Menghadapi serangan berbagai macam virus komputer – dengan OS Microsoft Windows tentu saja – kebanyakan orang akan memikirkan bagaimana mendapatkan antivirus terbaru dan antivirus khusus untuk virus lokal tertentu karena kebanyakan software antivirus tidak mampu mendeteksinya. Berbeda dengan cara pikir yang sangat umum ini, saya menawarkan solusi alternatif menghadapi virus lokal yaitu membasminya secara manual.
Virus adalah program/aplikasi (=serangkaian perintah) yang mampu memperbanyak diri. Kebanyakan programer membuat virus-virus ini sebagai serangkaian perintah yang menyusup ke dalam barisan perintah-perintah dalam aplikasi-aplikasi lain. Virus-virus tertentu bahkan diprogram mampu menyelinap dalam master boot record ataupun sektor-sektor tertentu dalam disk dengan perlindungan khusus tanpa bisa dikenali pengguna sebagai file. Sayangnya pekerjaan cerdik ini tidak berlaku untuk kebanyakan virus lokal yang keberadaannya sangat mencolok dan mengundang permusuhan.
Berdasarkan titik lemah inilah kita dapat membasmi virus lokal secara manual.
Bagian I: Menghentikan Running Virus
Untuk serangan virus yang dibuat dengan Visual Basic (VB) – untungnya kebanyakan virus lokal dibuat dengan VB – anda dapat menghentikan running virus dengan cara ‘menyingkirkan’ msvbvm50.dll dan msvbvm60.dll yang berada dalam direktori c:windowssystem32 yang merupakan virtual machine dari program-program yang dibuat dengan VB. Adapun istilah ‘menyingkirkan’ bisa diwujudkan dengan berbagai cara tergantung keadaan ataupun selera, yaitu dihapus (tidak dianjurkan), dipindah ke folder lain, atau diganti dengan nama lain. Selain itu caranya bisa dilakukan dengan berbagai cara tergantung dari tingkat serangan virus mulai dari menggunakan windows explorer, command prompt emulator pada windows (ketika virus menonaktifkan windows explorer), ataupun harus menjalankan windows dalam mode ‘save mode with command prompt only’ dengan menekan F8 pada awal windows startup untuk menampilkan startup menu. Jika virus masih tetap berjalan, berarti virus tidak dibuat dengan VB dan untuk menjalankan langkah selanjutnya anda harus menggunakan Linux atau OS lain yang tidak terpasang emulator untuk program-program windows.
Bagian II: Menghapus Virus-virus
Untuk melenyapkan virus-virus yang harus anda lakukan adalah mengumpulkan semua file aplikasi melalui find dengan entri nama *.exe, mengidentifikasi aplikasi-aplikasi yang merupakan virus, dan menghapus mereka. Jika menu find telah dinonaktifkan oleh virus, anda bisa memanggilnuya dengan menekan F3 (jauh lebih mudah daripada harus mengedit registry editor). Memvonis aplikasi sebagai virus sangat tergantung dari pengalaman dan insting anda, karena ciri-cirinya bisa sangat bervariasi; tetapi yang harus menjadi acuan adalah bahwa anda mencari hal-hal ‘tidak seperti yang semestinya dan berada di tempat semestinya’ atau terkesan disembunyikan. Aplikasi-aplikasi dengan icon Microsoft word Document atau icon folder bisa langsung divonis sebagai virus, tetapi aplikasi dengan ikon biasa pun harus anda curigai jika anda yakin siapapun tidak pernah memindahkannya ke
Aplikasi yang telah anda vonis sebagai virus harus dihapus langsung dengan menekan sift+delete. Sebelumnya, pastikan semua data telah anda selamatkan dengan mengkopi isi dokumen dan di-paste di tempat lain dalam keadaan virus tidak runnig. Selamat beraksi.
3 Keanehan Windows
7 Agustus 2008
Tidak salah lagi bahwa saat ini Windows merupakan salah satu sistem operasi populer di dunia dan sering kita gunakan atau telah lama kita kenal. Tetapi, tahukah anda ada 3 keanehan pada Windows?
Apa saja keanehan tersebut?
