Tab

Silahkan pilih background yang ingin dipilih!

Kamis, 07 April 2011

Win32.Sector.2x

Toyota Prius merupakan salah satu mobil ramah lingkungan yang paling tinggi penjualannya di dunia saat ini dan terjual sebanyak 2 juta unit sampai September 2010. Salah satu kunci keberhasilan Prius adalah dia berhasil menjembatani kondisi infrastruktur bahan bakar transportasi saat ini yang masih sangat bergantung pada bahan bakar fosil (a.k.a minyak bumi) tetapi sangat hemat karena juga menggunakan penggerak motor tenaga listrik. Mengapa tidak menggunakan tenaga listrik 100 % saja sehingga tidak perlu lagi tergantung pada minyak ? Secara ideal memang harusnya 100 % menggunakan tenaga listrik, tetapi karena faktor kemampuan mesin listrik yang masih kalah dibandingkan dengan tenaga fosil dan juga karena penyebaran pom pengisian bensin yang jauh lebih siap dibandingkan penyebaran pom pengisian baterai (listrik) maka secara realistis akan menyulitkan bagi pengguna Prius jika harus bergantung 100 % pada mesin tenaga listrik. Karena itu solusi terbaik yang realistis adalah menggunakan kedua sumber daya ini sehingga didapatkan mobil yang handal, super hemat dan dapat digunakan dimanapun mobil konvensional dapat digunakan.
Tidak mau kalah dengan Toyota, pembuat virus juga rupanya membuat virus hybrid, dan kabar buruknya adalah kali ini yang terjadi adalah keunggulan dari dua virus yang paling bandel dan ganas Sality dan Shortcut disatukan menjadi satu virus baru Win32.Sector.2x.

Jika jejaring sosial seperti Facebook menjadi tren bagi kalangan pengguna internet di dunia, maka tidak mau kalah pula bagi para pembuat virus yang menjadikan virus “shortcut” sebagai salah satu tren virus saat ini.

Masih ingatkah anda dengan virus “Sality”, virus yang merupakan jawara virus pada tahun 2009 serta virus yang sangat menyebalkan bagi para pengguna komputer kini hadir kembali dan telah menginfeksi ribuan pengguna komputer di Indonesia. Virus ini menggunakan metode penyebaran yang sama dengan virus shortcut(menggunakan file shortcut palsu), sehingga mampu mengecoh pengguna komputer yang beranggapan seolah-olah komputer telah di-serang virus shortcut. Padahal, setelah ter-eksekusi file shortcut palsu tersebut akan menjalankan varian virus Sality dan menginfeksi komputer terutama file executable yang sedang aktif.

Metode baru dari “Sality” tersebut ditemukan dengan berbagai varian jenis virus, dan Dr.Web Scanner mendeteksi sebagai Win32.Sector.2x. (x dengan varian berbeda-beda seperti 21,22,23,dll) (lihat gambar 1)
Gambar 1, Dr.Web Scanner mendeteksi varian baru Sality dengan nama Win32.Sector.2x (Sality-Shortcut)

Varian Malware pengguna celah Keamanan .LNK (shortcut)
Hingga saat ini, banyak sekali varian malware yang menggunakan celah keamanan .LNK (shortcut) untuk melakukan penyebaran secara cepat. Beberapa malware yang telah menggunakan celah tersebut diantaranya sebagai berikut :

  • Sality (Sector atau Tanatos)
Varian virus polymorphic yang melakukan infeksi file executable, dan juga ternyata menggunakan celah keamanan ini untuk melakukan penyebaran. Selain melalui file yang di-infeksi, Sality membuat 2 file (1 file autorun.inf dan 1 file executable dengan nama acak) melalui media USB dan jaringan yang menggunakan full sharing (dengan menyertakan pula ratusan file executable sampah dengan nama acak).

