Tugas III - UNSAT

Rabu, 21 April 2010

Tugas Kuliahku (CARA UNTUK MENGATASI VIRUS LEBARAN - AUTORUN.AEEQ)

Dedy Al Islami di Postkan jam 04.20

Di penghujung bulan suci Ramadhan, terdapat sebuah bingkisan istimewa berupa kumpulan program jahat yang bernama virus. Dengan menggunakan update tarbaru, Norman Security Suite berhasil mendeteksi sebagai virus Autorun.AEEQ. Virus ini berisi pesan sosial dari sang pembuat virus komputer dan ucapan Selamat Iedul Fitri Mohon Maaf Lahir dan bathin walaupun pesan ini terkesan di sampaikan secara sembunyi-sembunyi. Adapun ciri-ciri yang dapat diketahui dari virus komputer ini tidaklah terlalu sulit, hal ini dapat dilihat dari beberapa jejak yang akan ditinggal kan seperti:

§ Munculnya tray menu pada taskbar dengan nama "CoolTrayIcon Service" yang berisi pesan ucapan Selamat Idul Fitri, pesan ini akan muncul jika user melakukan klik kanan pada tray menu tersebut, seperti yang terlihat pada gambar dibawah ini (lihat gambar 1)
Pesan Virus AutoRun AEEQ,Expplore

Gambar 1. Pesan yang ditinggalkan oleh virus expplorer

§ Merubah icon selain drive System dengan icon MS. Word 2007 dan munculnya pesan dari pembuat virus saat user mengakses drive tersebut

Gambar 2. Pesan yang ditampilkan saat mengakses drive

File induk

Virus ini dibuat dengan menggunakan program bahasa Borland Delphi dengan ukuran file sekitar 767 KB, untuk mengelabui user ia akan merubah icon tersebut menggunakan icon Explorer dan untuk lebih meyakinkan lagi disetiap file induk yang dibuat akan mempunyai nama yang menyerupai file system Windows seperti shstat.exe, hkcmd.exe, ctfmon.exe, acpictl.exe. (lihat gambar 3)
File Induk Virus Lebaran-Auto Run AEEQ

Virus ini akan aktif secara otomatis saat user mengakses drive/flash disk yang telah terinfeksi dengan bantuan file [autorun.inf]. Setalah virus tersebut akitf ia akan membuat beberapa file yang di simpan di lokasi yang berbeda dan akan menyamarkan dirinya sebagai sebuah Service Windows dengan nama [Microsoft ACPI Driver Extension] yang akan menjalankan sebuah file yang berada di direktori [C:\WINDOWS\system32\acpictl.exe]. Agar file tersebut tidak mudah di hapus, ia akan menyembunyikan file tersebut. Berikut beberapa file yang akan dibuat oleh virus:

* C:\Windows\system32\config\shstat.exe
* C:\Windows\system32\dllcache\hkcmd.exe
* C:\WIndows\system32\oob\ctfmon.exe
* C:\WIndows\system32\acpictl.exe
* C:\Autorun.inf [semua drive]
* C:\Explorer.exe [semua drive]

Membuat Services untuk melindungi dirinya

Agar virus ini dapat di aktifkan secara otomatis setiap komputer dinyalakan, ia akan membuat sebuat services pada registry berikut:

*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ACPIService
o DisplayName = Microsoft ACPI Driver Extension
o ImagePath = "C:\WINDOWS\system32\acpictl.exe" /svc /host0

*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ACPIService
o DisplayName = Microsoft ACPI Driver Extension
o ImagePath = "C:\WINDOWS\system32\acpictl.exe" /svc /host0

*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIService
o DisplayName = Microsoft ACPI Driver Extension
o ImagePath = "C:\WINDOWS\system32\acpictl.exe" /svc /host0

Service tersebut akan mengaktifkan beberapa file induk lain nya untuk mempersulit proses pembersihan.

Jejak sang petualang

Virus ini tergolong baik karena tidak akan melakukan blok terhadap fungsi Windows seperti Task Manager/Regedit/Msconfig/Folder Options atau tools security lainnya, tetapi hal ini justru akan mempermudah dalam penyebarannya karena dengan demikian user tidak curiga bahwa komputer tersebut sebenarnya telah terinfeksi virus apalagi virus ini tidak melakukan perubahan pada file/data serta tidak menggunakan icon yang mencurigakan yang biasa dilakukan oleh kebanyakan virus lokal.

