In a few words

Posts tagged “unlocker

Memperbaiki File Scrap

Pernah terkena masalah file scrap ini? file tersebut terpampang di desktop, terkadang tidak bisa dibuka dan dihapus.. hal ini tentu saja membuat sedikit bingung.

Biasanya file Scrap tersebut terjadi karena anda secara tidak sengaja mencopy isi text pada aplikasi word, kemudian di-paste ke desktop.. yap, langsung di desktop  !! .. hehehe.. mungkin tidak sengaja karena terlalu serius atau anda memang sedang blank… (atau karena memang anda kurang kerjaan?? 😯 ), sehingga File yang awalnya berextention DOC berubah jadi extantion.SHS (Shell Scrap Object File) kemudian berubah jadi SCRAP.

Cara sederhana untuk membuka file scarp tersebut, buka terlebih dahulu aplikasi Wordpad (Start –> All Program –> Accessories –> Wordpad) kemudian drag / seret file scrap tersebut kedalam aplikasi WordPad… jika telah muncul kembali isi dokumen, anda tinggal menyimpan / save file tersebut.. Selesai.

Kemudian untuk melenyapkan file scrap yang tidak bisa dihapus adalah dengan menggunakan tools unlocker (ambil disini)

Unlocker adalah sebuah tool freeware yang dapat membantu Anda mengatasi beberapa kerusakan file dalam sistem operasi windows (xp dan vista) ketika Anda mencoba menghapus, memindahkan atau mengganti nama file atau folder atau subfolder kemudian menerima sebuah kotak pesan kesalahan seperti:

  • “Cannot delete (filename): It is being used by another person or program”,
  • “Cannot delete file: Disk is not full or write-protected and that the file is not currently in use”
  • “close any programs that might be using the file and try again.”
  • atau beberapa pesan lain yang menerangkan bahwa file sedang dipergunakan oleh sistem…

Untuk menggunakan tool ini, hanya cukup klik kanan file atau folder dan pilih Unlocker lalu sebuah box konfirmasi akan muncul memberikan pilihan : No action, Delete, Rename dan Move … nah, pilihan ada ditangan anda. jika ingin menghapus file scrap seperti diatas tentu saja anda harus meng-klik pilihan ‘Delete’ .. Hups !! .. and U’re Done..

Simple saja bukan? … ok, mungkin saya sudah terlalu bertele-tele, selamat mencoba dan lain kali lebih berhati-hati dalam melakukan copy-paste.. Semoga bermanfaat.

S a l a m …

November 21, 2009 | Categories: baca aja | Tags: , , , , , | 34 Komentar

W32/Obfuscated.D2!gen – Virus Facebook

virus facebookApa yang ada dalam pikiran pembuat virus ketika bermain facebook?  💡 betul.. 100 untuk anda. Dari kreativitas tersebut kini sudah hadir Virus Facebook yang dikenal dengan nama Bredolab atau oleh antivirus Norman terdeteksi sebagai W32/Obfuscated.D2!gen.

Berhati hatilah jika anda menerima sebuah email yang seolah-olah dari Admin Facebook berisi attachment mengandung  virus kemudian meminta untuk mereset password Facebook anda. Setelah anda terinfeksi, sang virus kemudian mendownload antivirus palsu yang menyamarkan sebagai antispyware dengan nama “Security Tools”. Anda kemudian ditawakan untuk membeli antispyware palsu tersebut. File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai application.

Attachmen dalam email yang anda terima berisi 2 buah file virus bericon MsExcel (30 Kb) atau file zip (24Kb), yang akan aktif ketika komputer dinyalakan.  Ketika komputer telah terhubung  dengan jaringan internet  virus ini kemudian mendownload trojan/ spyware lain yang akan dijalankan secara otomatis.

Cara membersihkan :

1. Disable system restore
2. Disconect komputer dari jaringan internet
3. Lakukan pembersihan pada mode “safe mode”
4. Install software “unlocker
5. Matikan proses virus yang aktif dimemory, dengan “Security Task Manager

matikan proses

mematikan proses virus dari memory dengan Security Task Manager

Kemudian perbaiki registry dengan script dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, “userinit.exe”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

====================================

[copy – paste pada Notepad kemudian safeAs dengan nama repair.inf – Klik kanan repair.inf pilih install ]

Hapus file yang dibuat virus di :

  • C:\Documents and Settings\All Users\Application Data\47543326
  • C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
  • C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
  • C:\Documents and Settings\Elvina\Application Data\ wiaservg.log§ C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
  • C:\WINDOWS\Temp\ wpv311256600826.exe
  • C:\WINDOWS\Temp\ wpv411256806849.exe
  • C:\Documents and Settings\%user%\reader_s.exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
  • C:\WINDOWS\system32\reader_s.exe
  • C:\Windows\system32\wbem\proquota.exe
  • C:\windows\system32\sdra64.exe
  • C:\Windows\system32\lowsec

o local.ds
o user.ds
o user.ds.lll

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:

Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [hapus]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)

Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner

Bersihkan secara optimal dengan tools Norman Malware Cleaner atau dengan versi terbaru.  Bisa juga dengan Malwarebytes Anti Malware .

Review ini saya sampaikan sekedar mengingatkan anda untuk berhati hati ketika bermain facebook, sebab dari cara penyebaran virus Bredolab ini, varian lain untuk virus facebook terbarunya pasti akan lebih hebat lagi :mrgreen:

Cukup, terimakasih sudah membaca …

Salam

signature Transblog

* C:\Windows\temp
o Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
o _ex-08.exe
* C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
* C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe

November 8, 2009 | Categories: baca aja | Tags: , , , , , , , , , , , , , , , , | Tinggalkan komentar