  • Zeus (Zbot atau botnet)
Varian trojan yang melakukan infeksi pada web-web bank dan finansial. Dengan menambahkan keylogger pada halaman web tersebut dengan maksud mendapatkan username dan password. Worm ini mampu menginfeksi komputer melalui celah pada browser seperti Internet Explorer dan Mozilla Firefox. Worm ini juga dapat melakukan broadcast spam kepada alamat e-mail tertentu.

  • Chymine (worm YM atau conime/secupdat)
Worm yang sangat populer menginfeksi komputer melalui media Yahoo Messenger. Dengan teknik penyebaran yang sama seperti Zeus/Zbot dan Sality, dan memiliki varian yang berbeda-beda. Anda dapat membaca selengkapnya pada artikel virus google dan virus YM.

  • Stuxnet (Winsta)
Trojan yang baru-baru ini menyebar dengan cepat dengan memanfaatkan koneksi jaringan dan media USB. Trojan ini membuat space harddisk kita menjadi habis. Selengkapnya dapat anda baca pada artikel stuxnet.

  • VBNA/Hllw.Autoruner.xx (worm Vobfus atau Shortcut/Random)
Worm shortcut yang memiliki karakter seperti worm YM. Dengan menggunakan banyak file acak dan ukuran yang berbeda-beda, maka tak jarang tidak semua antivirus mampu mendeteksi varian virus worm ini. Saat ini worm ini cukup populer dan mampu menyebar dengan pesat. Anda dapat membaca salah satu artikel shorcut1 dan shortcut2.

File Virus
Virus Sality-Shortcut dibuat menggunakan bahasa C yang telah di-kompres menggunakan program UPX dan memiliki ukuran file yang bervariasi. File virus utama memiliki ekstensi file exe (application) dan file pif (Shortcut to MS-Dos). (lihat gambar 2)
Gambar 2, File virus sality-shortcut

Saat menginfeksi komputer korban, virus akan membuat beberapa file induk seperti :
  • C:\autorun.inf
  • C:\[nama_acak].exe
  • C:\[nama_acak].pif
  • C:\Documents and Settings\%user%\Local Settings\Temp\[nama_acak].exe

Selain itu, virus juga akan menyusupkan file driver berikut :
  • C:\WINDOWS\system32\driver\[nama_acak].sys (umumnya amsint32.sys dan iirktn.sys)

Jika terkoneksi internet, virus akan mendownload file virus lain yaitu :
  • C:\Documents and Settings\%user%\Desktop\[nama_acak].exe

Jika terdapat drive lain (removable drive/disk), maka virus akan membuat file :
  • autorun.inf
  • [nama_acak].exe
  • [nama_acak].pif

Menggunakan metode yang sama dengan virus shortcut, Sality-Shortcut juga membuat kumpulan file shortcut. Hanya saja, file-file yang dibuat tidak berada pada komputer yang terinfeksi melainkan komputer lain yang dijadikan sebagai perantara (seperti server data yang menggunakan akses full-sharing) untuk menginfeksi komputer lain. File-file tersebut akan dibuat pada seluruh direktori yang ada. Beberapa file shortcut yang dibuat yaitu :
  • Aline.lnk
  • AnnaBensonSexvideo.lnk
  • Anna.lnk
  • Audra.lnk
  • Badgirl.lnk
  • Barbi.lnk
  • BritneySpearsXXX.lnk
  • Caitie.lnk
  • CopyofNewFile.lnk
  • CopyofNewFolder.lnk
  • CopyofShortcut.lnk
  • Drivers.lnk
  • Fotograf.lnk
  • Galleryphotos.lnk
  • Jammie.lnk
  • JennaElfmansexanaldeepthroat.lnk
  • Juli.lnk
  • Julie.lnk
  • KateBeckinsalenudepictures.lnk
  • Katrina.lnk
  • Katrina.lnk
  • Kelley.lnk
  • Lisa.lnk
  • Mandy.lnk
  • Mary-Anne.lnk
  • Mary.lnk
  • MissAmericaPorno.lnk
  • MyPhotos.lnk
  • Mybeautifulperson.lnk
  • Myphotoalbum.lnk
  • Myphotos.lnk
  • Myphotos.lnk
  • NewFolder.lnk
  • NewShortcut.lnk
  • ParisHiltonXXXArchive.lnk
  • Photoalbum.lnk
  • Picture.lnk
  • PornoScreensaver.lnk
  • Rena.lnk
  • Sara.lnk
  • Serials.lnkBarrettJacksonnudephotos.lnk
  • Shortcut.lnk
  • Tammy.lnk
  • XXXhardcore.lnk
  • XXX.lnkXXX
  • archive.lnk
  • beautiful.lnk
  • caroline.lnk
  • groom.lnk
  • kate.lnk
  • kleopatra.lnk
  • rebecca.lnk
  • stacy.lnk
  • coinst.dll.lnk
  • ssres.dll.lnk
  • itdrvkr.dat.lnk
  • itdrvnr.chm.lnk
  • itdrvsp.dat.lnk