Walaupun demikian ia akan tetap melakukan beberapa perubahan berikut yang justru akan mengundang kecurigaan user:

* Mengganti icon selain drive system [contoh: D:\, E:\ dll] dengan icon MS.Word
* Menampilkan pesan jika user mengeksekusi/mengakses drive yang sudah di ubah tersebut
*
Menambahkan satu tray dengan nama "CoolTrayIcon Service" dengan pesan "Selamat Hari Raya Iedul Fitri Mohon Maaf Lahir dan Bathin" (lihat gambar 1)

Aktif Otomatis

Agar dirinya dapat aktif secara otomatis saat user mengakses suatu drive, ia akan memanfaatkan celah autorun Windows dengan membuat sebuah file [autorun.inf] dan sebuah file dengan nama [explorer.exe]. kedua file ini akan dibuat disemua root drive termasuk flash disk sehingga dapat dikatakan untuk menyebarkan dirinya ia akan memanfaatkan Flash Disk dengan membuat 2 file tersebut.

Selamat Iedul Fitri Mohon Maaf Lahir dan Bathin

Sebagai penutup Virus ini akan menyisipkan sebuah pesan yang disampaikan kepada semua user yang telah menjadi korban dengan ucapan "Selamat Iedul Fitri Mohon Maaf Lahir dan bathin, Apakah pesan ini diucapkan tulus dari mereka (pembuat virus), hanya Tuhan dan dia yang tahu tapi kita sebagai manusia yang lemah dihadapan Nya sudah sepantasnya untuk dapat memaafkan semua kesalahan yang ada baik yang sengaja atau tidak disengaja sehingga dengan perginua bulan Ramadhan dan datangnya Hari Raya Idul Fitri kita SEMUA dapat kembali suci seperti bayi yang baru terlahir kembali tanpa ada dendam dan permusuhan di antara kita semua.

Cara untuk mengatasi virus Autorun.AEEQ

Adapun cara untuk menghapus atau menghilangkan Virus Autorun.AEEQ, yaitu:

1. Putuskan komputer yang akan di bersihkan dari jaringan selama proses pembersihan.

2. Nonaktifkan [System Restore] selama proses pembersihan agar pembersihan dapat dilakukan dengan optimal.

3. Matikan proses virus yang aktif di memori dengan menggunakan tools pengganti Task Manager seperti tools "Security Task Manager". Kemudian blok proses yang mempunyai icon Explorer [shstat.exe, ctfmon.exe, hkcmd, acpictl.exe]

Silahkan download tools tersebut di alamat berikut:

http://www.neuber.com/taskmanager/download.html
Terminat Proses Virus AutoRun AEEQ

Gambar4. Terminate proses virus

Matikan juga service [Microsoft ACPI Driver Extension] pada service Windows dengan cara :

· Klik [Start]

· Klik [Run]

· Pada dialog box [RUN] ketik [SERVICES.MSC]

· Klik kanan pada nama service [Microsoft ACPI Driver Extension], kemudian pilih [Properties]

· Pada kolom [Startup Type] pilih "Disabled"

· Klik tombol [STOP]

· Klik tombol [Apply]

· Klik tombol [OK]

4. Hapus string yang dibuat oleh virus dan disable autorun Windows agar virus tidak aktif kembali, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf], jalankan file tersebut dengan cara

· Klik kanan REPAIR.INF File

· Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKLM, SYSTEM\ControlSet001\Services\ACPIService

HKLM, SYSTEM\ControlSet002\Services\ACPIService

HKLM, SYSTEM\CurrentControlSet\Services\ACPIService

5. Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersembunyi agar mudah dalam mencari file virus tersebut, dengan cara :

· Buka Windows Explorer

· Klik [Tools]

· Klik [Folder Options]

· Klik tabulasi [View]

· Pilih opsi "Show hidden files and folders"

· Uncheck opsi "Hide protected operating system (recomennded)"

Kemudian hapus file berikut:

· C:\Explorer.exe [di semua drive]

· C:\Autorun.inf [di semua drive]

· C:\Windows\system32\config\shstat.exe

· C:\Windows\system32\dllcache\hkcmd.exe

· C:\WIndows\system32\oob\ctfmon.exe

· C:\WIndows\system32\acpictl.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan antivirus yang up-to-date

Tugas Kuliahku (CARA UNTUK MENGATASI VIRUS VIRUT)

Dedy Al Islami di Postkan jam 04.18

AKSI VIRUS VIRUT

Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu yahoo.com,web.de, hotmail.com, gmail.com dan aol.com

FUNGSI YANG DIMATIKAN OLEH VIRUT

::> Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.

