In a few words

Archive for November, 2009

Membunuh Proses Windows dengan Command Prompt

Ketika melakukan penghapusan virus pada komputer terinfeksi, terkadang anda harus menghentikan terlebih dahulu proses virus yang sedang berjalan / aktif, sehingga listing program virus tidak bisa memblokir antivirus yang akan dijalankan. secara normal kita dapat melakukan hal itu dengan Task Manager, tetapi karena sang virus mempunyai kemampuan untuk mendisable task manager maka kita memerlukan bantuan tools lain yang tidak / belum dikenali oleh virus. Telah banyak tools yang mempunyai kemampuan tersebut (misal ; killbox, cprocess, dll)

Namun disini jika anda tertarik untuk mencoba, secara sederhana juga dapat dilakukan penghentian Proses Windows melalui DOS Prompt. Bagi anda yang telah terbiasa tentu hal ini dapat dilakukan dengan mudah.

This is How To:

  • Klik START > RUN > ketik CMD – enter
  • Setelah windows DOS Prompt muncul, ketikan command: tasklist
  • Tasklist process yang sedang berjalan akan segera muncul

  • Cari nama process yang ingin anda hentikan, kemudian cari nomor PID nya.
  • Setelah anda tentukan process ID mana yang akan di hentikan maka ketik command tskill (no.PID) misal : –> tskill 564 maka aplikasi/proses dengan nomor PID tersebut akan diclose.

… Namun bagaimana jika virus juga memblok aplikasi RUN atau bahkan aplikasi Comand Prompt? …

Beberapa varian virus, trojan atau malware memang telah melakukan hal tersebut, menutup aplikasi run, regedit bahkan CMD, untuk melindungi dirinya. Jika hal tersebut terjadi anda bisa mencoba menghentikan proses windows dengan script sederhana dibawah ini :

==============================================

<html><head><title>Zank to Kill</title>
<HTA:APPLICATION
APPLICATIONNAME=”Zank2Kill” ID=”oHTA” BORDER=”thick”
BORDERSTYLE=”normal” CAPTION=”yes” CONTEXTMENU=”yes”
INNERBORDER=”no” MAXIMIZEBUTTON=”no” MINIMIZEBUTTON=”yes”
NAVIGABLE=”yes”
ICON=”TASKMGR.EXE” SCROLL=”yes” SCROLLFLAT=”yes”
SELECTION=”no” SHOWINTASKBAR=”yes” SINGLEINSTANCE=”no”
SYSMENU=”yes” VERSION=”0.3″ WINDOWSTATE=”normal” WIDTH=”3%”>
</head>
<script language=vbscript>
sub LIST()
dim objService,Process,colProcess,datanya
dim return,isi
set objService = getobject(“winmgmts:”)

datanya = “<font face=verdana size=2pt color=white>”
datanya = datanya & “<b>PROGRAM nang lagi jalan:</b><br><br>”
datanya = datanya & “<table cellspan=0 cellpadding=0 border=1″
datanya = datanya & ” bordercolor=black><tr bgcolor=black><td>”
datanya = datanya & “<font face=verdana size=2pt color=white>”
datanya = datanya & “<b>PID</td><td><font face=verdana size=2pt”
datanya = datanya & ” color=white><b>Ngaran Proses</td><td><font ”
datanya = datanya & “face=verdana size=2pt color=white><b>diapakan</td></tr>”

for each Process in objService.InstancesOf(“Win32_process”)
Return = Process.GetOwner(isi)
datanya = datanya & “<tr bgcolor=#333333><td><font face=verdana ”
datanya = datanya & “size=2pt color=white><b>”
datanya = datanya & Process.processid & “</b></td><td><font ”
datanya = datanya & “face=verdana size=2pt color=white>”
datanya = datanya & process.name & “</td><td bgcolor=black ”
datanya = datanya & “onclick=vbscript:BUNUH(”
datanya = datanya & process.processid & “)><font face=verdana ”
datanya = datanya & “size=2pt color=#FFCC00>:<) <b>BUNUH”
datanya = datanya & “</b></td></tr>”
Next
data.innerhtml = datanya
end sub
sub BUNUH(PID)
dim objService,Process,colProcess,t,vv
t = msgbox(“Anda yakin bunuh PID ” & pid & “?”,36,”Zank to Kill”)
if t = 7 then exit sub
set objService = getobject(“winmgmts:”)
vv = “Select * from Win32_Process Where processID = ” & PID
Set colProcess = objService.ExecQuery (vv)
For Each Process in colProcess
Process.Terminate()
Next
list
end sub
</script>
</head><body onload=”vbscript:list” bgcolor=#666666>
<span id=”data”></span>
<table bgcolor=#FFCC00><tr><td onclick=vbscript:list>
<font face=verdana size=2pt><b>REFRESH </b></td></tr></table>
</body></html>