Selain itu juga membuat file shortcut dengan nama file yang ada pada ‘My Documents” komputer yang terinfeksi (seolah-olah file tersebut merupakan link file pada dokumen), seperti :
  • [nama_file].[ekstensi_file].lnk

Dan terakhir, virus akan menginjeksi file executable (application) yang sedang berjalan/aktif terutama file exe (Executable) dan scr (Screen Saver) sehingga ukuran file tersebut bertambah.

Gejala & Efek Virus
Beberapa gejala dan efek yang terjadi jika terinfeksi virus Sality-Shortcut yaitu sebagai berikut :

  • Melakukan blok/disable terhadap fungsi Windows seperti (Task manager dan Registry Editor)
Sama seperti varian Sality yang terdahulu, virus mencoba mencegah aksi user yang mencoba mematikan proses dari virus. (lihat gambar 3)
Gambar 3, Virus melakukan blok terhadap fungsi Windows (Task Manager/Regedit)

  • Modifikasi key Folder Options
Untuk mencegah agar tidak mudah dilihat atau dihapus, virus memodifikasi agar Folder Options tidak menampilkan file virus.
Virus melakukan modifikasi pada Folder Options

  • Mematikan Windows Firewall (Internet Connection Sharing)
Hal ini dilakukan agar virus mudah melakukan koneksi ke IP Remote Server. (lihat gambar 4)
Gambar 4, Virus mematikan fitur Windows Firewall (Internet Connection Sharing)

  • Menambahkan key "IPSEC" pada Windows Firewall
Seandainya Windows Firewall diaktifkan virus tetap akan melakukan koneksi ke IP Remote Server, karena virus menambahkan key "IPSEC" pada registry Windows Firewall. (lihat gambar 5)
Gambar 5, Virus membuat key "IPSEC" pada Windows Firewall

  • Menambahkan string pada SYSTEM.INI
Jika pada umumnya virus Sality hanya menambahkan string [MCIDRV_VER], [DEVICEMB=XXXX], pada varian baru ini Sality-Shortcut menambahkan menjadi 2 string, yaitu dengan tambahan [fje32a1s], [minr=1]. (lihat gambar 6)
Gambar 6, Virus menambahkan string pada SYSTEM.INI
  • Melakukan koneksi ke IP Remote Server dan mendownload varian virus lain.
Dengan memonitor proses yang berjalan, virus mencoba melakukan koneksi ke IP remote server yang dituju melalui file executable yang diinfeksi seperti file explorer.exe. Setelah terkoneksi, virus mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus. (lihat gambar 7)
Gambar 7, Virus melakukan koneksi ke IP Remote Server

  • Mematikan proses dari aplikasi "security" (antivirus, antispyware, dll)
Virus mencoba mematikan aplikasi "security" seperti antivirus, antispyware, antimalware, firewall dan yang lainnya. Beberapa aplikasi tersebut yaitu sebagai berikut :

