Indofiles.net 10StarMovies.com CompMovies.com Gratis4Download.com Cinema3Satu.com Ganool.com NurCellMovies.com Film-Ku.com thehack3r.com mediafiremoviez.com 300mbunited.com united300.com Cinema-Bioskop.com asian-horror-movies.com/ azmovie.net dragonballclassics.com zone-anime.com NwAnime.com Subtitle Movies RnuNugraha.com SubtitleSeeker.com Subscene.com
Stafaband.info GudangLagu.com mp3locker.net ZumaDigital.com MissHacker.com Dimazdizon.com lalightsindiefest.com Mp3boo.com Beepmp3.com Mp34Shared.com 991Tabs.com Ultimate-Guitar.com Lyricsmode.com LirikLagu.net SonyMusic.co.id
MicrosoftSecurityBulletin Smadav Avira Update Avira 10 manual Avast AVG Kaspersky Ansav Symantec Bitdefender Norman Malware Mcafee Pcmav PcmavConficker Masters Anti Virus Vaksin.com
Befunky.com Gickr.com Photofunia.com Slide.com Photobucket.com Picnik.com Fotoflexer.com Framephotoeditor.com PicreSize.com
Rnunugraha.tv reogtv.co.cc Mivo.tv TV.Ayo-Cari.com Cintaindonesiaku.com indoweb.tv tomsproduction.com Binus.com Indonesiaindonesia.com seleb.tv wwitv.com movies-links.tv
TheLastDisaster.com IndonesiaMetal.com MetalHeadIndonesia.com SlammingBrutalDeath.com PribumiMetal.com Xdgmx.com CimanggiSexTremmedia.com Metal-Archives.com RoadRunnerRecords.com OzzFest.com Fr.MetalShip.org Musikator.com MetalSucks.net
VideoPimp.org YouTube.com PunkRockVids.com MetalVideo.com MetalVideo.net allmetalvideos.net lbvidz.com MyOYeah.com Video.Google.com DailyMotion.com Music.Aol.com YouKu.com
Rollingstone.com Revolvermag.com BolaNews.com/ Cinemags.Net Hai-Online.com TraxMagz.com Gadis.co.id GQ.com Maxim.com PlayBoy.com NationalGeographic.com RoadAndTrack.com SingleTrackWorld.com SuaraMerdeka.com Kompas.com
AthenaSoldier.com Putrefaction.com TheAngeloBand.com SuksesImpian.com UpikDi.com Remo-XP.com KangMoeler.com TortureArt.com MoroRene.com MainstreamCenter.com YukKitaNyanyi.com Rock-Hell.co.cc MoroMrene.com Restu88.com Iwan013.com
Heroturko.Org Sedut.net AllDownload.org Manojentertainment.com MySiteMyWay.com Claycauleyink.com GothicCrossJewelry.com Html-Color-Codes.info Color-Hex.com PhotoCube3d.com Mozilla.com GemsCool.com Tupperware.co.id
nyarikerja.com Info-Lowongan.com lowongan.com USMlowongan.com Unikalowongan.com bilaboong-kerja.blogspot.com lowongankerja-semarangraya.com berniaga.com Astra-Honda.com yamaha-motor.com suzuki.co.id daihatsu.co.id BursaKerja-Jateng.com jakjobs.com klikkarir.com infobursakerja.com pertamina-ep.com pertamina.com garudafood.com nyonyameneer.com bluebirdgroup.com coca-colabottling.co.id ptphapros.co.id jicftunnes.blogspot.com polines.ac.id
Kaskus.Us jne.co.id posindonesia.co.id kereta-api.co.id lionair.co.id Zedge.Net Ownskin.com OneManga.com MangaFox.com Marvel.com DcComics.com CoolROM.com KapanLagi.com Detik.com OkeZone.com KickAndy.com KlikBCA.com QiblaLocator.com artikata.com Gmail.com Yahoo.com
Kini melalui RnuNugraha.Blogspot.com anda dapat menonton TV Online : Metro TV, Trans Tv, Trans 7 and etc.
Rabu, 04 Agustus 2010 | 18.11 | 0 Comments

Cara Membasmi Virus yang Membuat Komputer Anda Banjir Shortcut "Worm:PIF/Starter.A"

