Remove virus AMBURADUL (all varian)

They never been stop spreading their knowledge…. and we also never let them alive forever. This is the article how to remove amburadul virus for all varian no need for antivirus program you can simply clean it using manual technique.

The simple way to know if your computer infected by this virus is you will see JPEG files with aplication extension. Now let’s start to remove it!

1. Unplug your infected computer from your network to stop this virus spreading.
2. Disable “System Restore” when in cleaning process.
3. Kill the virus process using power tools “currprocess” kill all process with icon JPG.
4. Repair your registry that already changed by the virus using this code:

[Version]
Signature=”$Chicago$”
Provider=Nobody

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title,
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableSR
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Britney Spears
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA

5. Delete the master virus in %systemroot%\system32\~A~m~B~u~R~a~D~u~L~ before you do this you have to make hiden files become visible.
Then deleted this file list:

csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
Drive:\Autorun.inf
Drive:\FoToKu xx-x-*.exe, where x show the date when virus active
Drive:\Friendster Community.exe
Drive:\J3MbataN K4HaYan.exe
Drive:\MyImages.exe
Drive:\PaLMa.exe
Drive:\Images

To make sure your computer clean you can check scan your computer using your favorite antivirus programs.
Done, have a nice day

If you're new here, you may want to subscribe to my RSS feed. You may copy or publish this article to your blog or other site as long you give credit link back to this site article. Thanks for visiting my blog!

This entry was posted on Monday, July 21st, 2008 at 6:02 am and is filed under Computer And Internet, Tips & Trick. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

20 Responses to “Remove virus AMBURADUL (all varian)”

sari Says:
July 21st, 2008 at 2:14 pm
makasih artikelnya comp saya kena virus ini dan sudah dibersihkan
bahar Says:
July 22nd, 2008 at 5:18 am
warnet saya juga kena ini virus akhirnya bisa dibasmi juga hehe btw salam kenal
juned Says:
July 24th, 2008 at 3:11 am
wah baru tau saya nih mas.., ada virus baru..
harianku Says:
July 24th, 2008 at 3:12 am
makasih tips nya mas.., tak coba dulu yah..
Istanto Says:
July 24th, 2008 at 5:30 am
ini virus gak baru2 amat kok cuman kebetulan kemarin warnet saya kena jadinya saya tulis disini cara ngatasi virusnya
Busby SEO Challenge Says:
August 11th, 2008 at 4:27 am
Hi nice work! Good luck.
eko hadi sulistyo Says:
August 19th, 2008 at 9:16 pm
Saya sudah coba melakukan semua petunjuk diatas untuk menghilangkan virus amburadul, namun setelah saya restart laptop saya, virus muncul lagi, bahkan antivirus yang semua saya instal dan up to date, lenyap semua. Bagaimana cara mengatasinya, tolong ya mas…., saya tunggu jawabannya secepatnya.

Salam Eko
Istanto Says:
August 20th, 2008 at 2:03 pm
kemungkinan mas eko terkontaminasi dengan virus alman yang menyerang file ber-ektensi .exe coba download norman antivirus atau antivirus yang bisa mendeteksi virus alman ini lalu scan total laptop+flash disk(jika menggunakan) baru mulai proses pembersihannya. sekedar saran saja, saya kemarin membersihkan virus amburadul ini cuma menggunakan tool dari ANSAV tanpa masalah yang berarti.

