(KADALPEDIA) All About Virus

Wekekeke.. tak kenal maka tak sayang..

thread ini sengaja gw buat agar para pengguna komputer mengenali jenis2 virus komputer.. wekekee.. kadang kita harus mengenali musuh kita.. agar kita bisa mengalahkannya..


Thread2 lawas yang berkaitan dengan thread ini adalah :

SEJARAH SINGKAT VIRUS KOMPUTER By Redbastard


W32/VBTroj.CEPA (Virus dudul di awal tahun 2010) By : Redbastard

diskusi Antivirus & Virus By Robi

10 virus terganas tahun 2010 By : Anak Dumai

basmi virus tanpa instal ulang & format By Anak Dumai

Virus Doomsday 2012 By : De_Santoz

Tips & Trik Membasmi Virus By : MR FRAN

Windows XP Operekan yang Kebal Virus By : Anak Dumai

Menghapus Virus Kangen dengan Tangan Kosong By Irigster

Amankan Flashdisk Dari Virus By : Dimo

Autorun Virus Remover By : Splinterx

Tips: Menghapus virus di USB flash disk By : Nurcahyo

cara basmi virus di flashdisk By Dakhocan


Babat Habis Virus 'Tati My Love' By : Blijunk

Virus Brontok W32.Brontok@MM, menyerang WinXP - Siapa takut ? By Andy_Baex


Mohon bantuannya juga bagi kawan2 untuk ikut berpartisipasi dalam thread ini..

Bls: (KADALPEDIA) All About Virus

5 Langkah Sederhana Menganalisis Virus Komputer

Pernahkah direpotkan oleh virus yang menyerang komputer Anda? Sementara update antivirus kita belum mampu mengenali program jahat yang mangacau tersebut. Mengapa tidak mencoba iseng-iseng menganalisis sendiri? Ini dia tahap sederhananya.

Adang Juhar Taufik, Senior Vaksinis Vaksincom pada saat seminar Vaksincom, memberi penjelasan betapa sederhananya tahapan analisis virus yang menyusup pada komputer bersistem operasi Windows, khususnya jika yang menyerang virus lokal.

"Untuk virus lokal sendiri sebenarnya mudah untuk menganalisisnya, karena pasti karakterisitknya sama," ujarnya. Adang pun mengatakan bahwa pertama kita harus memiliki internet, untuk mencari tools-tools yang secara gratis bisa diunduh di beberapa situs.


Selain itu virus lokal juga bisa dilihat melalui list proses Windows melalui task manager, untuk melihat jenis file aneh yang running. Di samping itu kita juga bisa menganalisanya melalui registry tools (reg. edit).

"Untuk user yang lebih advanced ada 2 tools yang mungkin bisa digunakan yakni pack detection dan unpack program serta VB decompiler. Karena biasanya virus lokal berbasis VB," tambahnya.

Adang pun menjelaskan setelah kita memiliki tools-tools tersebut, kita bisa mulai menganalisa dengan tahapan-tahapan yang sederhana:

1. Pahami dulu jenis virus yang menyerang: Icon apa yang disamarkan serta ukurannya.

2. Pahami karakteristik virus. Apakah membuat file duplikat, menyembunyikan file, menginjeksi file, atau menampilkan pesan tertentu.

3. Pahami cara kerja virus: Apa yang diubah virus, apakah registry, file induk yang dibuat, atau fungsi windows yang diblok.

4. Pahami penyebaran virus: Apakah melalui USB flash disk atau folder yang di share, karena biasanya virus lokal menyusup melalui 2 media tersebut.

5. Siapkan beberapa tools yang digunakan.

SUMBER : Detik.net

Bls: (KADALPEDIA) All About Virus

9 Langkah Mengusir Virus Pengeksploitasi Google


Sudah tak terhitung sudah berapa banyak virus yang dihasilkan sepanjang bulan November-Desember 2009. Rata-rata mempunyai daya sebar yang sangat cepat dan cukup merepotkan.