==============================================

Copy script tersebut dan paste pada notepad, simpan dengan nama terserah_anda.hta (nama boleh ganti sesuka anda, namun ekstensi belakang harus .hta)

Atau jika anda malas membuatnya bisa juga anda ambil disini ekstrak file hasil download dan jalankan Zank2Kill.hta.

Seperti telah saya tuliskan diatas, saat ini banyak tersedia tools pengganti task manager yang dapat anda download secara gratis, namun alternatif diatas tidak ada salahnya untuk dicoba, semoga bermanfaat …

Salam …


Uninstall program yang tidak ada dalam daftar Add Remove Program

Terkadang ketika kita menginstal sebuah program dan kemudian dirasa tidak diperlukan lagi, daripada hanya memenuhi ruang HD, maka diputuskan untuk membuangnya saja, tetapi permasalahan timbul karena ternyata program tersebut tidak ada dalam Daftar Add / Remove Programs. Untuk masalah ini memang telah tersedia software seperti “Youruninstaler!” yang mampu membersihkan hingga ke registry.. Namun sekedar untuk menambah pengetahuan, sebenarnya ada trik sederhana untuk melakukan uninstal program seperti pada kasus diatas.

Secara singkat saja, sebenarnya yang terjadi saat Anda menginstal sebuah program di komputer Anda maka Windows XP secara otomatis menambahkan beberapa entri dalam registry seperti nama, Ikon, pembuat, dll. Untuk trik sederhana ini yang terpenting dalam proses uninstall yaitu entri registry bernama ‘UninstallString‘.

Baik kita mulai..

Anda tidak perlu mengedit registry melainkan hanya akan memanfaatkan informasi dari registry, caranya :

  1. Klik Start-> Run, lalu ketik regedit dan tekan enter.
  2. Pada HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Uninstall \
  3. Klik tanda  ‘+‘  sehingga muncul nama nama program yang terinstal di komputer anda.
  4. Cari nama program yang ingin Anda uninstall dan klik di atasnya.
  5. Pada panel sebelah kanan akan terlihat entri bernama UninstallString –>  double klik di atasnya.
  6. Sebuah pop up bernama Edit String akan muncul –>  copy (Ctrl+C) Nilai string tersebut.

Sekarang proses Uninstal yang sesungguhnya, …

  • Buka command prompt (Start–> Run–> ketik cmd –> enter) dan paste (Ctrl+V) string yang telah Anda copy.
  • Tekan enter untuk menjalankan eksekusi… akan muncul jendela uninstal
  • Ikuti langkah Uninstal wizard hingga selesai..

Sederhana saja bukan:  Cukup_disini\Selamat_mencoba\Semoga bermanfaat\

Salam, …

Selamat Hari Raya Idul Adha 1430 H….


Apa kabar hari ini?

Hmmhh… sore sore gerimis yang gelap.. secangkir kopi dan komputer ‘jadul’ menemani setumpuk ‘PR’ yang belum selesai, masih terlipat lipat dalam flashdisk yang barusan terkena virus dikantor tadi siang.. hari yang kacau. .. Astagaa, berapa lama waktu yang saya perlukan untuk mengulang ulang menyeruput kopi, menghapalkan rasanya agar dapat diingat oleh syaraf otak sehingga saya tidak perlu lagi minum kopi bergelas gelas hari ini.  BRAKK!!.. Bunyi Hp yang berteriak mengagetkan.. hmm.. sudah saatnya nada dering ini diganti, selalu bikin kaget.. “ya, hallo.. eh kamu wan?… ya kenapa, oo.. saya dirumah.. ga.. lagi santai ini,.. kenapa? error?… ooo.. waduh, ga bisa kerja dong? hehehe… ya.. ya.. besok aja ya.. bawa sekalian oleh olehnya buat saya.. hehe … ooo.. nggaaa… becanda aja, … ok.. sip .. iyaaahh, tenang aja.. Klik!! ….. Aarrgghh.. janji ketiga untuk besok yang harus saya penuhi..

