arsip hilman: Februari 2010

Senin, 08 Februari 2010

Basmi Virus di Yahoo Messenger,,,!!!

Coutsonif.A mengirimkan pesan yang sekilas seperti pesan pada umumnya. Namun jangan sampai mengklik link yang diberikan, sekalipun dikirimkan oleh teman Anda. Pasalnya, pesan tersebut sebenarnya bukan dikirimkan oleh rekan Anda, melainkan oleh virus yang telah berhasil menginfeksi komputer rekan Anda.

Nah, jika sudah terinfeksi, maka secara otomatis ia akan membuat nama file acak dengan ekstensi .tmp dan .exe yang akan disimpan di direktori “C:\Documents and Settings\%user%\Local Settings\Temp” dengan nama yang berbeda-beda.

Kalau sudah begini, user hanya bisa pasrah dan tak tenang beraktifitas di internet lagi. Bahkan, bisa-bisa nama baiknya pun rusak karena dituduh menyebarkan virus juga. Sebab, si penerima pesan menduga temannya yang sengaja mencelakakan dirinya dengan mengiriminya virus.

Makanya, sebelum kejadian itu terjadi. Ada baiknya Anda simak 6 cara jitu untuk membasmi virus perusak nama baik yang menyerang aplikasi chat ini seperti dilansir Vaksin.com:

1. Disable ‘System Restore’ selama proses pembersihan.

2. Disable autorun Windows, agar virus tidak dapat aktif secara otomatis saat akses ke drive /flash disk.
Klik tombol ‘Start‘
Klik ‘run’ Ketik ‘GPEDIT.MSC‘, tanpa tanda kutip. Kemudian akan muncul layar ‘Group Policy‘
Pada menu ‘Computer Configuration dan User Configuration‘, klik ‘Administrative templates‘
Klik ‘System‘
Klik kanan pada ‘Turn On Autoplay‘, pilih ‘Properties‘. Kemudian akan muncul layar ‘Tun on Autoplay Properties‘
Pada tabulasi ‘Setting‘, pilih ‘Enabled‘
Pada kolom ‘Turn off Autoplay on‘ pilih ‘All drives‘, Klik ‘Ok‘

3. Matikan proses virus, gunakan tools ‘security task manager‘ kemudian hapus file sysmgr.exe, vshost.exe, winservices.exe, *.tmp
Sekadar catatan, .tmp menunjukan file yang mempunyai ekstensi TMP [contoh: 5755.tmp]. Klik kanan pada file tersebut dan pilih ‘Remove‘, lalu pilih opsi ‘Move File to Quarantine‘.

4. Repair registry yang sudah diubah oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf, lalu pilih Instal.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, SessionInformation, ProgramCount, 0×00010001,3
HKCU, AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current,,,”C:\WINDOWS\media\Windows XP Pop-up Blocked.wav”
HKCU, AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current,,,”C:\Windows\media\Windows XP Recycle.wav”
HKCU, AppEvents\Schemes\Apps\Explorer\Navigating\.Current,,,”C:\Windows\media\Windows XP Start.wav”
HKCU, AppEvents\Schemes\Apps\Explorer\SecurityBand\.current,,,”C:\WINDOWS\media\Windows XP Information Bar.wav”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft(R) System Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, bMaxUserPortWindows Service help
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, MaxUserPort

5. Hapus file virus berikut:
C:\vshost.exe [all drive]
C:\autorun.inf [all drive]
C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
C:\Documents and Settings\%user%\Local Settings\Temp
A415.tmp [acak]
034.exe [acak]
Lady_Eats_Her_Shit–www.youtube.com
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\TEMP\5755.tmp
C:\windows\system32\crypts.dll
C:\windows\system32\msvcrt2.dll

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang dapat mendeteksi dan membasmi virus ini up to date.