::> File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.

::>Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.

REPLACE/INJECT
NETWORK DRIVER
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah ndis.sys danTCPIP.sys

Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.
FILE VIRUS VIRUT
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :

C:\Documents and Settings\%user%\reader_s.exe

C:\Documents and Settings\%user%\%user%.exe

C:\WINDOWS\fonts\services.exe

C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp

C:\WINDOWS\system32\reader_s.exe

C:\WINDOWS\system32\servises.exe

C:\WINDOWS\system32\regedit.exe

C:\WINDOWS\system32\[angka_random].tmp (beberapa file)

C:\WINDOWS\Temp\VRT[angka_random].tmp (beberapa file)

C:\WINDOWS\Temp\~TM[angka_random].tmp (beberapa file)

C:\WINDOWS\Temp\[angka_random].exe (beberapa file)

C:\WINDOWS\Temp\[nama_acak].dll (beberapa file)

Salah satu file virus menyamarkan dirinya sebagai "PE Explorer", PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.

REGISTRY WINDOWS

Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
22951 = C:\WINDOWS\system32\[nama_random].tmp.exe
reader_s = C:\WINDOWS\system32\reader_s.exe
Regedit32 = C:\WINDOWS\system32\regedit.exe
servises = C:\WINDOWS\system32\servises.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run
servises = C:\WINDOWS\system32\servises.exe
exec = C:\WINDOWS\fonts\services.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\klasnich\reader_s.exe
servises = C:\WINDOWS\system32\servises.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32\servises.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32\servises.exe
run = C:\WINDOWS\system32\servises.exe

Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\NOHIDORSYS
CheckedValue = 0

Selain itu, virus menambahkan dan mengubah string registry pada firewall:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List
\\??\C:\WINDOWS\system32\winlogon.exe = \\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\ StandardProfile
EnableFirewall = 0

CARA UNTUK MENGATASI VIRUS VIRUT

Adapun cara untuk menghapus atau menghilangkan Virus Komputer ini, yaitu:

1. Matikan System Restore

2. Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut:

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd. Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.

3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001, 1
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile, EnableFirewall, 0x00010001, 1

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, servises
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, servises
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 22951
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Regedit32
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS
HKLM, SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandarProfile\AuthorizedApplications\List, \\??\C:\WINDOWS\system32\winlogon.exe
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall

Gunakan notepad, kemudian simpan dengan nama "Repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

4. Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file "ndis.sys" (ukuran 179 kb) dan "TCPIP.SYS" (ukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:\WINDOWS\system32\driver dan C:\WINDOWS\system32\dllcache

5. Kembalikan hosts file yang sudah terinfeksi. Replace file "hosts" (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:\WINDOWS\system32\driver\etc. Anda bisa juga menggunakan tools perubah hosts file yaitu "HostsXpert". Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip

6. Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.

Tugas Kuliahku (Cara Mengatasi Virus Deadlock alias Tibs.DKKR)

Dedy Al Islami di Postkan jam 04.16

Virus Deadlock atau Tibs.DKKR menyebar melalui flash disk merupakan salah satu media yang paling banyak digunakan oleh user, hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus komputer untuk menyebarkan dirinya seperti virus Sandra Dewi Bugil, Virus Mbah Surip dan lain-lainya. Virus deadlock akan membuat 3 jenis file, yaitu Desktop.ini, Folder.htt, dan Flashguard.exe

Virus Deadlock atau Tibs.DKKR membawa pesan moral yang isinya yaitu:

Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan – Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat – SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera

Atas Nama Bangsa Indonesia

Pangeran DEADLOCK

I'm Everyone, but NoOne

I'm Everything, but NoThing

I'm Everywhere, but NoWhere

Pesan moral itulah yang ingin disampaikan oleh pembuatnya, tetapi sesunguhnya pembuatnya menurut saya tidak bermoral juga pembuatnya karena virus deadlock alias Tibs. DKKR tersebut akan mencoba untuk menghapus data. VIRUS DEADLOCK ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi (lihat gambar 1) dan kemungkinan berasal dari salah satu kota di Kalimantan (Samarinda).
File Induk Virus Deadlock

Gambar 1, File Induk Virus Deadlock

dari virus komputer ini adalah akan merubah desktop dengan pesan sosial dari sang pembuat virus deadlock, biasanya pesan ini hanya akan muncul pada waktu yang ditentukan, seiring dengan munculnya pesan ini maka semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows . Jadi kalau anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer anda akan dihancurkan.

Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.

C:\Windows\system32\apache.exe

C:\Windows\system32\mysql.exe

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.

Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mysql = C:\Windows\system32\mysql.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

apache = C:\Windows\system32\apache.exe

Virus komputer ini cukup cerdik dalam mengelabui user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan error "Windows file Protection" yang menandakan ada suatu program yang berusaha untuk menghapus file system windows.

MENYEBAR SECARA OTOMATIS

Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive / flash disk dengan memanfaatkan "autorun windows" dengan membuat 3 buah file yakni

o [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]

o [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]

o [Flashguard.exe] merupakan file induk yang akan di jalankan

BOM WAKTU

Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 - 13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error.

Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, JANGAN sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstal ulang OS anda ke harddisk yang mengandung data yang ingin anda recover, kemungkinan keberhasilan recovery akan sangat rendah.

CARA MENGATASI VIRUS DEADLOCK SECARA MANUAL

Untuk menghapus atau menghilangkan virus deadlock atau yang dikenal dengan nama Tibs.DKKR, yaitu:

1. Disable [System Restore] selama proses pembersihan

2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti "Process Explorer" kemudian matikan proses yang mempunyai nama "mysql.exe dan apache.exe"

Silahkan download tools tersebut di url berikut:

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada "Software Restriction Policies". Fitur ini hanya ada pada komputer dengan sistem operasi "Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008", dengan cara:

::> Klik menu [Start], kemudian Klik menu [Run]

::> Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]

Setelah muncul layar "Local Security Settings", klik kanan pada menu "Software Restriction Policies" lalu klik "Create New Policies"

::> Pada menu "Software Restriction Policies", klik "Additional Rules"

Klik kanan pada "Additional Rules", kemudian pilih "New Hash Rule...", kemudian akan muncul layar "New Hash Rule"

::> Pada kolom "File hash" klik tombol "Browse" kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] , Kemudian klik tombol [Open], Pada kolom "Security level" pilih [Disallowed] , Pada kolom "description" boleh di isi atau dikosongkan saja , Klik tombol [Apply] dan tombol [Ok]

Catatan:

Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara Klik kanan file repair.inf dan Klik [Install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql

5. Hapus file induk virus yang ada dua direktori, yaitu C:\Windows\system32\apache.exe dan C:\Windows\system32\mysql.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.

Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut : http://www.norman.com/support/support_tools/58732/en-us

Catatan:

Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error "NTLDR Is Missing" sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.

BACA JUGA ARTIKEL TERKAIT lainnya(RELATED POST)

Tugas Kuliahku (CARA UNTUK MENGATASI VIRUS FULLHOUSE)

Dedy Al Islami di Postkan jam 04.13

SEKILAS TENTANG VIRUS FULL HOUSE

Mungkin ada sebagian dari anda yang komputernya terinfeksi oleh VIRUS FULLHOUSE maka ada solusi bagi anda "Cara Untuk Mengatasi VIRUS FULL HOUSE" tersebut. Tidak seperti kebanyakan virus lokal yang sibuk menggunakan artis Indonesia sebagai sarana rekayasa sosial guna mengelabui calon korbannya agar menjalankan file virus, Virus FullHouse yang satu ini justru terinspirasi oleh film seri Korea FullHouse. Ciri khas Virus FullHouse adalah membuat satu drive tambahan dengan nama FullHouse Drive, apakah pembuat Virus FullHouse memiliki tujuan untuk membantu mempopulerkan film FullHouse di Indonesia, yang jelas tindakan membuat virus ini termasuk ke dalam tindakan kurang bertanggung jawab dan tidak perlu untuk di tiru.

Meskipun FullHouse bukan tergolong virus baru di Indonesia namun penyebaran virus fullhouse cukup luas, menurut pantauan Vaksincom, Virus
FullHouse ikut berperan meningkatkan infeksi virus keluarga Autorun yang sampai 19 Agustus 2009 menurut catatan Vaksincom mencapai lebih dari 1.000 insiden di seluruh Indonesia. Virus fullhouse dibuat menggunakan bahasa pemrograman Visual Basic yang dalam melakukan aksinya akan membuat drive tersendiri pada Desktop, My computer dan Control Panel yang jika di buka akan menampilkan gambar "Han Ji Eun" artis cantik dalam serial Full House.