Virus W32/Smalltroj. VPCG menjadi salah satu program jahat yang wara-wiri di akhir tahun ini. Virus ini akan memblok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik Google.

Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website www.google.com.


Berikut 9 langkah untuk membersihkan W32/Smalltroj. VPCG yang diramu Vaksincom:


1. Nonaktifkan System Restore selama proses pembersihan berlangsung.

2. Putuskan komputer yang akan dibersihkan dari jaringan maupun internet.

3. Ubah nama file [C:\Windws\system32\msvbvm60.dll] untuk mencegah virus aktif kembali.

4. Lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD. Hal ini disebabkan untuk beberapa file rootkit yang menyamar sebagai services dan driver sulit untuk dihentikan. Silahkan download software tersebut di alamat

Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara:

l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [File Management]
l Klik menu [Windows Explorer]
l Kemudian hapus file berikut:

o C:\Windows\System32
§ wmispqd.exe
§ Wmisrwt.exe
§ qxzv85.exe@
§ qxzv47.exe@
§ secupdat.dat
o C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sebesar 6 kb.
o C:\windows\system32\drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
o C:\Documents and Settings\%user%\secupdat.dat
o C:\Windows\inf
§ Netsf.inf
§ netsf_m.inf

5. Hapus registri yang dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya:

l Klik menu [Mini PE2XT]
l Klik menu [Programs]
l Klik menu [Registry Tools]
l Klik [Avast! Registry Editor]
l Jika muncul layar konfirmasi kelik tombol "Load....."
l Kemudain hapus registry : (lihat gambar 6)

Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentvers
on\run\\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\kernelx86
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\passthru
Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ctfmon.exe
Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

ü Ubah value pada string Userinit menjadi = userinit.exe,
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
ü %windir%\system32\ wmispqd.exe = %system%\ wmispqd.exe:*:enabled:UpnP Firewall
Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services\%xx%
Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\%xx%

Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]

6. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install

[Version]

Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, software\microsoft\ole, EnableDCOM,0, "Y"

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0

HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe

HKLM, SYSTEM\ControlSet001\Services\kernelx86

HKLM, SYSTEM\ControlSet002\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\mojbtjlt

HKLM, SYSTEM\ControlSet002\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\Passthru

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat

8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut

Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.

9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut

Semoga bermanfaat.

Sesuai forum rules, dilarang memasukan materi link download yang kemungkinan ilegal seperti crack, bajakan dan semacamnya. Software freeware dan shareware yang dibagikan/direview secara benar diperbolehkan

Link didelete, thread dapat di closed dan di move ke Archive, jika anda merasa ini kesalahan mohon pm saya

Click to expand...

NORMAN MALWARE CLEANER TOOL GRATIS CUY..!!! CEK DULU LINK DOWNLOADNYA SEBELOM MAEN HAPUS..!!

Bls: (KADALPEDIA) All About Virus

Software Malicious Software Removal Tool palsu ditemukan oleh Trend Micro.
BIla diaktifkan malah meminta nomor kartu kredit, nama, alamat dan meminta membeli antivirus lain senilai $99.9

File Malicious Software Removal Tool palsu hanya berukuran 421kb, tampilannya dibawah ini.

Win32.HLLW.Autoruner.based

agi para pengguna komputer, font merupakan salah satu bagian penting yang ada pada sistem komputer yang digunakan. Tanpa adanya font, kita tidak bisa membaca apapun yang ada di komputer. Selain itu, variasi font juga berguna untuk mempercantik sebuah tulisan. Sehingga, banyak pengguna komputer yang suka mengkoleksi font.



Bagi anda yang suka mengkoleksi font, harap berhati-hati jika anda memiliki sekumpulan font, karena bisa saja anda justru dikunjungi salah satu worm yang menggunakan logo/icon font. Alih-alih ingin memperbarui komputer anda, justru membuat komputer anda terinfeksi dan menyebarkan worm font.