Kenapa hari ini aneh sekali.. rasanya seperti bangun dari tidur kesiangan … kenapa saya harus geram ketika lalu lintas macet karena orang orang tidak peduli dan mau menang sendiri.. ketika listrik selalu padam… ketika orang orang selalu berbicara politik blah-blah-blah… ketika orang bilang rokokku mencemari udara.. ketika mengetahui kebenaran ?… ketika tidak ada orang lain yang bisa disalahkan kecuali diri saya sendiri!! ..
padahal di hari yang normal saya tidak pernah perduli…

Hujan masih deras… kopi tinggal separuh.. sore makin gelap, dan saya bahkan tidak tahu ada kabar apa yang terjadi atas dunia hari ini. bukaan.. saya bukan apatis cuma sedang malas baca koran dan nonton berita TV.. bukan juga terlalu sibuk bekerja..  bahkan sepertinya sebagian waktu hari ini mungkin hilang dalam fikiran saya sendiri .. dan hei.. saya bahkan lupa atas alasan apa saya menghidupkan komputer ini.. otomatis mirip robot.. hahahah.. betul betul hari yang aneh..

Tidak ada pesan yang ingin disampaikan dalam tulisan ini, sekedar ingin menulis .. mungkin karena kebanyakan minum kopi.

tidak bermanfaat.
tidak ada salam hari ini…


Mengembalikan Setting Registry Safe Mode

Ketika membaca sebuah coment postingan terdahulu tentang Win32.IRCBoot, ada sebuah kasus dimana komputer yang terinfeksi tidak dapat masuk ke Safe Mode, hal ini disebabkan karena worm tersebut juga telah menghapus string registry yang bertujuan untuk mendisable safe mode:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Jika hal ini juga terjadi pada anda, dan jika OS anda menggunakan windows XP mungkin anda bisa memperbaikinya dengan script dibawah ini.

Berikut adalah script registry untuk mengembalikan settingan komputer agar bisa masuk ke Safe Mode.

PENTING : Hanya untuk Windows XP
Download Filenya Disini
extract hasil download dan double klik file Rebuilt_safe_Mode.reg dan pilih Ok.
Lakukan restart dan coba lagi masuk Safe Mode (tekan F8 berulang pilih Safe Mode)

Atau copy dan Paste ke Notepad tulisan dibawah ini dan save dengan nama Rebuilt_safe_Mode.reg (Save as type = All)
============================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
“AlternateShell”=”cmd.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-

444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-

08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-

08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-

08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-

08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-

08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-

08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-

08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-

08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-

08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-

08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-

08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-

00A0C90F57DA}]
@=”Human Interface Devices”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-

444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-

08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-

08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-

08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-

08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-

08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-

08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-

08002BE10318}]
@=”Net”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-

08002BE10318}]
@=”NetClient”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-

08002BE10318}]
@=”NetService”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-

08002BE10318}]
@=”NetTrans”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-

08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-

08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-

08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-

08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-

08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-

00A0C90F57DA}]
@=”Human Interface Devices”

===============================================

Demikian alternatif untuk mengembalikan settingan komputer agar bisa masuk ke Safe Mode … Selamat mencoba, terimakasih sudah membaca dan jangan berhenti untuk selalu mencoba.
Salam ….


Memperbaiki File Scrap

Pernah terkena masalah file scrap ini? file tersebut terpampang di desktop, terkadang tidak bisa dibuka dan dihapus.. hal ini tentu saja membuat sedikit bingung.

Biasanya file Scrap tersebut terjadi karena anda secara tidak sengaja mencopy isi text pada aplikasi word, kemudian di-paste ke desktop.. yap, langsung di desktop  !! .. hehehe.. mungkin tidak sengaja karena terlalu serius atau anda memang sedang blank… (atau karena memang anda kurang kerjaan?? 😯 ), sehingga File yang awalnya berextention DOC berubah jadi extantion.SHS (Shell Scrap Object File) kemudian berubah jadi SCRAP.

