In a few words

Archive for November, 2009

Win32.IRCBot worm atau Backdoor.Win32.IRCBot.gen Alias Worm Win32/Pushbot.BD

win32IRCBootSeorang teman menitipkan sebuah laptop dengan dilampiri secarik kertas warna biru berisi catatan “tolong… kalo lagi sempet, ada virus yang selalu muncul dideteksi oleh antivirus saya, tetapi setelah dihapus selalu muncul kembali.. Trims. XXXX

Ketika laptop dihidupkan, windows berjalan normal, semua fasilitas windows seperti Run, CMD, TaskManager, Search, Regedit, dll dapat berjalan normal.. semua aplikasi seperti office, adobe photoshop, notepad juga lancar lancar saja.. pendek kata tidak ada yang salah dengan window ini… tetapi beberapa saat kemudian mulailah muncul peringatan peringatan dari antivirus avira yang terinstal dalam laptop tersebut. Benar, sesuai isi pesan bahwa penghapusan dapat dilakukan tetapi kemudian peringatan antivirus selalu muncul kembali.

Memang windows normal untuk dijalankan, tetapi jika selalu muncul peringatan terus menerus dari antivirus  tentu akan terasa sangat mengganggu bukan?

Kemudian saya coba melihat sebenarnya proses apa yang selalu berulang dihapus oleh antivirus tersebut … disana tertulis “worm Win32.IRCBot”

Hmmm…mari kita sama-sama pahami sebentar, …

Win32.IRCBot worm juga dikenal sebagai Backdoor.Win32.IRCBot.gen atau Worm Win32/Pushbot.BD

Worm Win32/Pushbot.BD adalah worm yang menyebar melalui MSN Messenger dan AIM yang berisi backdoor untuk mengontrol komputer yang tertular, perubahan sistem berikut ini menunjukkan kemungkinan adanya Worm: Win32/Pushbot.BD pada komputer:

Terdapat file :% windir% \ svchost.exe
Memodifikasi registri berikut:
*    Menambah nilai: “Windows Internet Manager”
*    Dengan data: “svchost.exe”
* pada subkunci: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \

Menyebar melalui MSN Messenger dan AIM
Menggunakan fungsi backdoor, Worm: Win32/Pushbot.BD dapat menyebar via Yahoo Messenger dan AIM dengan mengirimkan pesan ke semua kontak pengguna yang komputernya terinfeksi. Pesan ini disediakan oleh controller melalui IRC backdoor,yang menunjuk ke sebuah salinan dari worm executable pada domain ‘www.mymsnpics.net’, dengan Payload Fungsi backdoor: Port 20.733 yang setelah terinstal worm menghubungkan ke IRC server ‘msn.sandboxanddie.info’ pada port 20.733 dan menunggu instruksi. Menggunakan backdoor, remote penyerang dapat melakukan sejumlah tindakan seperti :

* Menyebar via Yahoo Messenger atau AIM
* Update database virus sendiri
* Download dan mengeksekusi arbitrary files

Ok, kita coba mulai langkah pembersihan………

Berikut langkah pembersihan yang saya lakukan dengan menggunakan Kaspersky virus removal tool dapat anda download disini.   Tools ini bersifat freeware alias gratisan dari vendor antivirus Kaspersky® lab.

KISTools

  • Instalkan tools tersebut dan jangan membuat perubahan apapun untuk pengaturan default ketika program telah selesai menginstal
  • Pilih My Computer. Klik tombol Scan. Prosedur scan ini dapat memakan waktu, jadi bersabarlah hingga proses betul betul selesai.
  • Jika tampil box peringatan adanya infeksi ketika proses scan, maka klick tombol Disinfect atau Delete.
  • Untuk jenis Worm Win32/Pushbot.BD ini, pihak Microsoft merekomendasikan agar mendownload latest Windows definitions update disini, kalau sudah lakukan instal.
  • Lakukan Restart setelah kedua proses tersebut, jika memungkinkan segeralah update antivirus anda lalu lakukan Scan ulang.