semoga berhasil
Eko Hadi S Says:
August 22nd, 2008 at 2:19 am
Terima kasih mas jawabanya, saya sudah lakukakan pakai AVG 8, PCMAV 1.6, ANSAV dan aktual yang terjadi semua virus bersih baik di drive C, D dan Flash disk, virus alman juga terdeteksi. Namun yang saya heran setelah saya restart, semua anti virus yang saya install hilang dan struktur file pada laptop saya kembali seperti pada saat saya hidupkan sebelumnya. (pakai anti virus norman belum saya coba)
singkatnya begini : saya lakukan instruksi seperti diatas, anti virus dapat diinstall saya scan sampai bersih, file-file di dokument saya hapus atau beberapa file/folder saya hapus. namun setelah saya restart, semua kembali. jadi seolah-olah susunan file dan virus-virus itu tetap muncul seperti semula setelah direstart. Saya sampai stress berat…., jika sampean alamatnya sekitar surabaya saya akan datang minta tolong. Bagi teman2 atau siapa saja yang dapat memberikan saran saya tunggu jawannya.( Asal jangan dulu di install ulang ). Thanks berat
Istanto Says:
August 22nd, 2008 at 2:33 pm
DH mas eko, sepertinya virus itu kembali karena masternya masih ada atau dia masih memiliki autorun file yang mengeksekusi jadi setiap komputer restart virus itu kembali membentuk strukturnya lagi, apalagi kalau terkontaminasi dengan virus lain memang harus teliti membersihkannya. coba di perhatikan bagian windows startup atau service biasanya virus2 mencoba cover dirinya pada bagian itu… oh ya saran saya sebaiknya bersihkan dulu virus alman-nya kalau sudah yakin alman bersih baru mulai pembersihan virus amburadul-nya

yang perlu diperhatikan mungkin:
1. service system restore selama pembersihan tolong di non aktifkan.
2. yakinkan komputer tidak terinstall program semisal deepfreeze atau imaging yang setiap restart akan mengembalikan ke kondisi awal.
3. cek windows startup atau service yang start setiap windows aktif.
4. perhatikan dan hapus file autorun.inf yang biasanya di jadikan senjata utama sebagai generator virus di indonesia umumnya kebanyakan memanfaatkan dari root drive misal di c:\ d:\ dan yang paling banyak kasusnya adalah dari flashdisk.
5. jangan menggunakan flashdisk sementara waktu untuk memastikan darimana awal sumber virusnya kalau komputer bersih lalu di masukkan flashdisk terinfeksi lagi jelas masalah utamanya ada dari flashdisk.
6. kalau bisa selama proses pembersihan jangan membuka aplikasi lain yang tidak penting.

Kalau mas eko tidak berhasil juga mungkin bisa kontak ahli komputer di sekitar surabaya saya gak bisa bantu coz saya lokasinya di malang…
Eko Hadi S Says:
August 23rd, 2008 at 1:50 am
Thanks berat, Laptop saya memang ada deepfreeze. Nanti akan saya coba petunjuk sampean diatas, jika boleh tahu alamatnya Malang mana, tolong sms saja di 0358-7648650. Jika saya sudah mencoba saran-saran dari sampean tetap belum dapat, saya mau minta tolong dengan datang ke tempat sampean sekalian kenalan. Saya posisi di Nganjuk jadi jaraknya dari Surabaya atau Malang hampir sama. Satu lagi informasi yang saya berikan, Laptop saya seolah-olah hanya bekerja di memori saja, jadi saat saya simpan file, hapus file atau folder, install program dll, setelah restart akan kembali kestruktur semula. Atas perhatian sampean saya sampaikan banyak2 terima kasih.
Istanto Says:
August 26th, 2008 at 4:40 pm
deepfreeze-nya di matikan dulu mode THAWED baru di bersihkan virusnya yang pertama alman dulu lalu amburadul, kalau sudah selesai di restart komputernya YAKINKAN virusnya sudah hilang baru deepfreeze di aktifkan lagi. masalahnya simple saja kok balik karena ada deepfreeze itu meskipun di bersihkan berjuta-juta kali kalau saat prosesnya deepfreeze masih aktif nggak bakal pernah bisa bersih.

OK gitu aja nggak perlu kemalang sih sebenarnya buat bersihin itu he he kalau mau kenalan aja boleh kok
danang Says:
September 8th, 2008 at 12:43 am
utk enabling regedit? currproses ga bisa dijalankan

mohon inpo
Istanto Says:
September 9th, 2008 at 10:51 pm
untuk enable regedit dengan cara kasar(tidak disarankan, use at your own risk) bisa menggunakan cara berikut:

start > run > cmd > ketik:
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

konfirmasi Yes

Kalau command prompt juga di block bisa menggunakan cara alternatif, simpan code di bawah dengan sembarang nama tetapi menggunakan ekstensi .reg lalu double click.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=dword:00000000
Edu Says:
October 6th, 2008 at 5:25 am
Mas Istanto yang baik hati…Saya punya masalah tentang virus Amburadul terutama yang Amburadul.B…
Saya udah coba semua cara diatas…
Tetapi ada masalah yang saya temui..
Saya sudah jalankan cproses lalu mematikan virus tsb, lalu kenapa kok:
1. regedit, cmd maxi di disable xma administrator(itu karena virusnya kan?) Lalu saya harus gimana?
2. Saya sudah coba pakai cara yang save pakek format .reg, tetapi tetap registry di’disable’kan oleh virus.. Administrator do control panel juga sudah di blok…
Mohon Pencerahan…..
Saya tunggu balasannya…
istanto Says:
October 6th, 2008 at 10:15 am
DH bpk Edu,
Varian amburadul.A atau amburadul.B sebenarnya tidak jauh berbeda.. semuanya bisa di atasi dengan cara diatas asal di ikuti dengan baik pasti bisa.

1. Untuk memperbaiki problem registry yang di rubah virus cukup gunakan kode di atas di save as repair.inf atau nama apa saja yang penting extensi-nya .inf klik kanan lalu klik install kalau belum berfungsi coba di restart komputernya.

2. kalau registry masih disable dan command prompt juga masih disable mungkin bpk Edu bisa membuat file batch dengan extensi .bat dengan alur menghapus beberapa bagian registry yang menghalangi, caranya mudah sekali cukup cari di google pasti bisa asal teliti.

Kalau masih tidak bisa saya bisa perbaiki FREE tapi mungkin bapak harus punya saudara di malang yang bisa dicontact agar mudah. Tolong diperhatikan juga untuk bagian startup dan services mungkin bapak kurang teliti.

Regards,
Istanto
Edu Says:
October 9th, 2008 at 9:11 am
Waah…MAkasih banyak ya mas…Ow y, masi belom bapak-bapak mas, masih 17 taon… Hahaha…;-)
Thx a lot…
Salut buat kebaikannya…
Sukses selalu…
rido Says:
October 13th, 2008 at 12:55 am
minta solving…!
komp q explorernya ke blok, masuk program bisanya lewat task manager (run), cmd+msconfig juga ke blok.
kenapa yaaaa??
trims
Istanto Says:
October 14th, 2008 at 3:49 am
Jelas itu registry rusak karena virus, Singkat saja registry-nya amburadul, kejadiannya setelah mencoba membersihkan virus amburadul ya? kalau iya memang saya pernah ada 1 kasus setelah coba membersihkan laptop teman dari virus amburadul kasusnya sama persis dengan kamu, explorer tidak autoload saat windows start dan file associate nggak bener… saya coba perbaiki dulu .inf registry + associate registry (cari digoogle ada) baru saya import code yang diatas, laptopnya balik lagi normal tuh malah lebih kencang
… dicoba dulu banyak jalan menuju roma ..
Hapus Virus Amburadul « Luxmile’s Weblog Says:
October 18th, 2008 at 6:05 am
[…] di atas disadur dari link berikut: www.istanto.net, jadi jika anda bisa mereview komentar rekan-rekan disitu yg telah berhasil menghapus […]

Welcome to Istanto Blog

Remove virus AMBURADUL (all varian)

20 Responses to “Remove virus AMBURADUL (all varian)”

Leave a Reply

Recently Written

Categories

Meta

Archives

Links

Feed