Suatu ketika.... di kala itu...

(Mindahin isi blog) dulu komputer ku kena virus... mengolah 2 blog sekaligus lumayan rumit... makannya sekarang ku satukan saja di blog ini.

Hari ini Jumat jam2 pagi
Komputer (nulis komputer kelamaan, ditulisan ini bakal ku singkat *pc*), pc rumah aku terserang sebuah virus yang bernama
~angel berukuran +/- 1,4Mb dengan kelengkapan program utama virus itu sendiri,dan sebuah file html bertuliskan surat_buat_presiden (makjar!! presiden aja gak bakal ngeliat surat pencipta virus, dengan komputer highend disertai antivirus mumpuni yang sepertinya beliau miliki), dan apabila pc kita sudah terinfeksi dengan parah oleh virus ini, walhasil akan menjalankan program pemutar film klm_mega_code_pack secara otomatis dan windows akan tershutdown secara otomatis setelah program antivirus yang tidak pernah saya update dijalankan saat startup.

Virus ini juga memperbanyak diri pada setiap drive yang ada pada setiap partisi hardisk yang anda miliki di-PC-rumah anda. Anda dapat melihat langsung virus ini di pc anda apabila memiliki program gratisan yaitu total_comander_v6.53 dalam tulisan ini disingkat TC_6.53, saat menjalankan program ini anda akan melihat deretan huruf yang mencirikan (merepresentasikan) setiap partisi hardisk serta dvd, cd, floppy di pc anda dan apabila hardisk yang terinfeksi ditelusuri pada pc yang sehat dan tentunya dengan TC_6.53, file program utama virus ~angel berekstensi exe_cutable *program cantik yang mematikan -cute-* yang berada di partisi tempat anda menginstall operating_system akan memiliki icon windows_messenger sedangkan di partisi lain hanyalah icon folder yang berekstensi exe_cutable dan apabila tidak hati-hati dan dengan rasa penasaran anda yang sangat tinggi untuk dengan semangat menekan tombol tetikus anda dua kali, seketika itulah anda akan berniat untuk bertemu dengan saya ditulisan ini.

Beruntung saya memiliki seorang teman yang memiliki laptop dengan program antivirus McAfee versi terbaru, untuk mendeteksi antivirus dari hardisk pc yang saya miliki.

Setelah begadang semalaman dan si McAfee mendeteksi hanya satu file utama ~angel_dot_exe di partisi tempat saya menginstall operating_system, dan setelah saya tekan fix di McAfee, hasilnya adalah deteksi virus itu sebagai sebuah virus yang bernama adware-savenow di program vvsn yang bukan virus yang saya harapkan dapat terdeteksi oleh antivirus teman saya..

saya mulai berkonsultasi dengan mas google, dan didapatkanlah beberapa blogspot yang membahas mengenai suatu program antivirus dalam negeri PCMAV_RC_23 (PCMAV RC 23) moga2 dengan penulisan ini akan memudahkan mas google untuk membantu pengguna internet dalam negeri mendapatkan solusi dari masalah mereka. Yang bikin BT dari beberapa blogspot itu, adalah ketidaklengkapan informasi mengenai tambahan database virus dari clamAV untuk mengoptimalkan kinerja pcmav (jadi kewarnet 2x deh....),

berikut ini adalah beberapa kata kunci dan link untuk menuntaskan browsing kita apabila menggunakan telkomnet_instan (teman yang baik) :
-belilah PCmedia untuk mendapatkan program antivirus PCMAV_RC_23
-berkonsultasilah kepada mas google untuk mendapatkan antivirus itu
-berkunjunglah ke
http://downloads.sourceforge.net/visualsynapse/TClamav.0.1.1.zip
-kemudian berkunjunglah ke
http://db.local.clamav.net/daily.cvd
langkah ketiga dan keempat bertujuan untuk mendapatkan library (perpustakaan dari sebuah program yang memuat daftar dari berbagai jenis virus yang sudah dapat terdeteksi oleh duet maut antivirus ini)
Tujuan dari 4langkah diatas adalah untuk mendapatkan 6file
1. PCMAV-CLN.exe ==> dari paket PCMAV di CD/DVD PC Media
2. PCMAV-RTP.exe ==> dari paket PCMAV di CD/DVD PC Media
3. README.TXT ==> dari paket PCMAV di CD/DVD PC Media
4. libpclamav.dll ==> hasil download
5. main.cvd ==> dari paket ClamAV di CD/DVD PC Media
6. daily.cvd ==> hasil download
yang dapat mengoptimalkan kinerja PCMAV_RC_23 seandainya anda tidak menggunakan CLAMAV. langkah kerjanya akan sangat jelas dijabarkan pada file PCMAV_RC_23.zip yang anda unduh dari beberapa blog yang diberikan oleh mas google (sekali lagi saya sarankan untuk membeli barangnya langsung *majalah PCmedia* yang sudah menyertakan langsung cd/dvd berisikan file antivirus tersebut).