Cara sederhana untuk membuka file scarp tersebut, buka terlebih dahulu aplikasi Wordpad (Start –> All Program –> Accessories –> Wordpad) kemudian drag / seret file scrap tersebut kedalam aplikasi WordPad… jika telah muncul kembali isi dokumen, anda tinggal menyimpan / save file tersebut.. Selesai.

Kemudian untuk melenyapkan file scrap yang tidak bisa dihapus adalah dengan menggunakan tools unlocker (ambil disini)

Unlocker adalah sebuah tool freeware yang dapat membantu Anda mengatasi beberapa kerusakan file dalam sistem operasi windows (xp dan vista) ketika Anda mencoba menghapus, memindahkan atau mengganti nama file atau folder atau subfolder kemudian menerima sebuah kotak pesan kesalahan seperti:

  • “Cannot delete (filename): It is being used by another person or program”,
  • “Cannot delete file: Disk is not full or write-protected and that the file is not currently in use”
  • “close any programs that might be using the file and try again.”
  • atau beberapa pesan lain yang menerangkan bahwa file sedang dipergunakan oleh sistem…

Untuk menggunakan tool ini, hanya cukup klik kanan file atau folder dan pilih Unlocker lalu sebuah box konfirmasi akan muncul memberikan pilihan : No action, Delete, Rename dan Move … nah, pilihan ada ditangan anda. jika ingin menghapus file scrap seperti diatas tentu saja anda harus meng-klik pilihan ‘Delete’ .. Hups !! .. and U’re Done..

Simple saja bukan? … ok, mungkin saya sudah terlalu bertele-tele, selamat mencoba dan lain kali lebih berhati-hati dalam melakukan copy-paste.. Semoga bermanfaat.

S a l a m …


Virus New Folder.exe

Diantara begitu banyak virus dan malware, ada satu varian yang cukup unik untuk diceritakan disini .. Virus ini pernah membuat teman saya membanting Flashdisknya yang untungnya tidak sampai hancur berkeping keping (sebab bantingnya pelan pelan.. 😯 ) saking jengkelnya..  kkkkk  ..

Sumber kejengkelannya adalah dalam flashdisk tersebut terdapat sebuah folder bernama ‘new folder’ berisi  beberapa file /  folder dengan tulisan berkarakter aneh yang tidak bisa dihapus… yang lebih  menjengkelkan, ketika dicoba scan dengan antivirus tidak dideteksi sebagai virus… hmm jangan jangan laptopnya juga sdh terinfeksi virus ?.. heee..

Supaya tidak kepanjangan ceritanya kita langsung saja pada ciri-ciri komputer yang terjangkit virus new folder ini yaitu antara lain :

  • Task manager – tidak bisa
  • Registry Editor – tidak bisa
  • Folder options – tidak bisa
  • Membuka Flashdisk lamaaaaaa…
  • Memory komputer sangat sibuk padahal dalam keadaan tidak membuka aplikasi
  • Ketika dicoba matikan list proces dengan killbox komputer langsung crash
  • selalu membuat 2 buah file autorun.inf dan new folder.exe pada flashdisk yang dicolok ke koputer yang terinfeksi.
  • Membuat anda ingin membanting flashdisk 😀

Varian virus ini sering disebut virus new folder.exe, Virus Dloader.HDZD atau virus Sohanad.. sebetulnya merupakan jenis virus yang telah ada sejak tahun 2008 dan entah kenapa sebabnya sempat mampir di komputer dan Flashdisk teman saya yang notabene kecanduan online internet 😛

Pembersihan . .

  • Penting .. lakukan Pembersihan dari SafeMode (Restart-tekan berulang F8 pilih safe mode)
  • Gunakan tool Killbox (ambil disini), hentikan proses yang sedang aktif :

C:\WINDOWS\system32\SSCVIIHOST.exe
C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
New Folder.exe (jika aktif)
regsvr.exe (jika aktif)

  • Untuk mempermudah mengembalikan seting registry, copy script dibawah ini:

—————

[Version]

Signature=”$Chicago$”

Provider=Vaksin

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

——–

Buka notepad, Paste dan simpan dengan nama “Repair.inf” (Save As Type  – All Files).
Klik kanan repair.inf pilih install.