A2CMD, A2FREE A2GUARD A2SERVICE, ADVCHK, AGB, AHPROCMONSERVER, AIRDEFENSE, AKRNL, ALERTSVC, AMON, ANTIVIR APVXDWIN, ARMOR2NET, ASHAVAST, ASHDISP, ASHENHCD, ASHMAISV, ASHPOPWZ, ASHSERV, ASHSIMPL, ASHSKPCK, ASHWEBSV, ASWSCAN, ASWUPDSV, AVAST AVCENTER AVCIMAN, AVCONSOL, AVENGINE, AVESVC, AVEVAL, AVEVL32, AVGAM AVGCC, AVGCC32, AVGCHSVX, AVGCSRVX, AVGCTRL, AVGEMC, AVGFWSRV, AVGNSX, AVGNT, AVGNTMGR AVGSERV, AVGTRAY, AVGUARD, AVGUPSVC, AVGWDSVC, AVINITNT, AVIRA AVKSERV, AVKSERVICE, AVKWCTL, AVP, AVP32, AVPCC, AVPM, AVSCHED32, AVSERVER, AVSYNMGR, AVWUPD32, AVWUPSRV, AVXMONITOR AVXQUAR, AVZ, BDSWITCH, BITDEFENDER, BLACKD, BLACKICE, CAFIX, CCEVTMGR, CCSETMGR, CFIAUDIT, CFP, CFPCONFIG, CLAMTRAY, CLAMWIN, CUREIT, DEFENDERDAEMON, DEFWATCH, DRVIRUS, DRWADINS, DRWEB, DWEBIO, DWEBLLIO, EKRN, ESCANH95, ESCANHNT, EWIDOCTRL, EZANTIVIRUSREGISTRATIONCHECK, F-AGNT95, F-SCHED, F-STOPW, FAMEH32, FILEMON, FIREWALL FORTICLIENT, FORTISCAN, FORTITRAY, FPAVSERVER, FPROTTRAY, FPWIN, FRESHCLAM, FSAV32, FSAVGUI, FSBWSYS, FSDFWD, FSGK32, FSGK32ST, FSGUIEXE, FSMA32, FSMB32, FSPEX, FSSM32, GCASDTSERV, GCASSERV, GIANTANTISPYWARE, GUARDGUI, GUARDNT, GUARDXKICKOFF, GUARDXSERVICE, HREGMON, HRRES, HSOCKPE, HUPDATE, IAMAPP, IAMSERV, ICLOAD95, ICLOADNT, ICMON, ICSSUPPNT, ICSUPP95, ICSUPPNT, INETUPD, INOCIT, INORPC, INORT, INOTASK, INOUPTNG, IOMON98, IPTRAY, ISAFE, ISATRAY, KAV, KAVMM, KAVPF, KAVPFW, KAVSTART, KAVSVC, KAVSVCUI, KMAILMON, MAMUTU, MCAGENT, MCMNHDLR, MCREGWIZ, MCUPDATE, MCVSSHLD, MINILOG, MYAGTSVC, MYAGTTRY, NAVAPSVC, NAVAPW32, NAVLU32, NAVW32, NEOWATCHLOG, NEOWATCHTRAY, NISSERV NISUM, NMAIN, NOD32 NORMIST, NOTSTART, NPAVTRAY, NPFMNTOR, NPFMSG, NPROTECT, NSCHED32, NSMDTR, NSSSERV, NSSTRAY, NTOS, NTRTSCAN, NTXCONFIG, NUPGRADE, NVCOD, NVCTE, NVCUT, NWSERVICE, OFCPFWSVC, ONLINENT, OP_MON, OPSSVC, OUTPOST PAVFIRES, PAVFNSVR, PAVKRE, PAVPROT, PAVPROXY, PAVPRSRV, PAVSRV51, PAVSS, PCCGUIDE, PCCIOMON, PCCNTMON, PCCPFW, PCCTLCOM, PCTAV, PERSFW, PERTSK, PERVAC, PESTPATROL PNMSRV, PREVSRV, PREVX PSIMSVC, QHONLINE, QHONSVC, QHSET, QHWSCSVC, QUHLPSVC, RFWMAIN, RTVSCAN, RTVSCN95, SALITY SAPISSVC, SAVADMINSERVICE, SAVMAIN, SAVPROGRESS, SAVSCAN, SCANNINGPROCESS, SCANWSCS, SDHELP, SDRA64, SHSTAT, SITECLI, SPBBCSVC, SPHINX, SPIDERCPL, SPIDERML, SPIDERNT, SPIDERUI, SPYBOTSD, SPYXX, SS3EDIT, STOPSIGNAV, SWAGENT, SWDOCTOR, SWNETSUP, SYMLCSVC, SYMPROXYSVC, SYMSPORT, SYMWSC, SYNMGR, TAUMON, TBMON, TMLISTEN, TMNTSRV, TMPROXY, TNBUTIL, TRJSCAN, TROJAN, VBA32ECM, VBA32IFS, VBA32LDR, VBA32PP3, VBSNTW, VCRMON, VPTRAY, VRFWSVC, VRMONNT, VRMONSVC, VRRW32, VSECOMR, VSHWIN32, VSMON, VSSERV, VSSTAT, WATCHDOG, WEBSCANX, WINSSNOTIFY, WRCTRL, XCOMMSVR, ZLCLIENT, ZONEALARM

  • Mematikan fungsi monitoring software security
Virus mencoba mencegah dari akses monitoring software, hal ini dilakukan dengan membaca file "NTOSKRNL.EXE" melalui file driver yang telah disusupkan kedalam system. Dengan cara ini virus mencoba melakukan "by-pass" atau "exclude", sehingga fitur On-Access Scanner dari antivirus tidak membaca.

  • Mematikan "System Restore"
Dengan mematikan fitur ini, virus berusaha mencegah system komputer kembali seperti sebelum terinfeksi virus. (lihat gambar 8)
Gambar 8, Virus melakukan koneksi ke IP Remote Server

  • Mematikan "Safe Mode" atau "Safe Boot"
Sama seperti varian virus Sality lainnya, virus juga berusaha mematikan fungsi “Safe Mode” Windows. Dengan cara ini, maka akan mempersulit pembersihan virus secara manual. (lihat gambar 9)
Gambar 9, Virus melakukan koneksi ke IP Remote Server

Modifikasi Registri
Beberapa perubahan yang dilakukan oleh virus yaitu :
  • Merubah Registry
  • Mematikan fungsi Security Center
Agar program dan aplikasi keamanan tidak dapat berjalan dengan normal, maka virus merubah key berikut :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = 1
AntiVirusOverride = 1
FirewallDisableNotify = 1
FirewallOverride = 1
UacDisableNotify = 1
UpdatesDisableNotify = 1

  • Modifikasi folder Option
Untuk mencegah agar file virus tidak mudah dilihat, dengan key berikut :
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Hidden = 2

  • Mematikan Windows Firewall
Agar Windows Firewall tidak aktif dengan membuat key berikut :
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = 0

  • Menambah Registry
  • Aktif pada saat meng-akses drive
Virus membuat key pada registry agar aktif saat mengkases drive tertentu, yaitu :
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
Shell\AUtoPLay\CommaND C:\[nama_acak].exe
Shell\AutoRun\command C:\[nama_acak].exe
Shell\eXplore\COMmaND C:\[nama_acak].exe
Shell\oPeN\coMmanD C:\[nama_acak].exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b7fdd69-e6fd-11df-a9bd-806d6172696f}
Shell\AUtoPLay\CommaND C:\[nama_acak].exe
Shell\AutoRun\command C:\[nama_acak].exe
Shell\eXplore\COMmaND C:\[nama_acak].exe
Shell\oPeN\coMmanD C:\[nama_acak].exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b7fdd69-e6fd-11df-a9bd-806d6172696f}
Shell\AUtoPLay\CommaND = D:\[nama_acak].pif
Shell\AutoRun\command = D:\[nama_acak].pif
Shell\eXplore\COMmaND = D:\[nama_acak].pif
Shell\oPeN\coMmanD = D:\[nama_acak].pif

  • Mematikan Task Manager dan Registry Editor
Virus melakukan hal ini dengan menambah pada key berikut :
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1
DisableTaskMgr = 1