Setting GPRS n MMS

Setting GPRS Semua Operator

Setting GPRS Telkomsel

Connection Name : Telkomsel
Data Bearer : GPRS
Access Point Name : telkomsel
Username : wap
Prompt Password : No
Password : wap123
Authentication : Normal
Proxy address : 10.1.89.130
Homepage : http://wap.telkomsel.com
Connection Security : Off
Session Mode : Permanent

Setting GPRS Matrix

Connection Name : Satgprs
Data Bearer : GPRS
Access Point Name : satelindogprs.com
Username : (kosongkan)
Prompt Password : No
Password : (kosongkan)
Authentication : Normal
Proxy address : 202.152.162.250
Homepage : http://satwap
Connection Security : Off
Session Mode : Permanent

Setting GPRS IM3

Connection Name : M3-gprs
Data Bearer : GPRS
Access Point Name : www.indosat-m3.net
Username : gprs
Prompt Password : No
Password : im3
Authentication : Normal
Proxy address : 010.019.019.019
Homepage : http://wap.indosat-m3.net
Connection Security : Off
Session Mode : Permanent

Setting GPRS XL

Connection Name : XL-gprs
Data Bearer : GPRS
Access Point Name : www.xlgprs.net
Username : xlgprs
Prompt Password : No
Password : proxl
Authentication : Normal
Proxy address : 202.152.240.50
Homepage : http://wap.lifeinhand.com
Connection Security : Off
Session Mode : Permanent

Setting MMS

Setting MMS Telkomsel

Connection Name: tel-MMS
Data Bearer: GPRS
Access Point Name: mms
Username: wap
Prompt Password: No
Password: wap123
Authentication: Normal
Proxy address: 10.1.89.150
Homepage: http://mms.telkomsel.com/
Connection Security: Off

Setting MMS Mentari dan Matrix

Connection Name : sat-MMS
Data Bearer : GPRS
Access Point Name : mms.satelindogprs.com
Username : satmms
Prompt Password : No
Password : satmms
Authentication : Normal
Proxy address : 202.152.162.88
Homepage : http://mmsc.satelindogprs.com.
Connection Security : Off

Setting MMS IM3

Connection Name : M3-MMS
Data Bearer : GPRS
Access Point Name : mms.indosat-m3.net
Username : mms
Prompt Password : No
Password : im3
Authentication : Normal
Proxy address : 010.019.019.019
Homepage : http://www.mmsc.m3-access.com
Connection Security : Off

Setting MMS XL

Connection Name : XL-MMS
Data Bearer : GPRS
Access Point Name : www.xl.mms.net
Username : xlgprs
Prompt Password : No
Password : proxl
Authentication : Normal
Proxy address : 202.152.240.50
Homepage : http://mmc.xl.net.id/sevlets/mms
Connection Security : Off

MENTARI :

Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 3000
Contoh: GPRS NOKIA 7650

Setting GPRS Manual :Profile Name INDOSATGPRS
User name : indosat
APN : www.satelindogprs.com
Password : indosat
Gateway IP : 10.19.19.19
Homepage : http://wap.klub-mentari.com
Data Bearer : GPRS
Proxy port number :

» MATRIX :

Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 3939
Contoh: GPRS NOKIA 7650

Setting GPRS Manual :Profile Name satelindo Homepage
User name :
APN : www.satelindogprs.com
Password :
Gateway IP : 202.152.162.250
Homepage : http://wap.matrix-centro.com
Data Bearer : GPRS
Proxy port number : 9201

» IM3 :

Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 3939
Contoh: GPRS NOKIA 7650

Setting GPRS Manual :Profile Name
User name : gprs
APN : www.indosat-m3.net
Password : im3
Gateway IP : 010.019.019.019
Homepage : http://wap.m3-access.com
Data Bearer : GPRS
Proxy port number : 9201 atau 8080

» XL :

Setting GPRS OTA :
Ketik SMS: GPRS‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 9667
Contoh: GPRS NOKIA 7650

