos command prompt
§ Klik [start]
§ Klik [run]
§ Ketik [cmd]
§ Pada dos prompt, ketik perintah attrib -s -h /s /d, kemudian tekan enter [sebelumnya pastikan anda berada pada direktori C:\WINDOWS], contoh C:\WINDOWS>attrib -s -h /s /d
§ Untuk mengambalikan file yang disembunyikan di drive lain, lakukan langkah di atas tetapi sebelumnya anda ganti terlebih dahulu lokasi drive yang akan di cek [contoh D:\>attrib -s -h /s /d]
- Cara yang kedua yaitu bisa dengan menggunakan Linux Live CD seperti Knoppix/Ubuntu.
Anda bisa melakukan pembersihan virus sama seperti langkah-langkah diatas yaitu dengan mencari file virus yang berukuran file 122 kb, berextension *.exe dan bertype application.
- Cara yang ketiga yaitu dengan menggunakan Windows Live CD/Bart PE/Mini PE, dengan melalui Live CD tsb kita dapat melakukan pembersihan sekaligus melakukan repair registry yang dibuat oleh virus.
Pembersihan virus tsb tidak jauh berbeda dengan langkah-langkah diatas, hanya saja dapat kita sertai dengan repair registry yang telah dibuat oleh virus (seperti halnya membuka registry editor melalui Windows).
String yang perlu kita ubah yaitu pada :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon
· Userinit = C:\windows\system32\userinit.exe
· Shell = explorer.exe
· System =
Ubah string registry yang terinfeksi menjadi string registry seperti diatas.
Jika sudah diubah, maka restart komputer anda, dan bisa melakukan booting melalui harddisk anda yang sudah di bersihkan dan di repair registry-nya.
Kemudian lakukan repair registry kembali untuk mengembalikan setingan windows menjadi normal. Copy script dibawah ini dengan program notepad, kemudian save as dengan nama repair.vbs (ubah save as type menjadi all types). Kemudian jalankan dengan dobel klik file tsb.
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system",""
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Windows\system32\userinit.exe,"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
RegisteredOrganization","Your Organization"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger",""
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\","
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
NoControlPanel")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\Command Processor\Autorun")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\msconfig.exe")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\regedit.exe")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\killvb.exe")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\mmc.exe")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\rstrui.exe")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\tskmgr.exe")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Executions Options\wscript.exe")
oWSH.RegDelete ("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt")
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper ",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\BackupWallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Themes\LastTheme\Wallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrenTVersion\Windows\Load",""
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE",""
oWSH.Regwrite "HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper",""
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.com"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title")
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
ClassicViewState\Type","group"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
ControlPanelInMyComputer\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
DesktopProcess\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
DisableThumbCache\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
FolderSizeTip\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
FriendlyTree\Type","checkbox"
oWSH.Regwrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\Type","group"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
HideFileExt\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
NetCrawler\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
PersistBrowsers\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
ShowCompColor\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
ShowFullPath\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
ShowFullPathAddress\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
ShowInfoTip\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
SimpleSharing\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
SuperHidden\Type","checkbox"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Thickets\Type","group"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\WebViewBarricade\Type","checkbox"
Catatan:
- JIka komputer anda menggunakan Windows NT/2000, ubah script berikut:
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Windows\system32\userinit.exe,"
Menjadi
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit","C:\Winnt\system32\userinit.exe,"
- Hapus alamat URL yang sudah dibuat oleh W32/SillyFDC.F pada Host file Windows [C:\Windows\System32\Drivers\Etc\Host]
Untuk mempermudah proses penghapusan anda dapat menggunakan tools “HOSTER”, tools ini dapat di download di alamat http://www.funkytoad.com/download/HostsXpert.zip
0 komentar: on "virus bikini bunga citra lestari"
Post a Comment
Thank's ya.. udah mau baca..
Jangan Lupa Tulis Komentarnya dong.. biar blog ini lebih maju..