Kekurangan dari pcmav buat saya adalah tidak bisa mendeteksi virus yang berada dalam format kompresi data seperti rar yang saya gunakan untuk mengirimkan virus yang menginfeksi pc saya, dan kewajiban untuk mematikan restore point dari drive pc. Dahulu saya pernah mematikan restore point dan tidak bisa dinyalakan kembali, sehingga anjuran PCMAV untuk mematikan restore point untuk menuntaskan virus tidak saya patuhi... ok sekian, selamat mencoba.

whue hue hue... ternyata cara diatas masih tidak bisa mendeteksi sang ~angel yang dengan anteng nongkrong di HD pc aku.
Jadi aku lakuin cara manual (ultra super duper coepoe)... pertama ku analisa startup windows, dari pada langsung mengeksekusi shredder di setiap file system32 yang terinfeksi oleh ~angel ini. Harapan dari langkah ini adalah untuk memberi kesempatan antivirus melakukan loading dan mengamankan HD, keparnoan selanjutnya adalah untuk meng-holocaust-kan segala sesuatu yang berbau windows messenger dan icon2nya untuk mengurangi potensi tumbuh dan berkembangnya ~angel. Tambahan dari langkah ini adalah untuk meletakkan sebuah file exe-cute-able dari pcmav-rtp real time protector di folder startup... semoga dapat menyala secara otomatis dengan ditambahkan juga di regedit (yang karena penulis masih nuuuuubie, langkah ini tidak bisa dilakukan di HD yang digunakan sebagai removable_drive :@)
What a ressilient virus... i've no idea how to deal with this one
I can loggin, my antivirus software loading after loggin, and suddenly, windows shutdown again, even if i go to safe mode
Then try harder


ok ok... now is the english version on how to remove this virus manually....
unfortunately i can't get the file on sendspace.... thanks for ansav people

this Virus detected by NOD32 as W32/Surubat.A.worm, but with AVG detected as TrojanBackdoor.Generic4.PBS

Virus Character :
-it blocked CMD, regedit.
-Hiding application file (exe) and replacing it with a fake file (eXe .. with a capital X) with a file name and icon as same as the original file, with the other (real file) icon replaced by an icon similar to mediap_layer_ icon
-It Shutdown your computer , or making a BSoD event when we opened msconfig, taskbar properties or when running your antivirus
-Still active when we are on SafeMode
-Virus activity cannot be seen on Task Manager
-Creating a file named SuratBuatPresiden.htm on drive C:
-Creating a file named msmsgs.exe with icon icon media p_layer_ on startup menu
-Creating a file fixed.exe, ziprar.exe on Windows folder
-Creating a file named angel.exe on Windows System32 folder
etc..

To clean this virus it's not so difficult (but i can't get the file, because it's allready deleted, so please give me some information on it).... It need a reflex on clicking our mouse button.
These are the list of file that i missed, to scan my system
We must placed the file in an easy to access place on our system (desktop, flashdisk, or out from folder) :
- RegRepair.inf on http://www.sendspace.com/file/hn5tlk (has been missing)
- RemoveAttrib.Bat on http://www.sendspace.com/file/5n521w (has been missing)
- NOD32 Portabel on http://www.sendspace.com/file/gx4mb2 (has been missing)

How to use :
- execute file RepairReg.inf by clicking it then hit install to open the blocked CMD and show the hidden file.
- execute file RemoveAttrib.bat to normalize the file attribute of the hidden file.
- execute file NOD32 Portabel then with reflex, quickly hit the button Scan&Clean...choose delete as fast as possible when a virus is detected.
- when scanning is in proggress, your computer might shut down automaticaly...
- Do those step one more time for the second stage cleaning... on this process your computer will not be shut down because the main virus has been deleted.
- If the virus had be fully cleaned, run RepairReg.inf... again, copy dan execute RemoveAttrib.bat on the infected folders where the virus replicating it self to normalize the file attribute that might be still hidden.

so now let's try it again