1.       Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2.       Jika menggunakan Windows ME/XP, matikan System Restore untuk sementara selama proses pembersihan

3.       Matikan proses virus yang sedang aktif di memori, untuk mematikan proses tersebut anda dapat menggunakan tools pengganti Task Manager seperti  “Security Task Manager”, kemudian matikan proses virus dengan nama

• Rose-43A
• Hapus file induk yang dibuat oleh virus, karena file induk yang dibuat oleh virus ini akan disembunyikan anda dapat menggunakan tools “Security Task Manager” agar dapat langsung menuju lokasi file induk tersebut,  dengan cara:

o        Klik kanan proses virus [Rose-43A]

o        Klik [View this Folder] (lihat gambar

Kemudian hapus file yang berada didirektori:

o        C:\windows\system32\12053

§         lsass.exe

§         svchost.exe

§         Autoexec.bat

§         Data.exe

§         Data.zip

§         Lsass.exe

§         Rose.jpg

§         Msvbvm60.dll

§         Rose.dll

§         Svchost.exe

Hapus juga file berikut:

o        C:\rose.jpg

o        C:\private.zip [disetiap partisi Hard Disk]

o        C:\New Folder.exe [disetiap partisi Hard Disk]

o        C:\Windows.exe

o        C:\Documents and Settings\%User%\MyDocuments\myrose.html

o        C:\ Wndows\system

§         Oeminfo.ini

§         Oemlogo.bmp

4.       Hapus string yang dibuat oleh virus pada registry editor, untuk mempercepat proses penghapusan kopi script di bawah ini pada program “notepad” kemudian simpan dengan nama “repair.inf” setelah itu jalankan file tersebut dengan cara:

o        Klik kanan “repair.inf”

o        klik “Install”

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,RsWin

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winup

HKLM, softwARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntvdm.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, Software\Microsoft\Command Processor,Autorun

HKLM, SOFTWARE\Classes\exefile,NeverShowExt

Catatan:
setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut:

• Userinit = C:\windows\system32\userinit.exe,C:\windows\system32\12053\lsass.exe,

Kemudian hapus value C:\Windows\system32\12053\lsass.exe pada  string Userinit

5.       Hapus file duplikat yang dibuat oleh virus dengan cirri-ciri

o        Ukuran 56 KB

o        Icon “Folder”

o        Type file “Application”

Catatan:

jika ada sebagian program/aplikasi tidak dapat dijalankan sebaiknya anda re-install program/aplikasi tersebut karena virus ini akan berusaha untuk menghapus file executable dari setiap program/apliaksi.

6.       Tampilkan kembali folder Windows yang sudah disembunyikan oleh Virus dengan cara

o        Klik [start]

o        Klik [run]

o        Ketik [cmd], kemudian tekan enter

o        Setelah layar command prompt muncul, pastikan kursor berada pada direktori C:\, kemudian ketik perintah :

Attrib –s –h C:\Windows , kemudian tekan enter

Mengembalikan folder Windows yang disembunyikan oleh virus

7.       Anda dapat mempermudah tugas anda dengan menggunakan Norman Virus Control yang sudah dapat mendeteksi MyRose sebagai W32/VBWorm.NA. Scan dan bersihkan semua file yang terdeteksi sebagai W32/VBWorm.NA. Selain itu, Norman juga dapat mencegah komputer anda terinfeksi ulang MyRose dan membersihkan virus ini dari UFD, disket maupun jaringan.

Jika komputer kita terserang virus memang menjengkelkan, penyebab /sumbernya beragam, mulai dari media penyimpanan external seperti flash disk, floppy disk, hingga perilaku browsing yang “kurang wajar” , maksudnya sering browsing – browsing situs “aneh” ya jangan terkejut kalau juga mendapatkan hasil yang “aneh”

Langkah – langkah disini saya paparkan berdasar pengalaman saya dan tanya sana-sini . Selain itu biar memudahkan saya memberikan link klo ada yg tanya-tanya melalui YM tentang membersihkan komputer dari virus . Secara umum dibagi menjadi 5 jenis / tahap “pembersihan” (sebenarnya ada 6 tapi yang keenam rasanya tidak dapat dikategorikan sebagai pembasmian virus)

1. Scan PC menggunakan antivirus kita,
- Update antivirus kita
- Disable fungsi System Restore Windows
- Restart, masuk safe mode.
- Scan komputer kita melalui safe mode
- Setelah selesai, restart, dan jangan lupa aktifkan kembali fungsi System Restore Windows

masih ada virus???

2. Scan PC kita menggunakan antivirus online.
- Disable fungsi System Restore Windows
- Restart, masuk Safe Mode With Networking (agar kita tetap bisa akses inet didalam safe mode)
- Scan menggunakan antivirus online, misalnya: http://security.symantec.com/ (rata2x antivirus online hanya support browser Internet explorer)
- Setelah selesai, restart, dan jangan lupa aktifkan kembali fungsi System Restore Windows

masih ada jugaaa???

3. Memeriksa secara manual
- Ctrl + Alt + Del (task manager)
- Pada task manager lihat aktivitas mencurigakan dari file2x yang bekerja di background (biasanya berekstensi .dll atau .exe)
- Jika ditemukan, tandai dan cari informasi dimana letak file “tersangka” ini
- Jika sudah didapat, restart, masuk ke Safe Mode.
- Dari safemode hapus file mencurigakan tadi

bingung / tidak menemukan file mencurigakan? (biasanya kalau terlalu banyak program)

4. Memeriksa Startup Manager
- Start -> Run -> msconfig
- Pada jendela msconfig kita periksa, file startup mana yang terlihat janggal, disable saja, kalau perlu dihapus (gunakan metode no. 3)

kok masih ada???

5. Memeriksa System Registry kita
Cara ini yang paling melelahkan, meskipun ada softwarenya, namun jika kita salah menggunakan, bisa fatal akibatnya bagi kestabilan system.

Waduh.. masih ada juga…

Langkah terakhir…… install ulang system operasi kita