Norman Security Suite mendeteksi virus FullHouse sebagai AutoRun.GUB

FullHouse memiliki ciri diantaranya sebagai berikut :
-Mempunyai ukuran file sebesar "168 kb" dengan "Date Modified" 07-08-2009
-Tipe file "File Folder" yang sebenarnya adalah "Application" dengan teknik memanipulasi registry
-Berekstensi file ".exe" yang tidak terlihat karena virus ini menambahkan string "NeverShowExt" pada registry sehingga extesions file tidak ditampilkan
-Menggunakan icon folder
-Membuat drive tambahan dengan nama "FullHouse Drive" pada Desktop, My Computer dan Contol panel
-Jika drive tersebut di klik akan menampilkan foto artis cantik pemeran dalam serial Fullhouse (lihat gambar 1)

Tugas Kuliahku(Cara Mengatasi Virus Mbah Surip atau VBS/Cryf A)

Dedy Al Islami di Postkan jam 04.09

Virus VBS/Cryf.A. atau yang lebih terkenal dengan sebutan virus 'Mbah Surip' memang cukup merepotkan. Mulai dari disusupi album porno, CD/DVD Rom komputer korban juga dibuat selalu terbuka.
Bagaimana cara untuk mengusir virus yang populer dengan lagu 'Tak Gendong' itu? Berikut 7 kiat singkatnya yang diramu vaksincom:

1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang mempunyai product name 'Microsoft (r) Windows Script Hosta' dengan cara:

*
Pilih [blok] proses yang mempunyai product name 'Microsoft (r) Windows Script Hosta'
*
Klik kanan pada proses yang sudah di blok
*
Pilih [Kill Selected Processes]

2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur 'Software Restriction Policiesa', fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:

*
Klik menu [Start]
*
Klik [Run]
*
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
*
Pada layar [Local Security Policy], klik [Software restriction policies]
*
Klik kanan pada [software restriction policies] dan pilih [Create new policies]
*
Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
*
Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
*
Pada Security Level pilih [Disallowed]
*
Pada kolom 'descriptiona' isi deskripsi dari nama file tersebut (bebas),

3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti 'Explorer XP'. Silahkan download di alamat berikut: http://www.explorerxp.com/explorerxpsetup.exe
Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini, drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.

5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya:

*
Start]
*
Klik [Run]
*
Ketik CMD kemudian klik tombol [OK]
*
Pada layar 'Dos Prompt' pindahkan posisi kursor ke drive yang akan di periksa
*
Ketik perintah ATTRIB regedit.exe kemudian klik tombol
*
Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.

7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah nomor 2, caranya:

*
Klik menu [Start]
*
Klik [Run]
*
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
*
Pada layar [Local Security Policy], klik 2x [Software restriction policies]
*
Klik [Additional Rule]
*
Hapus Rule yang pernah Anda buat sebelumnya

Tugas Kuliahku (CARA UNTUK MENGATASI VIRUS FOLDER CINTA)

Dedy Al Islami di Postkan jam 04.07

Virus Folder Cinta diketahui telah banyak menginfeksi beberapa pengguna komputer di Indonesia. Virus folder cinta ini menginfeksi komputer dengan salah satu cirinya melakukan duplikasi file dengan ukuran sizenya 793 kb. Adapun cara untuk mengatasi dan menghapus atau menghilangkan virus 'Folder Cinta' secara manual dari komputer yaitu

1. Putuskan koneksi atau hubungan komputer yang akan dibersihkan dari jaringan.

2. Disable atau matikan 'System Restore' selama proses pembersihan virus.

3. Gunakan 'Task Manager' untuk mematikan proses virus yang aktif.

Kemungkinan besar dengan nama 'csrsc.exe'). Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.

4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb. Gunakan fasilitas search untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive. Jangan lupa untuk menampilkan attribute 'Show hidden file...' dan menghilangkan attribute 'Hide protected operating...' pada Folder Options.

5. Hapus string registry yang sudah dibuat oleh virus komputer ini dan untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"

HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe

[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Gunakan notepad, kemudian simpan dengan nama 'repair.inf'. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih [install].

6. Untuk pembersihan atau menghapus secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik.

Tugas Kuliahku (Cara Untuk Mengatasi Virus W32/Sality.AE)

Dedy Al Islami di Postkan jam 04.05

Adapun cara untuk menghapus atau menghilangkan Virus W32/Sality AE, yaitu

1. Putuskan koneksi atau hubungan komputer yang akan dibersihkan dari jaringan dan internet.

2. Matikan System Restore selama proses pembersihan berlangsung.

3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara: klik kanan repair.inf lalu install.