Untuk mencegah infeksi pada sistem :
* Aktifkan firewall pada komputer Anda.
* Selalu Update antivirus anda.
* Berhati-hati dengan attachment dan file transfer.

Untuk mengaktifkan Internet Connection Firewall pada Windows XP
1.  Klik Start, dan klik Control Panel.
2.  Klik SNetwork and Internet Connections.
3.  Klik Change Windows Firewall Settings.
4.  Pilih On.
5.  Klik OK.

Untuk mengaktifkan Windows Firewall pada Windows Vista
1.  Klik Start, dan klik Control Panel.
2.  Klik Security.
3.  Klik Turn Windows Firewall on or off.
4.  Pilih On.
5.  Klik OK.

Selalu Update antivirus Anda
Kebanyakan perangkat lunak antivirus terbaru telah dapat mendeteksi dan mencegah infeksi jenis Win32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini. Untuk membantu melindungi Anda dari infeksi, anda harus selalu melakukan update  antivirus karena mencegah lebih baik daripada memperbaiki.

Proses pembersihanWin32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini bisa saja berbeda pada komputer anda, disini saya hanya ingin berbagi pengalaman. Sebaiknya segitu dulu, karena malam sudah semakin larut dan saya sebagai manusia mempunyai batas kemampuan untuk menahannya… terimakasih sudah menbaca dan semoga bermanfaat.

Salam …

signature Transblog



Berbagai Virus Lokal dari doeloe hingga sekarang

awas virusTulisan ini terinspirasi oleh kejadian sore tadi ketika saya menemukan sebuah disket (masih ingat dengan disket? :D) didalam tumpukan buku buku lama saya.. penasaran saya coba membuka disket tersebut dan.. hei.. ada virus!! dan .. Astagaaa .. ternyata virus ini berasal dari masa lalu … ahahahaha .. jenis virus ini dimasa lalu dikenal dengan nama “virus Kangen” … selintas jadi teringat masa masa kejayaan virus ini dan ini mengilhami saya untuk mengajak anda sedikit bernostalgia mengenang kembali jenis jenis virus bikinan lokal…

Berikut ragam virus lokal yang saya tahu pernah berjaya dari yang terbaru sampai yang sudah uzur :


Windx-Matrox
77Kb, tanpa di-pack. Virus infeksi file executable. Tepatnya virus ini akan menginfeksi program yang ada di direktori Program Files. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi!!

Gen.VirVBS.vbs
Dibuat dengan program Virus Generator (Vir.VBS Generator) berbasis Visual Basic. 64.512 bytes dalam keadaan terkompresi menggunakan UPX. Generator dapat menghasilkan virus jenis VBScript yang memiliki kemampuan stealth, encryption, time-bomb bahkan polymorphic.

Autoit
Virus ini biasanya akan membuat sebuah file autorun.inf pada saat menyerang disk drive ataupun flash drive.

Malingsi
705.312 bytes, dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.

Recycler
Menyamar seperti layaknya Recycle Bin. Di flash disk korban akan terdapat folder dengan nama Recycler yang di dalamnya terdapat folder yang menggunakan nama alpha numeric contohnya “S-1-5-21-1482476501-1644491937-682003330-1013? dengan icon mirip dengan icon Recycle Bin.

ForrisWaitme
Dibuat dengan Visual Basic menggunakan icon mirip folder standar Windows. Menukar fungsi tombol mouse kiri dengan kanan, menghilangkan menu Folder Options, membuat file pesan “baca saya.txt” pada drive terinfeksi.

Kalong.vbs
Menggunakan VBScript (.vbs). Selain menciptakan file autorun.inf agar dapat running otomatis, caption dari Internet Explorer pun akan diubah menjadi “:: X2 ATTACK ::” dan pada saat logon, Windows akan menampilkan kotak informasi yang bertuliskan “KOMPUTER ANDA ADA KEYBOARDNYA!!”.