Varian worm font ini merupakan kelanjutan dari worm folder cinta pada tahun lalu. Anda dapat melihat review worm folder cinta pada link berikut :

http://www.vaksin.com/2009/0709/cinta/virus_cinta.htm. Jika worm folder cinta menggunakan file kosong "khq", maka worm font menggunakan juga file kosong yaitu "khy". Jadi jika pada komputer anda atau komputer server anda terdapat file “khy”, maka anda baru saja dikunjungi oleh worm ini dan bahkan sudah menyebar worm “font” ini pada jaringan komputer anda.



Untuk varian worm ini, Dr.Web Scanner mendeteksi sebagai Win32. HLLW.Autoruner.based. (lihat gambar 1)


Gambar 1, Dr.Web Scanner mendeteksi varian worm font.


Ciri-ciri file worm

Ciri-ciri file worm font yaitu sebagai berikut :

- Menggunakan icon/logo font

- Memiliki ukuran 494 kb

- Type file "application"

- Memiliki ekstensi file "exe" (lihat gambar 2)

Gambar 2, File worm font.



Gejala/efek worm

Jika anda telah terinfeksi worm font, maka akan menimbulkan gejala/efek sebagai berikut :

Disetiap file sharing akan muncul file worm dengan nama “[namaacak].exe” dan file system yang kosong dengan nama “khq”. (lihat Gambar 3) File khq ini juga akan berada pada setiap root drive.


Gambar 3, File worm font pada sharing file.



File worm aktif di memori komputer dengan nama “csrcs.exe” (mirip dengan proses "csrss.exe" milik system Windows) pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes. (lihat gambar 4)


Gambar 4, Worm font aktif dan berjalan menggunakan nama csrcs.exe.


Tidak dapat menampilkan file yang sudah di hidden. (walaupun “folder options” sudah di rubah ber-kali kali, akan kembali hidden). Dengan melakukan hal ini, pengguna komputer tidak akan mudah tahu jika komputer sudah terinfeksi worm. (lihat gambar 5)



Melakukan koneksi ke internet untuk berkomunikasi dengan server worm. (lihat gambar 6)

Gambar 6, Worm melakukan koneksi internet.


Setelah melakukan koneksi, worm akan mendownload file malware lain-nya. (lihat gambar 7)




File file virus

Sama seperti halnya worm folder cinta, worm font juga dibuat dengan menggunakan bahasa script Autoit dan di kompress menggunakan UPX Unpacker. Beberapa file virus yang akan muncul jika dijalankan, yaitu :

ü C:\WINDOWS\system32\csrcs.exe (berukuran 494 kb)

ü [namaacak].exe , (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing)

ü khq, (disetiap root folder lokal yg sharing, serta folder dalam jaringan yang full-sharing) , serta pada setiap root drive.

ü [namaacak].exe , (pada media USB Flash/removable drive)

ü Autorun.inf , (pada media USB Flash/removable drive)



Apabila terkoneksi internet, worm akan mendownload beberapa file yaitu :

ü C:\Documents and Settings\%user%\Local Settings\Temp\www3.tmp

ü C:\WINDOWS\system32\RegShellSM.exe (berukuran 524 kb)

ü C:\WINDOWS\system32\autorun.i

ü C:\WINDOWS\system32\autorun.in



Registri Windows

Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat beberapa perubahan pada registry yaitu diantaranya :



Ø Agar dapat aktif saat komputer dijalankan, ia akan membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

csrcs = C:\WINDOWS\system32\csrcs.exe



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

csrcs = C:\WINDOWS\system32\csrcs.exe



Ø Untuk memproteksi dan tetap aktif pada windows, ia akan membuat string berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe csrcs.exe

sumber dan cara penanganan virus tersebut bisa anda coba di sini :
http://vaksin.com/2010/1210/worm-font/worm-font.htm