Setting GPRS Manual : Profile Name : XL GPRS
User name : xlgprs
APN : www.xlgprs.net
Password : proxl
IP Address : 202.152.240.50
Homepage : http://wap.lifeinhand.com
Data Bearer : GPRS
Proxy port number : 8080

» TELKOMSEL :

Setting GPRS OTA :
Ketik SMS: S‹spasi›MerkHP‹spasi›TypeHP
Kirim Ke: 5432
Contoh: S NOKIA 7650

Setting GPRS Manual : Profile Name : TSEL GPRS
APN : Telkomsel
User name : wap
Prompt Password : No
Password : wap123
Authentication : Normal
Gateway IP address : 10.1.89.130
Homepage : http://wap.telkomsel.com
Connection Security : Off
Session Mode : Permanent

Virus W32/Smalltroj

Virus W32/Smalltroj. VPCG menjadi salah satu program jahat yang wara-wiri di akhir tahun ini. Virus ini akan memblok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik Google.

Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website www.google.com.

Berikut 9 langkah untuk membersihkan W32/Smalltroj. VPCG yang diramu Vaksincom:

1. Nonaktifkan System Restore selama proses pembersihan berlangsung.

2. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet.

3. Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.

4. Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD. Hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan driver sulit untuk dihentikan. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html

Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:

l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [File Management]
l Klik menu [Windows Explorer]
l Kemudian hapus file berikut:

o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf

5. Hapus registri yang dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:

l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [Registry Tools]
l Klik [Avast! Registry Editor]
l Jika muncul layar konfirmasi kelik tombol "Load....."
l Kemudain hapus registry : (lihat gambar 6)

Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

ü Ubah value pada string Userinit menjadi = userinit.exe,
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%

Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]

6. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install

[Version]

Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, software\microsoft\ole, EnableDCOM,0, "Y"

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0

HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe

HKLM, SYSTEM\ControlSet001\Services\kernelx86

HKLM, SYSTEM\ControlSet002\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\mojbtjlt

HKLM, SYSTEM\ControlSet002\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\Passthru

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe.

8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html

Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.

9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman.com/support/support_tools/58732/en.

Virus OnlineGames

Bagi Anda yang tidak ingin data penting hilang ataupun dicuri sebaiknya jangan sampai terinfeksi virus OnlineGames. Hindari eksekusi maupun instalasi pada program maupun software yang tidak dikenal.

Selain itu yang harus diingat, hati-hatilah pada forum online di internet yang menyediakan link-link yang mencurigakan atau tidak Anda yakini keabsahannya.

Khusus untuk perusahaan dengan komputer dalam jaringan yang banyak, Vaksincom menyarankan Anda melakukan filter IP-IP yang mencurigakan. Hasil filtering menggunakan NNP yang dilakukan Vaksincom pada traffic ISP di Indonesia mengkonfirmasikan bahwa W32/OnlineGames merupakan ancaman yang nyata yang harus diwaspadai saat ini.

Namun, jika sudah terlanjur terinfeksi trojan ini, mau tak mau Anda harus sedikit berjuang untuk membersihkan virus OnlineGames, sebelum data-data penting Anda tercuri oleh trojan ini. Berikut langkah-langkah untuk memberantasnya:

1. Matikan System Restore (XP/ME) (pada saat digunakan)
2. Matikan proses virus. Gunakan Windows Task Manager untuk mematikan proses virus.
3. Lakukan End Process pada file virus yang aktif (liser.exe)
4. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oeyy

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Kell

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

5. Hapus file virus (liser.exe & liser.dll) secara manual, yaitu pada folder "C:\Program Files\Manson" atau dapat menggunakan tools Norman Malware Cleaner. Anda dapat mendownload pada link berikut http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

arsip hilman

Cari Blog Ini

Senin, 08 Februari 2010

Basmi Virus di Yahoo Messenger,,,!!!

Setting GPRS n MMS

Virus W32/Smalltroj

Virus OnlineGames

Pengikut

Arsip Blog