Pray
Menggunakan Visual Basic. terdapat 2 varian, untuk varian Pray.A tidak memiliki icon, sementara untuk varian Pray.B menggunakan icon mirip Windows Explorer. Jika komputer terinfeksi, saat penunjuk waktu di komputer menunjukan pukul 05:15, 13:00, 16:00, 18:30, dan atau 19:45, virus akan menampilkan pesan yang mengingatkan user untuk melakukan shalat.

FD Shield
553.472 bytes, nama yang digunakan saat menyebar, bertuliskan “17++ Sexs & Rahasia Wanita artis Indonesia (foto2_kamera tersembunyi_liputan).exe”.Jika Anda lihat pada direktori C:\Windows\System32, akan ditemukan sebuah file induk dengan nama “rundl32.exe”.

Discusx.vbs
Virus VBScript, 4.800 bytes. Dia akan menginfeksi drive di komputer Anda, termasuk flash disk, membuat file autorun.inf dan System32.sys.vbs pada root drive tersebut. Selain itu, ia pun akan mengubah caption dari Internet Explorer menjadi “.::Discus-X SAY MET LEBARAN! [HAPPY LEBARAN ?!]::.”.

SangPerawan
Dibuat dengan Visual Basic, dengan ukuran sekitar 98.304 bytes tanpa di-compress. Virus ini dapat mengakibatkan file .jpg Anda tidak bisa dibuka, karena virus ini akan meng-append file .jpg yang ditemukannya ke dalam tubuh sang virus. Isi field Description pada Version Information virus ini terdapat kalimat “Untuk semua orang yang tak pernah menghargai aku”.

TQ.vbs
Virus VBScript yang membuat file winconfig.dll.vbs dan autorun.inf pada drive yang diinfeksinya. Jika file virus dibuka dengan Notepad, pada awal-awal file tersebut akan terdapat string aneh yang sebenarnya hanya untuk membingunggkan user saja, tapi jika Anda scroll ke bawah maka akan terlihat isi file virus sebenarnya. Virus ini pun mengubah caption Internet Explorer menjadi “Brought to you by TQ!” dan mengubah halaman defaultnya menjadi “http://blogtq.blogspot.com/”

Purwo
56KB, icon mirip dokumen Word menciptakan sebuah folder dengan nama “Purwokerto Under Cover” yang diberi attribut hidden, berisi sebuah file bernama “KoruptorPurwokerto.exe” di dalam folder C:\Windows\System32\system juga ada file windowss.exe, dan di C:\Windows\javaa\service.exe. Di
waktu tertentu menampilkan layar hitam yang berisi teks pesan dari pembuatnya.

SlowButSure.vbs
Dibuat menggunakan VBScript (.vbs). Ia menciptakan file autorun.inf  pada flash disk, sehingga dapat running otomatis saat mengakses drive flash disk. Pada caption Internet Explorer akan terdapat tulisan “Hacked by Zay” atau pada varian lain “Hacked by Godzilla”. Dan pada System Propertis komputer korban, informasi Registered Owner akan menjadi “r4n694-24y”, untuk Registered Organization akan menjadi “Don’t Panic, System anda sudah kami ambil alih !”.

Formalin
18.432 bytes, menciptakan folder “samaran” dengan nama seperti Bocoran soal UAN dan UAS, My Completed Downloads, Wallpaper Picture, Crack Program, Jgn dibuka !!!, Nitip Data (jgn dihapus), dan lain sebagainya. Pada komputer terinfeksi, caption di Internet Explorer akan berubah menjadi “Your computer has been infected virus Formalin”. melumpuhkan “safe-mode” dengan cara menghapus beberapa registry terkait. Dan pada file properties sang virus, di bagian description milik version information akan ada tulisan seperti “Kasian dch loe”.

Rieysha-Sma
104KB, dengan icon yang menyerupai file Real Media Player. Saat menginfeksi, membuat duplikat file exe, mp3, doc, dan 3gp yang digantikan dengan dirinya. Selain itu, setidaknya ada 2 buah file virus pada root drive, dengan nama “sma3gp.exe” dan “CeritaSeru.vbs”.