Neh gannnn cara membasmi Virus yang membuat komputer anda banjir Shortcut,.. cara ini saya temukan dari http://vaksin.com, dengan sedikit tambahan dari saya agar lebih mudah dalam memahaminya,. he^^,.. di simak yacghhh buat para agan-agan yang belum pada tahu cara membasmi - nya,..Hmmmmm,... . Maklum neh pengalaman pribadi sempet pusing gara-gara semua komputer ditempat kerja saya banyak shortcut yang tidak lain adalah virus,.. pokonya mengganggu sekali buat saya pribadi,..ckckckckckc,...

Di tengah gencarnya virus-virus Confiker melanda dunia persilatan jaringan, maka ada sebuah virus lokal yang tidak mau kalah untuk unjuk gigi. Virus ini penulis dapatkan secara tidak sengaja, ketika sedang beranjang sana di sebuah tempat kerja sahabat dekat, dia mengeluh kok banyak banget sih shortcut di komputernya.

Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.

Norman Virus Control mendeteksi virus ini sebagai Worm:PIF/Starter.A (lihat gambar 1) :

NSS detect shortcut

Gambar 1, Norman Security Suite mendeteksi virus Shortcut sebagai Worm:PIF/Starter.A

Ciri-ciri dari virus tersebut adalah :

  1. Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.

  2. File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.

  3. Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2 (lihat gambar 2)

Gambar 2, Aksi virus Shortcut memalsukan folder

  1. Mematikan fungsi dari file Registry (lihat gambar 3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistrytools"=dword:00000001

Gambar 3, Pesan yang ditampilkan jika mengakses Registry Edit

  1. Menambahkan value di registry :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office

Update for Windows XP.sys\""

Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi

dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka

akan didapat message error seperti di bawah ini (lihat gambar 4)

Gambar 4, Pesan error yang ditampilkan saat logon karena gagal loading script.

Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

  1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows. Saat komputer saya diserang virus ini saya gunakan CProcess,.. untuk download CProcess klik DI SINI. Saat anda menjalankan CProcess klik pada bagian page yang bawah lalu scrol mouse anda kebawah,.. pasti anda temukan WSCRIPT.exe ,.. lalu klik icon silang (x) pada toolbar nya ,.. maka proses WSCRIPT.exe telah anda matikan,..

  1. Sebelumnya matikan dulu proses SYSTEM RESTORE. caranya klik kanan pada mycomputer lalu pilih system restore,.. turn off system restore,.. untuk semua drive yang komputer kamu miliki.

  1. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)

Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

  1. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

  1. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah

Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s ( nb: untuk mengganti drive dari C: ke D: pada Command Prompt,.. ketik D: lalu enter,.. untuk menutup perintah lain dalam Command Prompt cd\)

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama. (lihat gambar 5)

Gambar 5, Perintah mendelete file lnk yang diciptakan virus.

  1. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya. (lihat gambar 6)

Gambar 6, Shortcut yang dibuat virus akan menyerupai icon folder, tetapi memiliki Size 1 KB dan Type "Shortcut"

(Nb: untuk menghapus file virus dapat dilakukan secara delete manual apabila langkah 1-5 telah anda lakukan,.. !?)

Gambar di atas menggunakan software Total Commander untuk mendownload software Total Commander Klik DI SINI.

  1. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate

HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer


6. Jika terdapat folder anda terhidden oleh virus setelah proses pembersihan anda dapat show hidden folder tersebut dengan menggunakan anti virus ansav,.. untuk download anti virus Ansav klik link ini : http://www.ansav.com
/
7. Mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan klik link ini : http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx . jika tidak terakses ke link tersebut, copy paste ke url address bar browsing kamu lalu tekan enter,.. guna mencegah infeksi ulang.

8. Setelah bersih,.. deepfrezze drive C: (tempat operatyng system) anda agar apabila terkena virus kita tinggal restart dan pc anda kembali normal seperti semula,..




Related Posts with Thumbnails

Join Us On Facebook, Just Click Here !

 
Copyright Rnu Nugraha © 2010 - All right reserved - Using Rnunugraha.com
Best viewed with Mozilla, IE, Google Chrome and Opera.