1. Pembersihan Rontokbro sebaiknya dilakukan melalui “safe mode” karena jika mencoba pembersihan melalui mode “normal” komputer akan langsung restart begitu komputer dijalankan.
2. Hapus file yang dibuat olah virus
a. C:\Windows\INF
• NorBtok.exe
Atau C:\Windows\ShellNew
• Elnorb.exe
b. drive C:\Documents and settings\%Users%Local Settings\Application Data\
• Smss.exe
• Bron.tok-3-4
• csrss.exe
• inetinfo.exe
• lsass.exe
• services.exe
• winlogon.exe
• Update.AN.3.A.Bro.Tok.Tempo
• Bron.Tok.A3.em.BIN
• NetMailTmp.BIN
• BronFoldNetDomList.txt
• Update.3.Bron.Tok.BIN
• Kosong.Bron.Tox.BIN
c. drive C:Windows\%System%\
• 3D Animation.scr
• %User logon% Setting
d. drive C:\Documents and settings\%Users%Start Menu Programs\Startup\
• Empty.pif
e. drive C:\Documents and settings\%Users%Templates\
• A.Kotnor.B.COM
• Bararontok.COM
f. drive C:\Documents and settings\%Users%Local Settings\Application Data\
• Loc.Mail.Bron.Tok (Berisi alamat email yang telah diperoleh dari komputer yang terinfeksi)
• Ok-SendMail-Bron-tok (Berisi daftar email yang berhasil dikirimkan)
3. Untuk mengaktifkan kembali fungsi registry editor hapus value:
DisableRegistryTools =1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Untuk lebih mudahnya gunakan tools dari HijackThis, tools tersebut dapat
didownload dialamat :
http://www.spywareinfo.com/~merijn/downloads.html
Setelah dijalankan, cari option HKCU\Software\Microsoft\Windows\CurrentVersion\Policies, DisableRegedit=1, kemudian klik [Fix checked]
jika regedit (masuk ke regedit melalui start --> run) tidak bisa di buka, Gunakan program HijackThis untuk membuka blokir regedit.exe yang dilakukan oleh Rontokbro
di regedit, Hapus registri :
Bron-Spizaetus <-- pada registry key (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
Tok-Cirrhatus <-- pada registry key (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)
Disable CMD=0 <-- pada registry key (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System)
Untuk mengembalikan option [Folder option] pada windows explore, hapus string registry:
NoFolderOptions=dword:00000001 <--- pada registry key (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer)
4. Hapus opsi pada menu [Startup] pada msconfig
NorBtok
Smss
Empty
5. Hapus Schedule Task yang dibuat oleh W32/RontokBro.B
Buka [Windows Explorer]
Klik [Control Panel]
Klik 2 kali [Schedule Tasks]
6. scan computer MELALUI WINDOWS SAFE MODE anda menggunakan McAfee dengan update-an terbaru untuk menghilangkan sisa2 file yang ter-infeksi...
semoga membantu