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.

5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.

6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting safe mode, silahkan restore registry yang telah diubah oleh virus.

Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.

http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94

7. Fix registry lain yang diubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara: klik kanan repair.inf lalu install

http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9

8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus komputer tersebut.

9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Virus W32/Sality.AE dengan baik.

Tugas Kuliahku (CARA UNTUK MENGATASI VIRUS CONFICKER.DV)

Dedy Al Islami di Postkan jam 04.00

Adapun cara untuk menghilangkan atau menghapus virus conficker.dv, yaitu:

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.

2. Matikan system restore (Windows XP/Vista)

3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman

4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.

5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)

6. Hapus string registry yang dibuat oleh virus komputer ini dan untuk mempermudah dapat menggunakan script registry di bawah ini:

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0x00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0x00000001,1

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0x00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama 'repair.inf', lalu 'Save As Type' menjadi 'All Files' agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui 'msconfig' atau dapat mendelete secara manual pada string: 'HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus komputer ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.

Tugas Kuliahku (CARA UNTUK MENGATASI VIRUS HOPELES)

Dedy Al Islami di Postkan jam 03.58

1. Putuskan koneksi atau hubungan komputer yang akan dibersihkan dari jaringan.

2. Seyogyanya lakukan pembersihan pada kondisi safe mode.

3. Matikan proses virus dengan menggunakan tools pengganti task manager, seperti Itty Bitty Process Manager.

4. Lakukan 'kill process', pada file virus yang aktif yaitu: C:\WINDOWS\system32\spool\idle.exe

5. Hapus string registry yang telah dibuat oleh virus hopeless dan untuk mempermudah dapat menggunakan script registry berikut:

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, StartMenuLogoff
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Repair

6. Pakai notepad, kemudian simpan dengan nama 'Repair.inf'. Lalu Save As Type menjadi All Files agar tidak terjadi kesalahan.

7. Jalankan repair.inf dengan klik kanan, kemudian pilih Install. Sebaiknya membuat file repair.inf tersebut di komputer yang clean, agar virus hopeless tidak aktif kembali.

8. Hapus file induk serta file duplikat yang telah dibuat oleh virus Hopeless, yang mana file tersebut mempunyai ciri-ciri icon folder berukuran file 247 kb, extension file .exe dan type file 'application'. Untuk mempermudah penghapusan bisa menggunakan fasilitas search.

Untuk mengoptimalkan dan mencegah infeksi ulang kembali maka gunakanlah anti virus komputer yang sudah dapat mengenali virus hopeless ini dengan baik.

Dedy Al Islami di Postkan jam 03.56

Kapan manusia akan sadar ? Insaf kembali kepada jalan yang benar. Gempa, banjir, Tsunami, bukankah pertanda kiamat? Tapi selain itu, sekarang banyak tanda-tanda kiamat lain yang sudah terlihat, bahkan akan terjadi. Jika Anda seorang muslim yang beriman dan bertaqwa kepada Allah SWT. Kenapa harus takut mencegah perbuatan tercela? Satu orang berbuat maksiat, semua akan mendapat malapetaka!

Apabila bumi diguncangkan dengan goncangan (yang dashyat), dan bumi telah mengeluarkan beban-beban berat (yang dikandung)nya, dan manusia bertanya: Mengapa bumi (menjadi begini)?, pada hari itu bumi menceritakan beritanya, karena sesungguhnya Tuhanmu telah memerintahkan (yang sedemikian itu) kepadanya. Pada hari itu manusia ke luar dari kuburnya dalam keadaan bermacam-macam, supaya diperlihatkan kepada mereka (belasan) pekerjaan mereka. Barangsiapa yang mengerjakan kebaikan seberat dzarrahpun, niscaya dia akan melihat (balasan)nya. Dan barangsiapa yang mengerjakan kejahatan dzarrahpun, niscaya dia akan melihat (balasan)nya pula (QS. Al Zalzalah: 1 - 8)

Virus Sholat kembali berulang, tidak seperti varian sebelumnya virus ini tidak menampilkan pesan peringatan Sholat sehingga tidak terlalau mencolok. Virus ini kemungkinan dibuat dengan menggunakan program Visual Basic Script [VBS] dan untuk mengelabui user, virus ini dikemas dengan menggunakan converter menjadi file executable [exe] dan merubah type file dari VBS menajadi EXE serta merubah icon menjadi icon gambar sehingga user tidak akan terlalu curiga apalagi file tersebut mempunyai nama yang tidak religius [CewekGirls.EXE] yang membuat kita penasaran untuk membukanya. Virus ini mempunyai ukuran sekitar 151 KB. Dengan Update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai SmallTroj.BEPS

Bagaimana kita mengetahui bahwa komputer terinfeksi SmallTroj.BEPS?