  • Buka System Configuration Utility dengan cara Klik Start pilih Run dan ketikkan : msconfig lalu pilih tab startup dan uncheck entri yang mencurigakan seperti Newfolder atau regsvr.exe
  • jika Registry Editor telah bisa dibuka, Klik Start pilih Run dan ketikkan : Regedit kemudian lihat pada Menu Edit pilih Find (atau tekan Ctrl+F) ketikkab regsvr.exe dan newfolder.exe jika ditemukan klik kanan entri tersebut pilih delete .
  • Restart komputer, selesai.

Cara paling mudah untuk menghapus file bandel di flashdisk :

Gunakan Smart Virus Remover tool (ambil disini ). download dan instal, klik “Delete Autorun.inf file” kemudian klik ” Remove virus from USB”, virus akan terhapus dari flashdisk. Untuk mengembalikan task manager, registry editor dan lain lain yang di-disable virus, klik tombol “Restore Default Windows Settings”.

Selesai…

Tidak terlalu sulit bukan? langkah pembersihan diatas merupakan beberapa dari banyak cara yang bisa kita lakukan, saat ini sudah banyak antivirus yang bisa melakukan pendeteksian dan pembersihan varian virus ini dengan baik, itulah pentingnya melakukan update antivirus secara rutin..

Segitu saja, terimakasih sudah membaca dan semoga bermanfaat…
Salam …..


Menghapus W32/Buzus.BDHC Trojan

Buzus TrojanSeharusnya ketika hujan sore sore paling enak minum kopi plus pisang goreng.. tapi hujan sore kali ini terpaksa saya minum kopi sambil membersihkan trojan… hmmm..

Kali ini yang menjadi bintang tamu adalah W32/Buzus.BDHC Trojan, seperti halnya Win32.IRCBot worm (baca posting terdahulu)  yang selalu membuat antivirus avira menjerit-jerit karena permintaan delete/ quarantine selalu muncul. 😀

Dideteksi oleh antivirus sebagai :

Antivirus Version Name
a-squared 4.0.0.26 Virus.Trojan.Win32.Buzus.zzi!IK
AntiVir 7.9.0.35 TR/Dropper.Gen
AVAST! 3.0.1 Win32:Trojan-gen {Other}
BitDefender 7.81008.2252442 Trojan.AgentMB.ZVTS150316
Dr.Web 4.44.0.9170 Win32.HLLW.Autoruner.3009
ewido 4.0.0.2 Trojan.Buzus.shq
F-Secure 5.51.6100 Trojan.Win32.Buzus.acvw [AVP]
Kaspersky 5.5.10 Trojan.Win32.Buzus.acvw
Trend Micro 8.700-1004 TROJ_BUZUS.NY

Tak kenal maka tak sayang, mari kita berkenalan dulu,

Trojan W32/Buzus.BDHC ini mempunyai banyak nama yaitu diantaranya : Trojan.Win32.Buzus.hc,Trojan.Win32.Buzus.adrc, Trojan.Win32.Buzus.aebi,Trojan.Win32.Buzus.828416,Trojan.Win32.StartPage.cyu,Trojan.Win32.Buzus.acxp, Trojan.Win32.Buzus.adyf, trojan.win32.buzus.aanr, Trojan.Win32.Buzus.pe, Trojan.Win32.Buzus.51712.E,Trojan.Win32.Buzus.69632.K,Trojan.Win32.Crypt.5632,

Trojan.Win32.Buzus.aa,Trojan.Win32.Buzus.322076,Trojan.Win32.Buzus.27648.L, Trojan.Win32.Buzus.46461,Trojan.Win32.Buzus.aebj,Trojan.Win32.CDur.hp, Trojan.Win32.Buzus.hrp

Termasuk trojan serakah, namanya diborong semua 😀 !!! ..

Indikasi infeksi:

  • Hasil mesin pencarian dan browser halaman utama diarahkan ke situs palsu.
  • Hilang ikon desktop, mengubah wallpaper dan pengaturan desktop.
  • Proses tidak dikenal oleh Win32.Buzus.ym berjalan di Windows TaskManager, tidak bisa dihentikan.
  • Trojan.Win32.Buzus sulit dibersihkan oleh antivirus, selalu muncul setiap kali dihapus ketika booting.
  • Mengurangi kinerja komputer, sistem lamban pada startup dan reboot.
  • Popup blocker tidak mampu menghentikan situs porno, kasino dan situs dewasa lain.

Perilaku Trojan.Win32.Buzus :

  • Melakukan pemeriksaan sistem registry, menciptakan pop-up ketika aktivitas browsing.
  • Menonaktifkan firewall, anti virus dan utility keamanan lainnya.
  • Menginfeksi komputer melalui lubang keamanan, mendownload dan menginstal berbagai file dari remote server.

Bagaimana W32/Buzus.BDHC Trojan mampu menyusup dan menginfeksi PC Anda?

1. P2P (Peer-to-Peer) Jaringan

Jaringan P2P telah menjadi semakin populer selama bertahun-tahun, sehingga memiliki resiko terkait dengan penggunaan jaringan. Ketika anda menginstal sebuah aplikasi P2P atau mendownload file dari jaringan P2P, spyware akan dibundel dengan file dan software.

2. Sofware Freeware dan Shareware

Banyak aplikasi Freeware dan Shareware atau bajakan yang dibundel dengan spyware ?? ( anda pasti mengerti maksud saya 😀 )

3. Website Jahat

Tidak semua situs web tidak bersalah. Bahkan, ada yang khusus dirancang dengan maksud jahat. Jika Anda mengunjungi salah satu situs jahat ini, maka secara otomatis menginstal spyware pada hardrive tanpa sepengetahuan atau persetujuan Anda.

Sudah cukup perkenalan-nya, sekarang cara pembersihan…

Terkadang antivirus tidak bisa menghapus permanen trojan ini dan hanya memunculkan kotak peringatan untuk melakukan penghapusan atau quarantine tetapi setelah reboot akan kembali hadir, maka disini kita akan melakukan penghapusan secara manual dulu… ok?, kita coba…

Download dulu senjata anda disini (file ini berisi  Killbox, EnableRegistry.reg, UnHookExec.inf dan Registry Enabler) letakkan hasil download di desktop, maksudnya biar mudah mencarinya ketika anda telah masuk ke dalam SAFE MODE.

Lakukan penghapusan melalui SAFE MODE (Restart komputer, tekan F8 berulang ulang, pilih Safe mode, tekan enter)

Matikan Proses yang Aktive sebelum penghapusan

Buka hasil download anda, gunakan killbox atau dengan TaskManager, jika TaskManager didisable maka gunakan Enable Registry.reg dengan cara klik kanan – instal – pilih Yes/Ok.

–   Matikan proses dengan nama rundm.exe dan oute.exe

Jika kedua proses diatas tidak terdapat pada list proses, maka teruskan pada tahap berikutnya.

Penghapusan Registry yang dibuat virus

Klik Start, pilih Run, ketikkan: regedit, Enter

Jika Registry Editor tidak bisa terbuka maka buka hasil download anda, gunakan UnHookExec.inf – klik kanan – instal – pilih Yes/Ok. (karena filenya kecil, maka tidak akan menampilkan pemberitahuan atau kotak bila Anda menjalankannya)

W32/Buzus.BDHC Trojan memodifikasi registry pada lokasi-lokasi berikut untuk menjalankan eksekusi run otomatis di setiap sistem Startup karena itu hapus /klik kanan pada entri dan pilih delete pada :

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

(Catatan : XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX berisi angka yang berbeda pada setiap komputer)

Exit Registry Editor,

Restart Komputer

————

Setelah komputer anda selesai startup ada kemungkinan beberapa aplikasi yang aktif pada startup tidak berjalan, karenanya instal ulang aplikasi penting seperti antivirus… Update dan lakukan scan dengan antivirus anda yang telah terupdate tersebut… pada kasus saya, antivirus (avira) akan dapat menghapus trojan tersebut secara permanen karena string pada registry yang dihapus diatas tidak lagi menjalankan eksekusi otomatis pembuat runtime proses trojan. Jika ditemukan alert virus dalam proses scan tersebut maka delete saja, kemudian setelah selesai, reboot … maka komputer anda telah terbebas dari W32/Buzus.BDHC Trojan ini..

“Habiskan sisa kopi anda, tarik nafas dan bersyukurlah….”

Begitu saja, Terimakasih telah membaca dan semoga bermanfaat.

Salam . . .

signature Transblog