- Coba anda buat folder dengan nama Con dimana saja di harddisk anda atau anda bisa mengubah nama folder yang sudah ada menjadi Con. Apa yang terjadi? Tentu tidak akan berhasil.
- Coba anda buat file txt (nama file bebas, tapi kita pakai default saja New Text Document.txt, OK?), buka file tersebut dan ketikkan Bush hid the facts. Save dan close file txt anda. Buka kembali file txt tersebut dan lihat apakah anda dapat melihat kembali tulisan yang baru saja anda tulis?
- Coba anda buka aplikasi MS Word dan ketikkan “=rand(200,99)” (tanpa tanda kutip) lalu tekan enter. Apa yang terjadi?
Aneh bukan? Mengapa bisa seperti itu? Ayo siapa bisa memecahkan teka-teki tersebut beserta bukti yang kuat ya!
Cara menghilangkan virus amburadul
21 Juni 2008
Sudah beredar lama virus ini, tapi baru saya tulis disini. Virus yang saling mematikan virus lainnya adalah virus amburadul ini, sama seperti virus-virus yang lain. Menyebar melalui usb flashdisk. Menurut vaksin.com virus ini mempunyai beberapa varian yaitu :
Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA
Virus ini membuat file duplikat dan mematikan beberapa fungsi windows seperti Regedit/Search/MsConfig/Folder Options atau taskmanager bahkan mematikan antivirus lokal seperti PCMAV/ANSAV. Ciri-cirinya :
Icon : Image (JPG)
Ukuran file : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan 56 KB)
Ekstensi file : EXE
Type File : Application
Pada saat virus aktif, ia akan membuat beberapa file induk dibawah ini yang akan dijalankan setiap kali komputer dinyalakan (file ini juga akan dibuat di semua drive termasuk di media Flash Disk)
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
• csrcc.exe
• smss.exe
• lsass.exe
• services.exe
• winlogon.exe
• Paraysutki_VM_Community.sys
• msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)C:\PaLMa.exe
C:\Images
• Ce_Pen9God4.exe
• J34ñNy_Mö3tZ_CuTE.exe
• M0D3L_P4ray_ 2008.exe
• MalAm MinGGuan.exe
• NonKroNG DJem8ataN K4H4yan.exe
• Ph0to Ber5ama.exe
• PiKnIk dT4ngKilin9.exe
• RAja Nge5ex.exe
• TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
• (V.4.9)_D053n^908L0K.exe
• ~ G0YanG Ranjang ~.exe
• GePaCar4an Neh!!!.exe
• GuE… BgT!.exe
• Ke.. TaUan N90C0k.exe
• Ma5tURbas1 XL1M4xs.exe
• PraPtih G4diEs PuJAAnku.exe
• SirKuit BaLi SmunZa.exe
• Apa yang dilakukan oleh Amburadul dan variannyaAuto start Virus
Agar virus ini dapat aktif secara otomatis setiap kali komputer aktif, ia akan membuat beberapa string pada registry berkut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PaRaY_VM
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ConfigVir
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NviDiaGT
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NarmonVirusAnti
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVManager
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe,
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Blok Fungsi Windows dan software security (Antivirus)
Untuk mempertahankan dirinya ia juga akan melakukan blok terhadap beberapa fungsi windows seperti Task Manager/Regedit/MSconfig/Folder Option/System Restore atau Search serta beberapa software security lainnya yang memungkinan dapat memperpendek umur virus tersebut, dengan membuat beberapa string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA =0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig
DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
DisableMSI
LimitSystemRestoreCheckpointing
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
Debugger = crundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
Debuger = rundll32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFind
HKEY_CLASSES_ROOT\exefile
NeverShowExt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
UncheckedValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
DefaultValue = 1
(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
CheckedValue = 0
(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
Type = checkbok
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
debugger = rundll32.ex
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
debugger = rundll32.exe
W32/Agent.EQXM (serta varian nya) juga akan mencoba untuk blok beberapa antivirus lokal (termasuk yang suka ngaku-ngaku sebagai antivirus terbaik di dunia) seperti PCMAV, SMP atau ANSAV dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
Debuger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
debugger = cmd.exe /c del
Untuk blok fungsi Windows dan software antivirus selain dengan membuat string pada registry di atas, ia juga akan mengunakan perintah taskkill.