Tati

Virus sederhana berbasis script, dibuat menggunakan automation script. Hanya berkamuflase dengan menggunakan icon mirip folder standar Windows. Pada komputer terinfeksi, akan terdapat file teks yang berisi pesan dari si pembuat virus dengan nama tati.my.love.txt

Stargate

menyebar melalui flash disk atau jaringan melalui sharing folder. mem-bypass beberapa aplikasibawaan Windows seperti Registry Editor, Command Prompt, dan juga beberapa program antivirus.Pada komputer terinfeksi, akan terdapat banyak sekali file duplikat dari si virus, bahkan beberapa icon aplikasi di Start Menu pun akan berubah menjadi icon folder karena ulah virus ini.

babon

49 KB, mengubah properties dan AM/PM pada jam menjadi tulisan Babon.aksika, (4k51k4), 45 KB, membuat backup MSVBVM60.DLL. disable System Restore, aktif di normal mode, Safemode dan Safemode with Command Prompt.

coolface

78 KB, virus Bangka yang ditulis dalam bahasa C++ dan berusaha membasmi semua virus Visual Basic dengan menghapus file MSVBVM60.DLL.

W32/Kill AV

22 KB, menyembunyikan semua file MS word dan mengganti dengan dirinya.

Pendekar Blank

34 KB, menyembunyikan folder C:\Windows\System32 dan membuat file duplikat sesuai dengan nama folder yang disembunyikan [system32.exe], membackup MSVBVM60.dll di C:\WINDOWS\system32\dllChache, manipulasi file .com dan .txt sehingga setiap kali dijalankan akan menjalankan virus.

Pacaran

59 KB, mengubah ikon file “non virus” (MP3, txt, reg file, jpeg, inf dan exe) di komputer korbanmenjadi folder dan tipe file application sehingga pengguna komputer mengira itu adalah virus dan menghapusnya. Aksi lainnya virus ini memanipulasi Host file, menyembunyikan drive dan folder, mengubah tipe file “File Folder”, MP3, JPEG menjadi W32.Pacaran.

Blue Fantasy

40 KB, otomatis menginfeksi dari Flash Disk, menyembunyikan folder dan menggantikan dengan file virus duplikat dengan ikon folder.

Amburadul

hampir semua Folder yang ada tertempel File dengan logo gambar/foto tetapi tidak ada namanya dengan ekstensin .exe. Ketika menggunakan internet eksplorer ( IE ) untuk browsing maka di bagian judul akan tertampil “ ++++Hey, Hokage /baboon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++”

Nadia Saphira

69.784 Byte atau sekitar 69KB. Virus ini menjalankan program distartup, nama filenya windowsmp.exe yang ada di C:\Windows\windowsmp.exe

W32/Brontok alias W32/Rontokbro

42 Kb. menyamar sebagai file MS Office ataupun sebagai folder. mampu melakukan penghentian akses ke Registry Editor, dan melakukan restart komputer jika menemukan kata tertentu pada header browser.

W32/Moonlight

144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.membuat file bernama “MooNlight.txt” pada direktori Windows berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”

Bandot / VBWorm.NTH

88 KB, menampilkan pesan di pojok kanan bawah komputer : “Happy Valentine’s Day Bandot Falling In Love … Selamat Hari VALENTINE ya….” disebarkan dengan file bernama KupuMalam.exe atau kupu-k~1.exe

W32/Tabaru.A alias Riyani_Jangkaru

Ikon file virus mirip dengan ikon file foto yang ada di komputer. Setelah klik ikon file tersebut, yang muncul di layar monitor bukanlah foto Riyani Jangkaru tapi ustru mengaktifkan virus tersebut. Gejala infeksi virus ini adalah program aplikasi Winamp dan Notepad kita menjadi tidak aktif.

Kumis

Membuat komputer mengalami restart berulang- ulang, virus ini tidak memunculkan pesan apapun. Virus Kumis muncul dalam bentuk folder yang akan aktif begitu kita meng-klik folder tersebut.

W32.Pesin alias My Heart

file berekstensi.exe dengan nama “jangan dibuka”, “puisi cinta”, “hallo”, “mistery”, “kenangan” dan “myheart” yang berlogo Ms. Word pada My Dokument yang jika coba dihilangkan, file sesaat akan hilang, tetapi akan muncul lagi dengan nama yang berbeda. misal, terdapat file kenangan lalu Anda delete, maka akan muncul lagi dengan nama puisi cinta

Kangen

72 KB (73.728 bytes) Bersembunyi pada Windows\System32 Mendisablekan viruuuuuuuuussREGEDIT, Menampilkan lirik lagu Kangen oleh Dewa19 pada START, Saat menjalankan word akan membuat file “kangen.doc” berisi lirik lagu Kangen. menyebar melalui media disket, USB Flash disk dan jaringan share folder tanpa ampun.

Denzuko

berbentuk teks yang tiba-tiba muncul saat komputer sedang booting. banyak programmer yang kemudian memodifikasi virus ini sehingga teks yang muncul bisa bermacam-macam sehingga sedikit sulit untuk mengidentifikasi gejala virus Denzuko tersebut.

Mardi Bros

Muncul pada era DOS (Disk Operating System) atau penggunaan sistem operasi yang disimpan dalam disket ataupun CD), memindahkan boot sector/partisi asli ke daerah lain dan menggantinya sehingga membuat komputer restart berulang-ulang, menyebar lewat disket.

Hmmm…. cukup banyak juga ternyata kreatifitas pembuat virus di negara kita ini.. ini mungkin hanya sebagian .. masih ada banyak varian lain yang pernah ada. mungkin dari anda ada yang bisa mengingatnya ?…

Ini membuktikan bahwa di Negara kita telah banyak orang orang yang mengerti tentang seluk beluk pemrograman, meski pada peng-aplikasian pengetahuannya disalurkan dengan cara yang “sedikit” berbeda.  Mungkin maksud dari virus maker tersebut adalah untuk menguji kelemahan sistem sehingga dapat diciptakan sistem yang betul betul akurat, dan semoga bukan karena hanya ingin terkenal atau semoga bukan hanya ingin menyampaikan pesan pribadi dengan jalan merugikan orang lain.. 😀

Tapi apapun alasannya, kita ambil sisi positifnya saja, bahwa dengan adanya virus tersebut mau tidak mau kita harus belajar bagaimana caranya mengamankan komputer dari virus.. dan proses belajar itulah yang terpenting.. setuju?

Begitu saja, semoga ini cukup mengobati kenangan anda pada virus virus yang pernah hadir di komputer anda..  Semoga bermanfaat.

Salam …….

signature Transblog


PDF Password Remover 3.1 membuka password PDF

Adobe ReaderKembali lagi mengulas tentang pdf terkunci seperti pada potingan terdahulu (klik disini) menggunakan pdf unlocker, ternyata terlalu merepotkan karena untuk membukanya diperlukan instal dotnet framework 3.1 sehingga saya menerima sebuah call tentang hal tersebut

Untuk software pengganti,  saya rekomendasikan sebuah tools portable bernama Pdf Password Remover yang ukurannya jauh lebih kecil dari pdf unlocker, download disini . Yang anda harus lakukan setelah mendownload dan meng-extract tools tersebut, klik 2 kali pada file “winDecrypt” , browse pdf yang ingin diremove passwordnya lalu simpan, selesai..

Tools ini berjalan dengan baik tanpa memakan waktu yang lama.  Sekali lagi saya ingin mengingatkan sebelum menggunakan tools ini,  bacalah dulu pesan saya di sini.

pdfpassremove

Sedemikian mudahnya penggunaan tools ini sehingga saya rasa tidak perlu memperpanjang  review,  begitu saja semoga bermanfaat ..

Salam …


Daftar kode warna HTML

kodewarnaSesuai Pesanan Teman, ini saya berikan daftar kode warna dalam HTML

Kode warna didalam bahasa pemrograman HTML sangat dibutuhkan ketika kita ingin membuat Background pada halaman web.

Sebetulnya ada sofware kecil yang dapat membantu anda dalam mencari warna yang diinginkan, anda tinggal menjalankannya dan mengarahkan mouse pada warna di layar desktop yang dinginkan. bisa anda download disini.

Daftar Kode warna HTML :

#FF00FF #00FFFF #FFFF00 #0000FF #00FF00 FF0000
#FFFFFF #CCCCCC #999999 #666666 #333333 #000000
#9900FF #9900CC #990099 #990066 #990033 #990000
#9933ff #9933CC #993399 #993366 #993333 #993300
#9966FF #9966CC #996699 #996666 #996633 #996600
#9999FF #9999CC #999999 #999966 #999933 #999900
#99CCFF #99CCCC #99CC99 #99CC66 #99CC33 #99CC00
#99FFFF #99FFCC #99FF99 #99FF66 #99FF33 #99FF00
#00FFFF #00FFCC #00FF99 #00FF66 #00FF33 #00FF00
#00CCFF #00CCCC #00CC99 #00CC66 #00CC33 #00CC00
#0099FF #0099CC #009999 #009966 #009933 #009900
#0066FF #0066CC #006699 #006666 #006633 #006600
#0033FF #0033CC #003399 #003366 #003333 #003300
#0000FF #0000CC #000099 #000066 #000033 #000000
#CC00FF #CC00CC #CC0099 #CC0066 #CC0033 #CC0000
#CC33FF #CC33CC #CC3399 #CC3366 #CC3333 #CC3300
#CC66FF #CC66CC #CC6699 #CC6666 #CC6633 #CC6600
#CC99FF #CC99CC #CC9999 #CC9966 #CC9933 #CC9900
#CCCCFF #CCCCCC #CCCC99 #CCCC66 #CCCC33 #CCCC00
#CCFFFF #CCFFCC #CCFF99 #CCFF66 #CCFF33 #CCFF00
#FFFFFF #FFFFCC #FFFF99 #FFFF66 #FFFF33 #FFFF00
#FFCCFF #FFCCCC #FFCC99 #FFCC66 #FFCC33 #FFCC00
#FF99FF #FF99FF #FF9999 #FF9966 #FF9933 #FF9900
#FF66FF #FF66CC #FF6699 #FF6666 #FF6633 #FF6600
#FF33FF #FF33CC #FF3399 #FF3366 #FF3333 #FF3300
#FF00FF #FF00CC #FF0099 #FF0066 #FF0033 #FF0000
#6600FF #6600CC #660099 #660066 #660033 #660000
#6633FF #6633CC #663399 #663366 #663333 #663300
#6666FF #6666CC #666699 #666666 #666633 #666600
#6699FF #6699CC #669999 #669966 #669933 #669900
#66CCFF #66CCCC #66CC99 #66CC66 #66CC33 #66CC00
#66FFFF #66FFCC #66FF99 #66FF66 #66FF33 #66FF00
#33FFFF #33FFCC #33FF99 #33FF66 #33FF33 #33FF00
#33CCFF #33CCCC #33CC99 #33CC66 #33CC33 #33CC00
#3399FF #3399CC #339999 #339966 #339933 #339900
#3366FF #3366CC #336699 #336666 #336633 #336600
#3333FF #3333CC #333399 #333366 #333333 #333300
#3300FF #3300CC #330099 #330066 #330033 #330000

Begitu saja, semoga bermanfaat.

Salam ….

signature Transblog


W32/Obfuscated.D2!gen – Virus Facebook

virus facebookApa yang ada dalam pikiran pembuat virus ketika bermain facebook?  💡 betul.. 100 untuk anda. Dari kreativitas tersebut kini sudah hadir Virus Facebook yang dikenal dengan nama Bredolab atau oleh antivirus Norman terdeteksi sebagai W32/Obfuscated.D2!gen.

Berhati hatilah jika anda menerima sebuah email yang seolah-olah dari Admin Facebook berisi attachment mengandung  virus kemudian meminta untuk mereset password Facebook anda. Setelah anda terinfeksi, sang virus kemudian mendownload antivirus palsu yang menyamarkan sebagai antispyware dengan nama “Security Tools”. Anda kemudian ditawakan untuk membeli antispyware palsu tersebut. File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai application.

Attachmen dalam email yang anda terima berisi 2 buah file virus bericon MsExcel (30 Kb) atau file zip (24Kb), yang akan aktif ketika komputer dinyalakan.  Ketika komputer telah terhubung  dengan jaringan internet  virus ini kemudian mendownload trojan/ spyware lain yang akan dijalankan secara otomatis.

Cara membersihkan :

1. Disable system restore
2. Disconect komputer dari jaringan internet
3. Lakukan pembersihan pada mode “safe mode”
4. Install software “unlocker
5. Matikan proses virus yang aktif dimemory, dengan “Security Task Manager

matikan proses

mematikan proses virus dari memory dengan Security Task Manager

Kemudian perbaiki registry dengan script dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, “userinit.exe”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

====================================

[copy – paste pada Notepad kemudian safeAs dengan nama repair.inf – Klik kanan repair.inf pilih install ]

Hapus file yang dibuat virus di :

  • C:\Documents and Settings\All Users\Application Data\47543326
  • C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
  • C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
  • C:\Documents and Settings\Elvina\Application Data\ wiaservg.log§ C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
  • C:\WINDOWS\Temp\ wpv311256600826.exe
  • C:\WINDOWS\Temp\ wpv411256806849.exe
  • C:\Documents and Settings\%user%\reader_s.exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
  • C:\WINDOWS\system32\reader_s.exe
  • C:\Windows\system32\wbem\proquota.exe
  • C:\windows\system32\sdra64.exe
  • C:\Windows\system32\lowsec

o local.ds
o user.ds
o user.ds.lll

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:

Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [hapus]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)

Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner

Bersihkan secara optimal dengan tools Norman Malware Cleaner atau dengan versi terbaru.  Bisa juga dengan Malwarebytes Anti Malware .

Review ini saya sampaikan sekedar mengingatkan anda untuk berhati hati ketika bermain facebook, sebab dari cara penyebaran virus Bredolab ini, varian lain untuk virus facebook terbarunya pasti akan lebih hebat lagi :mrgreen:

Cukup, terimakasih sudah membaca …

Salam

signature Transblog

* C:\Windows\temp
o Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
o _ex-08.exe
* C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
* C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

Memblok facebook dengan hosts ??..

blokAnda pernah merasa terganggu oleh facebook, friendster, youtube, atau situs apa saja karena teman kerja selalu memakai komputer anda untuk online sehingga pekerjaan anda harus tertunda?? hehe… blok saja situsnya dari komputer anda !! hal ini bisa anda lakukan dengan mengutak utik file hosts. Dengan begitu hanya anda yang bisa mengakses situs tersebut… tertarik?

Sebaiknya pahami dulu pengertian tentang hosts file tersebut sebelum ide iseng anda dijalankan..

Hosts adalah file komputer yang digunakan oleh sistem operasi untuk memetakan nama host ke alamat IP yang gunanya untuk  menemukan node pada sebuah jaringan komputer. Komputer Anda menggunakan file hosts untuk membantu mempercepat resolusi nama domain di Internet untuk menyelesaikan alamat IP  sebuah website, kemudian memeriksa file hosts untuk melihat apakah sudah ada entri di sana. Jika ada, tidak perlu pergi ke server DNS dan menyelesaikan alamat.     Astaga… ribet sekali bahasa saya ya?…   hehehe   abaikan saja,  sebab  topik  yang kita bahas disini adalah cara memblok sebuah situs agar tidak bisa diakses dari komputer anda.

Secara teori, perubahan file hosts bertujuan membantu mempercepat browsing web, tetapi Anda juga dapat memanipulasi file hosts untuk memblokir situs dengan menunjuk nama domain ke alamat IP yang berbeda,  seperti  127.0.0.1  yang merupakan alamat IP mesin lokal Anda.