Virus komputer ini sebenarnya tidak terlalu sulit dikenali, pada saat komputer terinfeksi virus ia akan meninggalkan beberapa jejak diantaranya:

1. Merubah halaman utama [Intenet Explorer] dengan mengakases file C:\Windows\Help\Log.

2. Merubah judul [Internet Explorer] menjadi "Kiamat Sudah Dekat ! by – EXTR3M3-

3. Akan menampilkan program kalkulator pada saat menjalankan "notepad.exe" "rstrui.exe" [system restore]

Apa yang dilakukan oleh SmallTroj.BEPS?

1. Pada saat file yang terinfeksi virus ini dijalankan, akan memanggil sebuah image yang berada di direktori [C:\WINDOWS\Web\Wallpaper\follow.jpg]. Kemudian akan membuat beberapa file induk yang akan dijalankan pertama kali pada saat komputer tersebut di nyalakan

C:\Documents and Settings\%user%\My Documents\CeweGirls.exe

C:\Windows\system32\ulib.dll

C:\Windows\system32\atrun.dll

C:\Windows\system32\1pconfig.EXE

C:\Windows\system32\illegal.vbs

C:\Windows\system32\Setup\Admin.dll

C:\Windows\system32\cewek.dll

C:\Windows\system32\girl.dll

C:\Windows\system32\log.wri

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registri editor berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- services = %systemroot%\system32\1pconfig.EXE

- system = %systemroot%\system32\illegal.vbs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Shell = Explorer.exe "%systemroot%\system32\1pconfig.EXE"

2. Untuk memperlancar aksinya, ia akan mencoba untuk blok beberapa fungsi Windows diantaranya, yaitu Registry Editor, Msconfig,Task Manager, Folder Option, System Restore,Menyembunyikan ekstensi File, Enable Autorun Windows, Notepad.

Untuk blok fungsi Windows tersebut, ia akan membuat registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoControlPanel = 0

- NoFind = 1

- NoFolderOption = 1

- NoRun = 1

- NoDriveTypeAutoRun = 145

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools = 1

- DisabletaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- HideFileExt = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced

- Hidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- ShowSuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

- Text = Show hidden files and folders

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

- Text = Do not show hidden files and folder

Selain itu ia juga akan merubah beberapa string registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- AltDefaultUserName = EXTR3M3

- DefaultUserName = EXTR3M3

HKEY_CURRENT_USER\Control Panel\Desktop

- MenuShowDelay = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

- Disable = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- HideIcons = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- FolderContentsInfoTip = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

- Text = Hidden files and folders

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

- Type = radio

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

- Type = radio

3. Virus ini tidak akan menghilangkan file data Anda melainkan hanya menghapus beberapa file bawaan Windows seperti regedit.exe, msconfig.exe, rstrui.exe [System Restore] dan program Notepad. Sebagai pengganti ia akan mengganti file yang di hapus [kecuali file TaskMgr.exe dan Regedit.exe] dengan file CALC.exe [Kalkulator], sehingga pada saat user menjalankan file [notepad.exe] dan [rstrui.exe] maka akan muncul program kalkulator tersebut [calc.exe].

4. Virus ini juga cukup baik dengan menghapus semua file yang ada di [C:\Wndows\temp]. Untuk mengapus file tersebut ia akan menjalankan perintah DOS /c Del /s /f /q systemroot\Temp secara terus menerus dengan membuka aplikasi MS.DOS, hal ini menyebabkan komputer manjadi tidak stabil dan terkesan hang.