Berikut aplikasi yang akan dimatikan oleh Agent.EQXM (dan varian) :
taskkill /f /im winamp.exe
taskkill /f /im winampa.exe
taskkill /f /im firefox.exe
taskkill /f /im iexplorer.exe
taskkill /f /im wmplayer.exe
taskkill /f /im PCMAV
taskkill /f /im CLN.exe
taskkill /f /im Ansav.exe
taskkill /f /im ansavgd.exe
taskkill /f /im explorer.exe
Misi Membasmi Hokage
Amburadul dan variannya mempunyai misi untuk membasmi keluarga Hokage (VBWorm.Gen16) dengan blok file virus tersebut agar tidak dapat dijalankan. Hal ini dipertegas dengan merubah judul pada aplikasi Internet Explorer (perhatikan gambar dibawah). Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 3)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
Debugger = cmd.exe /c del
Agent.EQXM juga akan mencoba untuk melakukan Ddos ke sejumlah alamat website yang sudah ditentukan dengan melakukan Ping request terhadap web berikut:
www.duniasex.com
www.data0.net
www.rasasayang.com.my
Menyembunyikan file gambar
File yang menjadi target virus ini adalah file gambar (JPG/BMP/PNG/TIFF/GIF), tetapi ia hanya akan menyembunyikan file gambar yang ada di Flash Disk. Untuk mengelabui user ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan dengan ciri-ciri:
Icon JPG
Ukuran “acak” (tergantung varian -> 51 KB / 52 KB / 54 KB / 56 KB)
Ekstensi .xx`.exe, dimana xx menunjukan ekstensi dari file gambar aslinya. Contohnya jika file gambar asli mempunyai nama data.bmp maka virus ini akan membuat file duplikat dengan nama data.bmp`.exe.
Type File “Application”
Setiap kali menyembunyikan file, ia cukup “baik hati” akan mencatatkan lognya dalam file C:\Windows\ Amburadul_List.txt,
Untuk menyebarkan dirinya, ia akan menggunakan media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut.
Berikut beberapa file yang akan dibuat pada media Flash Disk atau Disket:
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden)
C:\PaLMa.exe
C:\Images
Ce_Pen9God4.exe
J34ñNy_Mö3tZ_CuTE.exe
M0D3L_P4ray_ 2008.exe
MalAm MinGGuan.exe
NonKroNG DJem8ataN K4H4yan.exe
Ph0to Ber5ama.exe
PiKnIk dT4ngKilin9.exe
RAja Nge5ex.exe
TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
(V.4.9)_D053n^908L0K.exe
~ G0YanG Ranjang ~.exe
GePaCar4an Neh!!!.exe
GuE… BgT!.exe
Ke.. TaUan N90C0k.exe
Ma5tURbas1 XL1M4xs.exe
PraPtih G4diEs PuJAAnku.exe
SirKuit BaLi SmunZa.exe
Agar virus tersebut dapat aktif secara otomatis setiap kali user akses Drive atau Flash Disk ia akan menggunakan fitur Autorun windows dengan membuat file autorun.inf pada root Flash Disk atau Drive. File Autorun ini akan menjalankan file MyImage.exe, dimana file ini akan disembunyikan agar tidak mudah dihapus oleh user.
Cara membersihkan W32/Agent.EQXM (dan Varian)
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE. (lihat gambar 7)
Repair registry yang sudah di ubah oleh W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.
Jalankan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
Disable “System Restore” selama proses pembersihan
Hapus file induk virus W32/Agent. EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
Buka Windows Explorer
Klik menu “Tools”
Klik “Folder Options”
Klik Tabulasi View
Pada kolom “Advanced settings”
Pilih opsi “Show hidden files and folders”
Unchek “Hide extensions for known file types”
Uncheck “Hide protected operating system files (Recommended
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~)
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe
C:\PaLMa.exe
C:\Images
Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:
Klik “Start” menu
Klik “Run”
Ketik “CMD”
Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d
Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
Posting Komentar