Heh?..langsung caranya aja?… waduh tidak sabaran sekali..

ok, this is how to :

1. Buka C:\Windows\Sytem32\Drivers\Etc\hosts dan buka / klik kanan -> openwith, pilih   notepad

2. Maka akan tampil pada notepad anda seperti ini:

==================================================
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

==================================================

3. lalu tambahkan situs-situs yang anda ingin blokir,  ketik pada bagian paling dibawah tulisan 127.0.0.1 lokalhost, (yang berwarna hijau) disini saya akan memblokir beberapa situs seperti facebook, youtube dan friendster : (cara penulisan: 127.0.0.1 (tekan tab) facebook.com, sehingga pada notepad akan tertulis seperti ini :

==================================================
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
127.0.0.1 facebook.com
127.0.0.1 http://www.facebook.com
127.0.0.1 youtube.com
127.0.0.1 http://www.youtube.com
127.0.0.1 friendster.com

127.0.0.1 http://www.friendster.com
==================================================

4. lalu klik file -> safe atau tekan saja Ctrl + S. kalau sudah tutup notepad anda, dan coba browsing ke situs http://www.facebook.com/

… sampai disini anda sudah berhasil menjalankan ide iseng anda ?  😈

Bila anda ingin mengakses situs yang telah anda blok tadi, buka host file dan hapus alamat situs yang anda blok dan jangan lupa untuk safe sebelum anda menutup notepad.

Lokasi host file pada OS :

Operating System Version Lokasi
Windows 95, 98, Me %WinDir%\
Windows NT, 2000, XP, 2003, Vista, 7 %SystemRoot%\system32\drivers\etc\ by default.
Macintosh 9 and earlier System Folder: Preferences or System folder
Mac OS X, iPhoneOS /private/etc/hosts
Linux, BSD, etc /etc/hosts[3]
Novell NetWare SYS:etc\hosts
OS/2 & eComStation "bootdrive":\mptn\etc\
Symbian Symbian OS 6.1-9.0 C:\system\data\hosts
Symbian Symbian OS 9.1+ C:\private\10000882\hosts (AllFiles capable only)

Mengapa IP nya harus 127.0.0.1 ?
karena ini adalah IP adress dari localhost,  cantumkan saja IP dari localhost ini sehingga alamat situs langsung di redirect ke IP yang sudah kita tentukan sendiri, yang artinya koneksi ke situs dimaksud akan gagal.

Sekarang tujuan utama penulisan topik ini :
Tujuan penulisan adalah untuk mengenalkan kita tentang pentingnya file host tersebut untuk tujuan yang baik, mengapa?.. karena dengan pemahaman diatas anda dapat memblokir berbagai situs misalnya situs porno ( berani? 😛 ), atau situs yang mengandung malware karena seperti kita ketahui bagaimana kemampuan spyware yang menempel pada PC Anda saat menjelajah situs web atau download file. Tehnik pengubahan file hosts ini juga dimanfaatkan oleh spyware dengan tujuan mendownload update virus dan memanggil varian worm lain ke komputer anda.

Sebagai contoh, misalnya situs “www.porno.com” adalah situs malware yang dikenal dan memiliki alamat ip 68.23.5.x. maka kita bisa merubah file host dengan menuliskan bahwa 127.0.0.1 adalah alamat IP “www.porno.com”. Jadi, ketika anda mengetik nama situs “www.porno.com” ke browser web anda, tak ada yang terjadi karena browser Anda menganggap alamat IP untuk “www.porno.com” adalah PC Anda.

Ada beberapa cara mengubah file hosts tersebut dengan menggunakan program seperti Spybot Search and Destroy, yang memiliki fitur Imunisasi yang memodifikasi file host anda. Atau Anda dapat melakukannya secara manual dengan mendapatkan host file dari situs yang sering memperbaruinya. Salah satu situs adalah  SomeoneWhoCares.org.

…. Rasanya sudah cukup ya?.. anda pasti sudah dapat dengan mudah melakukan pengaturan pada file hosts anda dan yang terpenting anda sudah dapat memahami mengapa topik ini ditulis..

Begitu saja …  maafkan ke-sok tahuan saya dan satu hal lagi, penulisan topik ini tidak bermaksud mendiskreditkan situs tertentu, semata-mata  hanya ingin berbagi, terimakasih sudah mencoba mengerti..
Salam ….

signature Transblog