5. Virus SmallTroj.BEPS juga akan meninggalkan pesan moral untuk mengajak kepada kebaikan dengan membuat pesan yang dituangkan pada file [C:\Windows\query.log], sayangnya pesan ini tidak akan ditampilkan. Selain itu ia juga akan menampilkan pesan lain dalam bentuk file HTML, dimana pesan ini akan langsung ditampilkan pada saat user membuka program [Internet Explorer], file HTML ini akan di simpan di direktori [C:\Windows\Help\log.HTML]. Agar pesan tersebut dapat dijalankan setiap kali user akses [Internet Explorer] ia akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Start page = C:\WINDOWS\Help\log.html

- Window Title = EXTR3M3 -

6. Virus ini juga dapat aktif secara otomatis dengan cara membuat jadwal task [Task Scheduler] yang akan menjalankan file virus yang berada di direktori [C:\Windows\system32\log.wri]. ia akan membuat 7 jadwal task yang akan di jalankan setiap hari pada waktu-waktu yang telah ditentukan.

C:\Windows\task

- At1 akan dijalankan setiap jam 1 AM

- At2 akan dijalankan setiap jam 6 AM

- At3 akan dijalankan setiap jam 9 AM

- At4 akan dijalankan setiap jam 1 PM

- AT5 akan dijalankan setiap jam 3 PM

- At5 akan dijalankan setiap jam 6 PM

- At7 akan dijalankan setiap jam 9 PM

CARA MENGATASI VIRUS SMALLTROJ.BEPS

Adapun cara untuk menghilangkan atau menghapus Virus Smalltroj.BEPS, yaitu

1. Putuskan koneksi komputer yang terinfeksi virus dari jaringan

2. Matikan proses virus yang akif di memory. Sebagai informasi virus ini dibuat dengan program VBS. Virus ini membutuhkan sebuah file dengan nama WSCRIPT.exe agar dirinya aktif. Oleh karena itu matikan file WSCRIPT.exe yang aktif dimemori, untuk memastikan proses virus ini dapat menggunakan tools pengganti Task Manager seperti Proceexp.

Silahkan download tools tersebut di alamat url berikut:

http://download.sysinternals.com/Files/ProcessExplorer.zip

3. Hapus string registry yang sudah dibuat oleh virus komputer ini. Silahkan copy script berikut pada program [Wordpad], caranya :

§ Klik [Start] à [Programs] à [Accessories] à [WordPad]

§ Setelah cript tersebut di copy, simpan dengan cara:

§ Klik [File]

§ Klik [Save]

§ Pada kolom "Save In", tentukan dimana lokasi file tersebut akan di simpan.

§ Pada kolom "File name", isi dengan nama REPAIR.INF

§ Pada kolom "Save As Type", pilih "Text Document"

§ Kemudian instal scipt tersebut dengan cara:

- Klik kanan Repair.INF

- Klik Install

Berikut script yang harus di copy

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, text,0, "Do not show hidden files and folders"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, Text,0, "Show hidden files and folders"

HKCU, Control Panel\Desktop, MenuShowDelay,0, "400"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden ,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, FolderContentsInfoTip, 0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp, Disabled

4. Hapus File virus dengan terlebih dahulu menampilkan file yang disembunyikan

- Buka Windows Expplorer

- Klik [Tools]

- Klik [Folder Option]

- Klik Tab [View]

- Pilih Opsi "Show Hidden Files and Folders"

- Hilangkan tanda centang pada opsi "Hide Extension for known file types"

- Hilangkan tanda centang pada opsi "Hide Protected Operating System files (Recommended)"

5. Kemudian hapus file berikut:

§ C:\Documents and Settings\%user%\My Documents\CeweGirls.exe

§ C:\Windows\system32\ulib.dll

§ C:\Windows\system32\atrun.dll

§ C:\Windows\system32\1pconfig.EXE

§ C:\Windows\system32\illegal.vbs

§ C:\Windows\system32\Setup\Admin.dll

§ C:\Windows\system32\cewek.dll

§ C:\Windows\system32\girl.dll

§ C:\Windows\system32\log.wri

§ C:\Windows\Help\log.HTML

§ C:\Windows\query.log

§ C:\Windows\task\AT%1%

Catatan : %1% menunjukan angka [AT1 – AT7]

§ Hapus juga file [Autorun.inf] dan [CewekGirls.exe] yang ada di Drive lain termasuk Flash Disk

6. Copy ulang file yang telah dihapus oleh virus dari komputer dengan OS yang sama yang tidak terinfeksi.

- C:\Windows\Regedit.exe

- C:\Windows\System32\Notepad.exe

- C:\Windows\System32\TaskMgr.exe

- C:\WIndows\PCHealth\HelpCtr\Binaries\msconfig.exe

- C:\Windows\system32\restore\rstrui.exe

7. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date. Anda juga dapat mendownload Norman_Malware_Cleaner di alamat:

http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe