virus AMBURADUL
Posted on 04:58 by Eri -182
Salam Sejahtera
Madekippe!!!!!, Sorry nie kalau kata-kata pembukaannya agak terdengar kasar, ehh maksudnya tertulis ding. heheh.. (hallah sok lucu). tak lain dan tak bukan penyebabnya adalah karena hari ini aku sempat di buat pusing oleh virus lokal yang mengaku dirinya minta di panggil dengan sebutan AMBURADUL HOKAGE KILLER (hallah, mother fuck dg amburadul). awalnya sempat curiga saat menemui file gambar yang existensinya ".exe" di flash disknya temen n pas di thumbnail di windows explore gambarnya tak terlihat, pikiran uda lain-lain saat itu. Eh bodohnya lagi ,masih nekat aja di buka gara2 liat tulisan "Ce_Pen9God4.exe" and "J34ñNy_Mö3tZ_CuTE.exe" maklumlah tampang mupeng kayak aku gini keingin tahuan tentang sex masih meledak-ledak (Waaa!!!!, ancrit ketauan sudah siapa diriku sebenarny. whallah...) tapi menurut dokter boyke itu hal yang wajar, cuman caranya yang salah (Mendapatkan sex education). setelah berhasil menyingkirkan virus ini berkat bantuan Mr. Nuryanto si computer pshyco, aku coba nyari cara membasmi virus asli nusantara ini di search engine spy nanti klo dapat masalah yang sama bisa membantai virus ini dengan tangan dan keringat sendiri koz Mr. Nuryanto ga mau membocorkan cara pengendalian virus ini dengan seksama dan sesingkat-singkatnya.
Ternyata setelah cek n ricek virus amburadul ini melakukan Ddos ke sejumlah alamat website yang sudah ditentukan dengan melakukan Ping request terhadap beberapa web antara lain www.duniasex.com, www.data0.net, www.rasasayang.com (situs2 yang gue banget tuch!!! hehehe)indikasi virus ini adalah file gambar yang seharusnya berexistensi .Jpg, .Gif, .Bmp, .Tiff dan lain2 menjadi bertipe .exe. File tersebut antara lain:
• Ce_Pen9God4.exe
• J34ñNy_Mö3tZ_CuTE.exe
• M0D3L_P4ray_ 2008.exe
• MalAm MinGGuan.exe
• NonKroNG DJem8ataN K4H4yan.exe
• Ph0to Ber5ama.exe
• PiKnIk dT4ngKilin9.exe
• RAja Nge5ex.exe
• TrenD 9aya RAm8ut 2008.exe
ketika salah satu dari file bentukan virus diatas diklik maka secara otomatis dia akan menggandakan diri dan membentuk folder baru dibawah C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
• csrcc.exe
• smss.exe
• lsass.exe
• services.exe
• winlogon.exe
• Paraysutki_VM_Community.sys
• msvbvm60.dll
Awalnya karena tidak tahu, file-file tersebut langsung saja saya delete, tapi kemudian muncul lagi, saya delete lagi, dan muncul lagi. Kalo dilihat dari bahasanya jelas virus ini berasal dari Indonesia. Salah satunya disitu tertulis “jembatan Kahayan” seperti kita ketahui jembatan kahayan adalah jembatan yang membela sungai Kahayan di kota Palangkaraya, Kalimantan tengah. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Pinter sekali anak ini… apa tujuan dia membuat virus?.. untuk mengingatkan eksistensi mereka? Bayangkan, anti virus sekelas Norton pun ketika saya buat scan flashdisk, sampai habispun tidak terdeteksi. Dan ketika saya buka browser, judul pada browser semua berubah dan sama. “Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War” Pusing saya dibuatnya. Sampai akhirnya saya bertanya kepada teman yang lebih mengerti. Virus jenis ini ternyata hanya bisa terdeteksi oleh Anti virus lokal.
Cara membantainya adalah
• gunakan tools “currprocess”. maav saya ga menyediakn link downloadnya (karena ga tau caranya) Silahkan cari di google.
• Matikan file yang ikon jpg ber-ekstensi exe.
• Copy paste script dibawah ini:
[Version]
Signature=”$Chicago$”
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
lalu simpan di notepad dengan nama repair.inf, setelah jadi klik kanan filenya dan pilih instal.
• tampilkan file yang tersembunyi dengan cara buka windows explorer -> tool -> folder option -> pilih view pada tab -> pilih show hidden files and folders pada radio button
• Kemudian klik cari atau search pada toolbar di explorer -> all files and folder -> pada all or part of the file name ketik
*’.exe, *.exe’, *.jpg’, *.bmp’, *.gif’, *.png’, *.tiff’
lalu klik tombol search dan delete semua file yang ditemukan. File-file asli kita yang asli akan tampil kembali, ternyata oleh pembuat virus file-file gambar kita disembunyikan dan diganti dengan file dengan nama sama dengan ekstensi .exe. contohnya anda mempunyai file gambar asli bernama duyung.gif maka virus ini membuat duplikat dengan nama duyung.gif`.exe dan file gambar anda yang asli tidak terlihat
• Terakhir delete semua folder dan file dibawah C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
dan dibawah folder
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
Madekippe!!!!!, Sorry nie kalau kata-kata pembukaannya agak terdengar kasar, ehh maksudnya tertulis ding. heheh.. (hallah sok lucu). tak lain dan tak bukan penyebabnya adalah karena hari ini aku sempat di buat pusing oleh virus lokal yang mengaku dirinya minta di panggil dengan sebutan AMBURADUL HOKAGE KILLER (hallah, mother fuck dg amburadul). awalnya sempat curiga saat menemui file gambar yang existensinya ".exe" di flash disknya temen n pas di thumbnail di windows explore gambarnya tak terlihat, pikiran uda lain-lain saat itu. Eh bodohnya lagi ,masih nekat aja di buka gara2 liat tulisan "Ce_Pen9God4.exe" and "J34ñNy_Mö3tZ_CuTE.exe" maklumlah tampang mupeng kayak aku gini keingin tahuan tentang sex masih meledak-ledak (Waaa!!!!, ancrit ketauan sudah siapa diriku sebenarny. whallah...) tapi menurut dokter boyke itu hal yang wajar, cuman caranya yang salah (Mendapatkan sex education). setelah berhasil menyingkirkan virus ini berkat bantuan Mr. Nuryanto si computer pshyco, aku coba nyari cara membasmi virus asli nusantara ini di search engine spy nanti klo dapat masalah yang sama bisa membantai virus ini dengan tangan dan keringat sendiri koz Mr. Nuryanto ga mau membocorkan cara pengendalian virus ini dengan seksama dan sesingkat-singkatnya.
Ternyata setelah cek n ricek virus amburadul ini melakukan Ddos ke sejumlah alamat website yang sudah ditentukan dengan melakukan Ping request terhadap beberapa web antara lain www.duniasex.com, www.data0.net, www.rasasayang.com (situs2 yang gue banget tuch!!! hehehe)indikasi virus ini adalah file gambar yang seharusnya berexistensi .Jpg, .Gif, .Bmp, .Tiff dan lain2 menjadi bertipe .exe. File tersebut antara lain:
• Ce_Pen9God4.exe
• J34ñNy_Mö3tZ_CuTE.exe
• M0D3L_P4ray_ 2008.exe
• MalAm MinGGuan.exe
• NonKroNG DJem8ataN K4H4yan.exe
• Ph0to Ber5ama.exe
• PiKnIk dT4ngKilin9.exe
• RAja Nge5ex.exe
• TrenD 9aya RAm8ut 2008.exe
ketika salah satu dari file bentukan virus diatas diklik maka secara otomatis dia akan menggandakan diri dan membentuk folder baru dibawah C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
• csrcc.exe
• smss.exe
• lsass.exe
• services.exe
• winlogon.exe
• Paraysutki_VM_Community.sys
• msvbvm60.dll
Awalnya karena tidak tahu, file-file tersebut langsung saja saya delete, tapi kemudian muncul lagi, saya delete lagi, dan muncul lagi. Kalo dilihat dari bahasanya jelas virus ini berasal dari Indonesia. Salah satunya disitu tertulis “jembatan Kahayan” seperti kita ketahui jembatan kahayan adalah jembatan yang membela sungai Kahayan di kota Palangkaraya, Kalimantan tengah. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Pinter sekali anak ini… apa tujuan dia membuat virus?.. untuk mengingatkan eksistensi mereka? Bayangkan, anti virus sekelas Norton pun ketika saya buat scan flashdisk, sampai habispun tidak terdeteksi. Dan ketika saya buka browser, judul pada browser semua berubah dan sama. “Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War” Pusing saya dibuatnya. Sampai akhirnya saya bertanya kepada teman yang lebih mengerti. Virus jenis ini ternyata hanya bisa terdeteksi oleh Anti virus lokal.
Cara membantainya adalah
• gunakan tools “currprocess”. maav saya ga menyediakn link downloadnya (karena ga tau caranya) Silahkan cari di google.
• Matikan file yang ikon jpg ber-ekstensi exe.
• Copy paste script dibawah ini:
[Version]
Signature=”$Chicago$”
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
lalu simpan di notepad dengan nama repair.inf, setelah jadi klik kanan filenya dan pilih instal.
• tampilkan file yang tersembunyi dengan cara buka windows explorer -> tool -> folder option -> pilih view pada tab -> pilih show hidden files and folders pada radio button
• Kemudian klik cari atau search pada toolbar di explorer -> all files and folder -> pada all or part of the file name ketik
*’.exe, *.exe’, *.jpg’, *.bmp’, *.gif’, *.png’, *.tiff’
lalu klik tombol search dan delete semua file yang ditemukan. File-file asli kita yang asli akan tampil kembali, ternyata oleh pembuat virus file-file gambar kita disembunyikan dan diganti dengan file dengan nama sama dengan ekstensi .exe. contohnya anda mempunyai file gambar asli bernama duyung.gif maka virus ini membuat duplikat dengan nama duyung.gif`.exe dan file gambar anda yang asli tidak terlihat
• Terakhir delete semua folder dan file dibawah C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
dan dibawah folder
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
Subscribe to:
Post Comments (Atom)
No Response to "virus AMBURADUL"
Leave A Reply