In a few words

Posts tagged “script

Show/Hide Hidden Files and Folders dengan Windows Scripts

Adakalanya ketika melakukan pembersihan virus pada windows kita harus menampilkan hidden files and folder yang bertujuan menampilkan file dan folder virus yang tersembunyi dalam windows explorer.

Secara normal, untuk menampilkan hidden file and folder tersebut adalah dengan cara :

buka windows explorer, klik Tools dan pilih Folder Option. setelah jendela Folder Option terbuka, klik tab View dan klik pada Show hidden files and folders, buang centang pada kolom Hide extensions for known file types dan Hide protected operating system files.

Kemudian setelah pembersihan selesai biasanya kita mengembalikan setting agar hidden file dan folder menjadi tersebut tidak terlihat  …

============= Sebenarnya langkah diatas sudah sangat mudah, tetapi jika kita harus sering melakukan show/hide hidden files tersebut tentunya akan membuat kita merasa bosan juga …. 😀  Nah, pada posting ini saya ingin berbagi cara yang lebih mudah untuk menampilkan dan menyembunyikan kembali hidden file and folders hanya dengan double klik. Yaps … anda benar, tentunya dengan menggunakan Script windows.  tertarik ?

  • Download script disini
  • Double klik script yang sudah didownload untuk memunculkan hidden files and folders.

  • Untuk menyembunyikan hidden files and folders kembali, cukup double klik lagi script diatas

  • Klik kanan pilih refresh atau tekan f5

Catatan : Script diatas dapat digunakan pada windows vista dan XP

========================

Pada intinya script tersebut hanya untuk memudahkan proses menampilkan dan menyembunyikan hidden file and folders dengan cepat …

Ok, segitu saja semoga bermanfaat…

Salam . . .

Iklan

Mengembalikan Fasilitas Windows Yang Telah Dirusak Virus

Biasanya setelah anda melakukan pembersihan virus pada komputer, terkadang sang virus masih meninggalkan jejaknya di setting registry seperti mendiasable fasilitas task manager, regedit, run, CMD, computer Propertis, klik kanan error, device manager, bla bla bla dll… hal ini biasanya harus kita kembalikan secara manual baik dengan script maupun regedit. Untuk masalah tersebut, sebenarnya ada banyak tools yang bisa dipakai untuk mempermudah perbaikan, salah satunya adalah tools XP Quick Fix Plus.

Tools gratis yang berukuran kecil ini (551 Kb) dapat anda download disini

Kelebihan yang ada pada tools ini adalah selain  bersifat portabel sehingga anda tidak perlu melakukan penginstalan dan dapat dijalankan langsung dari flashdisk atau CD, ringan dan cepat dalam posesnya, juga menyediakan fasilitas untuk memperbaiki 40 macam perbaikan pada windows, diantaranya :

  • Mengaktifkan task manager yang tidak bisa dijalankan
  • Mengaktifkan Registry Editor
  • Mengaktifkan Folder Options
  • Menampilkan Run dialog yang hilang
  • Mengaktifkan command prompt
  • Mengembalikan My Computer Properties
  • Mengembalikan Device Manager
  • Boot.ini tab hilang dari MSCONFIG
  • Error klik kanan windows
  • CD/DVD drive hilang atau tidak dikenali
  • Icon Turn Off hilang dari Start menu
  • Mengaktifkan CD autoplay

Untuk melihat Fungsi dari masing-masing menu tinggal sorot dengan mouse maka pada panel dibagian bawah akan muncul informasi fungsi dari tools tersebut.

XP Quick Fix Plus juga dapat dijalankan melalui command prompt jika Windows tidak dapat menjalankannya secara normal mode, ada sebuah utiliti baris perintah sederhana (QFC.EXE) disertakan dalam file zip (38kb), caranya,  Start– run– ketik cmd,  ubah direktori ke folder penyimpanan XP XP Quick Fix Plus dan jalankan program QFC.EXE dengan parameter :

QFC /t – untuk enable the Task Manager
QFC /r – untuk enable the Rgistry Editor
QFC /f – untuk enable the Folder Options
QFC /e – untuk restore the Run Dialog
QFC /p – untuk restore My Computer Properties

Perlu diingat bahwa tools ini bukan untuk menghilangkan virus, melainkan untuk mengembalikan fasilitas windows yang telah dirubah atau di disable virus… so, please bersihkan dulu virusnya sebelum digunakan.. ok?

Cukup segitu, baiknya anda coba saja sendiri… semoga bermanfaat..

Salam …


Membunuh Proses Windows dengan Command Prompt

Ketika melakukan penghapusan virus pada komputer terinfeksi, terkadang anda harus menghentikan terlebih dahulu proses virus yang sedang berjalan / aktif, sehingga listing program virus tidak bisa memblokir antivirus yang akan dijalankan. secara normal kita dapat melakukan hal itu dengan Task Manager, tetapi karena sang virus mempunyai kemampuan untuk mendisable task manager maka kita memerlukan bantuan tools lain yang tidak / belum dikenali oleh virus. Telah banyak tools yang mempunyai kemampuan tersebut (misal ; killbox, cprocess, dll)

Namun disini jika anda tertarik untuk mencoba, secara sederhana juga dapat dilakukan penghentian Proses Windows melalui DOS Prompt. Bagi anda yang telah terbiasa tentu hal ini dapat dilakukan dengan mudah.

This is How To:

  • Klik START > RUN > ketik CMD – enter
  • Setelah windows DOS Prompt muncul, ketikan command: tasklist
  • Tasklist process yang sedang berjalan akan segera muncul

  • Cari nama process yang ingin anda hentikan, kemudian cari nomor PID nya.
  • Setelah anda tentukan process ID mana yang akan di hentikan maka ketik command tskill (no.PID) misal : –> tskill 564 maka aplikasi/proses dengan nomor PID tersebut akan diclose.

… Namun bagaimana jika virus juga memblok aplikasi RUN atau bahkan aplikasi Comand Prompt? …

Beberapa varian virus, trojan atau malware memang telah melakukan hal tersebut, menutup aplikasi run, regedit bahkan CMD, untuk melindungi dirinya. Jika hal tersebut terjadi anda bisa mencoba menghentikan proses windows dengan script sederhana dibawah ini :

==============================================

<html><head><title>Zank to Kill</title>
<HTA:APPLICATION
APPLICATIONNAME=”Zank2Kill” ID=”oHTA” BORDER=”thick”
BORDERSTYLE=”normal” CAPTION=”yes” CONTEXTMENU=”yes”
INNERBORDER=”no” MAXIMIZEBUTTON=”no” MINIMIZEBUTTON=”yes”
NAVIGABLE=”yes”
ICON=”TASKMGR.EXE” SCROLL=”yes” SCROLLFLAT=”yes”
SELECTION=”no” SHOWINTASKBAR=”yes” SINGLEINSTANCE=”no”
SYSMENU=”yes” VERSION=”0.3″ WINDOWSTATE=”normal” WIDTH=”3%”>
</head>
<script language=vbscript>
sub LIST()
dim objService,Process,colProcess,datanya
dim return,isi
set objService = getobject(“winmgmts:”)

datanya = “<font face=verdana size=2pt color=white>”
datanya = datanya & “<b>PROGRAM nang lagi jalan:</b><br><br>”
datanya = datanya & “<table cellspan=0 cellpadding=0 border=1″
datanya = datanya & ” bordercolor=black><tr bgcolor=black><td>”
datanya = datanya & “<font face=verdana size=2pt color=white>”
datanya = datanya & “<b>PID</td><td><font face=verdana size=2pt”
datanya = datanya & ” color=white><b>Ngaran Proses</td><td><font ”
datanya = datanya & “face=verdana size=2pt color=white><b>diapakan</td></tr>”

for each Process in objService.InstancesOf(“Win32_process”)
Return = Process.GetOwner(isi)
datanya = datanya & “<tr bgcolor=#333333><td><font face=verdana ”
datanya = datanya & “size=2pt color=white><b>”
datanya = datanya & Process.processid & “</b></td><td><font ”
datanya = datanya & “face=verdana size=2pt color=white>”
datanya = datanya & process.name & “</td><td bgcolor=black ”
datanya = datanya & “onclick=vbscript:BUNUH(”
datanya = datanya & process.processid & “)><font face=verdana ”
datanya = datanya & “size=2pt color=#FFCC00>:<) <b>BUNUH”
datanya = datanya & “</b></td></tr>”
Next
data.innerhtml = datanya
end sub
sub BUNUH(PID)
dim objService,Process,colProcess,t,vv
t = msgbox(“Anda yakin bunuh PID ” & pid & “?”,36,”Zank to Kill”)
if t = 7 then exit sub
set objService = getobject(“winmgmts:”)
vv = “Select * from Win32_Process Where processID = ” & PID
Set colProcess = objService.ExecQuery (vv)
For Each Process in colProcess
Process.Terminate()
Next
list
end sub
</script>
</head><body onload=”vbscript:list” bgcolor=#666666>
<span id=”data”></span>
<table bgcolor=#FFCC00><tr><td onclick=vbscript:list>
<font face=verdana size=2pt><b>REFRESH </b></td></tr></table>
</body></html>

==============================================

Copy script tersebut dan paste pada notepad, simpan dengan nama terserah_anda.hta (nama boleh ganti sesuka anda, namun ekstensi belakang harus .hta)

Atau jika anda malas membuatnya bisa juga anda ambil disini ekstrak file hasil download dan jalankan Zank2Kill.hta.

Seperti telah saya tuliskan diatas, saat ini banyak tersedia tools pengganti task manager yang dapat anda download secara gratis, namun alternatif diatas tidak ada salahnya untuk dicoba, semoga bermanfaat …

Salam …


W32/Obfuscated.D2!gen – Virus Facebook

virus facebookApa yang ada dalam pikiran pembuat virus ketika bermain facebook?  💡 betul.. 100 untuk anda. Dari kreativitas tersebut kini sudah hadir Virus Facebook yang dikenal dengan nama Bredolab atau oleh antivirus Norman terdeteksi sebagai W32/Obfuscated.D2!gen.

Berhati hatilah jika anda menerima sebuah email yang seolah-olah dari Admin Facebook berisi attachment mengandung  virus kemudian meminta untuk mereset password Facebook anda. Setelah anda terinfeksi, sang virus kemudian mendownload antivirus palsu yang menyamarkan sebagai antispyware dengan nama “Security Tools”. Anda kemudian ditawakan untuk membeli antispyware palsu tersebut. File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai application.

Attachmen dalam email yang anda terima berisi 2 buah file virus bericon MsExcel (30 Kb) atau file zip (24Kb), yang akan aktif ketika komputer dinyalakan.  Ketika komputer telah terhubung  dengan jaringan internet  virus ini kemudian mendownload trojan/ spyware lain yang akan dijalankan secara otomatis.

Cara membersihkan :

1. Disable system restore
2. Disconect komputer dari jaringan internet
3. Lakukan pembersihan pada mode “safe mode”
4. Install software “unlocker
5. Matikan proses virus yang aktif dimemory, dengan “Security Task Manager

matikan proses

mematikan proses virus dari memory dengan Security Task Manager

Kemudian perbaiki registry dengan script dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, “userinit.exe”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

====================================

[copy – paste pada Notepad kemudian safeAs dengan nama repair.inf – Klik kanan repair.inf pilih install ]

Hapus file yang dibuat virus di :

  • C:\Documents and Settings\All Users\Application Data\47543326
  • C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
  • C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
  • C:\Documents and Settings\Elvina\Application Data\ wiaservg.log§ C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
  • C:\WINDOWS\Temp\ wpv311256600826.exe
  • C:\WINDOWS\Temp\ wpv411256806849.exe
  • C:\Documents and Settings\%user%\reader_s.exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
  • C:\WINDOWS\system32\reader_s.exe
  • C:\Windows\system32\wbem\proquota.exe
  • C:\windows\system32\sdra64.exe
  • C:\Windows\system32\lowsec

o local.ds
o user.ds
o user.ds.lll

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:

Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [hapus]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)

Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner

Bersihkan secara optimal dengan tools Norman Malware Cleaner atau dengan versi terbaru.  Bisa juga dengan Malwarebytes Anti Malware .

Review ini saya sampaikan sekedar mengingatkan anda untuk berhati hati ketika bermain facebook, sebab dari cara penyebaran virus Bredolab ini, varian lain untuk virus facebook terbarunya pasti akan lebih hebat lagi :mrgreen:

Cukup, terimakasih sudah membaca …

Salam

signature Transblog

* C:\Windows\temp
o Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
o _ex-08.exe
* C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
* C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

Lagi-lagi Conficker …

Mconficker wormalam sudah cukup larut ketika tiba sebuah sms berisi pesaan “lg repot ga?.. sy mo mampir bw laptop sama virusnya” .. belum sempat reply, yang punya pesan sudah pasang senyum lebar di depan pintu dan langsung pesan kopi 😀 … setelah dilakukan scan antivirus, .. yaaahh… lagi lagi conficker…


Ketika mulai mengetikkan tuts keybord untuk judul diatas, “conficker” saya sedikit merasa bosan karena sudah sejak lama dedemit satu ini tidak pernah absen numpang ngetop di banyak topik blog … dengan varian beragam dengan nama beragam : Win32/Conficker.AA alias W32/Worm.AHGV, alias Net-Worm alias Win32.Kido.bg alias W32/Conficker.worm.gen, alias Mal/Conficker. Harus diakui juga bahwa varian ini tergolong cerdas karena saking ngetopnya sampai sampai ada isu bahwa jika ada 16 buah pc maka salah satunya pasti mengidap conficker (ngawur? hehe.. bisa ya, bisa tidak) tapi jangan panik dulu boss,  jika anda takut komputer anda termasuk yang terinfeksi silahkan cek dulu ke sini.

confickertest

Jika tampilan yg anda dapati adalah seperti gambar diatas maka komputer anda aman, tapi jika tampilan gambar tidak lengkap… hmm ada kemungkinan komputer anda telah terinfeksi.

conficker dapat digolongkan sebagai worm (Write Once Read Many) maap.. bukan pamer bahasa bule,  tapi artinya kurang lebih begini, worm adalah Program yang dapat mereplikasi dirinya dan mengirim beberapa kopian dari komputer ke komputer lewat hubungan jaringan. Setelah berhasil menginfeksi, kemudian menggunakan Network jaringan untuk menyebar dari sitem ke sistem lain. Sekali aktif di suatu sistem network worm dapat bersifat  seperti virus atau menempelkan program trojan horse.  Untuk mereplikasi dirinya, worm menggunakan layanan jaringan, seperti:  fasilitas email, eksekusi jarak jauh (remote), dan seperti biasa mampu mendompleng melalui media flash disk.

Yang menarik adalah saking dongkolnya, pihak  Microsoft yang kebakaran jenggot karena sistem keamanannya dapat disusupi oleh si conficker ini menyatakan akan menghadiahkan uang sebesar US$250.000 (setara 3 Miliar Rupiah) pada siapa saja yang berhasil menangkap pembuatnya. (mungkin semua juga sudah tahu)

Kesaktian program penyusup ini antara lain :

  • melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string antara lain  Ccert, sans, bit9, windowsupdate, wilderssecurity  tanpa melakukan perubahan host file  sehingga dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
  • membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
  • membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
  • membuat scheduled task untuk menjalankan file virus yang sudah dikopi.
  • Mendisable Show Hidden File & System Restore
  • melakukan perubahan pada sistem Windows Vista/Server 2008 dengan mendisable Windows Auto-Tuning (yang merupakan fitur  untuk meningkatkan performa ketika mencoba akses jaringan)

Conficker memiliki file pemicu yang dinamakan ”autorun.inf” biasanya ditemui di setiap drive komputer dan di flashdisk korban dengan ukuran file 55 KB. File induk Conficker bernama ”jwgkvsq.vmx” dengan ukuran file 155 Kb atau 169 KB bersifat superhidden dan biasanya tersimpan didalam folder ”RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665”.

Cara penghapusan yang biasa saya dilakukan adalah :

  1. Download MS08-67 vulnerability patch sesuai versi windows anda dari sini
  2. Download Win32.Worm.Downadup.Gen (Win32/Conficker.AA) removal tool dari BitDefender dari sini. extract file tersebut.
    Lepaskan kabel jaringan.
    Jalankan file Anti-downadup-graphics.exe
  3. Restart komputer anda setelah selesai
  4. Disable system restore to flush out infected restore points, Restart lagi komputer anda
  5. Hidupkan kembali System restore, caranya Klik START -> ALL PROGRAMS -> ACCESSORIES -> SYSTEM TOOLS -> SYSTEM RESTORE — Klik pada “create new restore point”, kemudian klik NEXT dan ikuti perintah selanjutnya.

—- alternatif lain ———–

  • bisa menggunakan antivirus PCMAV khusus conficker (untuk download digoogling aja dengan keyword PCMAV conficker)
  • untuk mengembalikan registry yang dirubah bisa gunakan plugin dari ansav atau smadav (untuk download digoogling aja)

atau dengan script untuk Repair registry yang dirubah oleh virus (service windows yang mati dan show hidden file). caranya copy script pada notepad, kemudian save as menjadi repair.inf.

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0×00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0×00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

================

Jangan lupa juga bersihkan temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner seperti Ccleaner atau ATF Cleaner.

Terakhir, lakukan instalasi antivirus dan selalu pastikan terupdate dengan baik.

sedikit catatan :

beberapa sofware gratis yang dapat anda download di kantong mbah google khusus untuk conficker antara lain :

Kaspersky AVP Removal Tool

Norman Malware Cleaner

McAfee AVERT Stinger

Microsoft Malicious Software Removal Tool

KidoKiller (Kaspersky)

Fix Downad (Trend Micro)

W32.Downadup Removal (Symantec)

EConfickerRemover (ESET/NOD32)