  • Mematikan UAC (User Acount Control)
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA = 0

  • Menambah key pada Windows Firewall
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
[nama_file]:*:enabled:ipsec = [nama_file]

  • Menyusupkan file driver pada system
Virus menyusupkan file driver pada system dengan membuat key berikut :
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32
Type = 1
Start = 3
ErrorControl = 1
ImagePath = %System%\drivers\[nama_acak].sys
Displayname = amsint32

  • Menghapus Registry
  • Menghapus mode Safe Mode / Safe Boot
Virus menghapus pada key berikut :
  • HKLM\System\CurrentControlSet\Control\SafeBoot
  • HKCU\System\CurrentControlSet\Control\SafeBoot

Metode Penyebaran
Sama seperti virus shortcut, awalnya virus Sality-shortcut melakukan penyebaran melalui berbagai website yang mengandung trojan dan link spam pada e-mail, serta pada program crack/keygen.

Setelah komputer terinfeksi, virus melakukan penyebaran melalui media removable drive/disk dan menginjeksi program/aplikasi yang berjalan/aktif dan program-program executable. Program yang di injeksi memiliki ekstensi EXE (executable), dan SCR (Screen Saver).

Selain itu, dengan memanfaatkan akses full-sharing dan mapping drive dalam jaringan dengan membuat beberapa file shortcut pada semua folder. (Lihat gambar 10)
Gambar 10, Virus sality-shortcut membuat file shortcut dalam jaringan

Pembersihan Virus
  1. Putuskan koneksi jaringan/internet.
  2. Non-aktifkan program yang aktif pada start-up.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : MSCONFIG , kemudian klik OK.
  3. Setelah muncul jendela “System Configuration Utility”, klik pada tab Startup.
  4. Pada tab startup, klik Disable All (untuk me-non aktifkan semua program yang aktif).
  5. Kemudian klik Apply, dan klik OK.
  6. Log-off komputer, kemudian login kembali (maka program pada startup tidak aktif).

  1. Matikan dan hapus virus.
Lakukan langkah-langkah berikut :
  1. Download tools untuk membersihkan virus Sality-Shortcut pada komputer yang belum terinfeksi pada link berikut :
  1. Setelah selesai, kompress file tersebut hingga menjadi file zip.
  2. Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
  3. Klik kanan file zip tersebut, kemudian klik explore.
  4. Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.
  5. Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
  6. Klik Start untuk memulai Scan, dan klik Yes untuk memulai.
  7. Biarkan hingga proses scan selesai.

  1. Hapus string yang dibuat virus pada SYSTEM.INI.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : SYSTEM.INI , kemudian klik OK.
  3. Setelah muncul kotak jendela “SYSTEM.INI”, hapus string berikut :
[fje32a1s]
minr = 1

[MCIDRV_VER]
DEVICE=[angka_acak]
  1. Jika sudah selesai, klik File -> Save , dan klik File -> Exit

  1. Hapus string yang dibuat virus pada Windows Firewall.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : FIREWALL.CPL , kemudian klik OK.
  3. Jika muncul jendela konfirmasi untuk mengaktifkan Windows Firewall (Internet Connectin Sharing), klik OK.
  4. Setelah muncul jendela Windows Firewall, pada tab General, sebaiknya dalam posisi “On (recommended)”.
  5. Selanjutnya klik pada tab Advanced, kemudian klik tombol “Restore Defaults”.
  6. Kemudian klik OK.

  1. Repair registry yang telah dimodifikasi.
Lakukan langkah-langkah berikut :
  • Salin script dibawah ini dengan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x10001,0x00000001

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5b7fdd69-e6fd-11df-a9bd-806d6172696f}
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, EnableLUA
HKLM, System\CurrentControlSet\Services\amsint32

  • Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
  • Klik kanan file “repair.inf”, kemudian pilih “install”.
  • Restart komputer.

  1. Repair Safe Mode/Safe Boot yang telah dihapus.
Lakukan langkah-langkah berikut :
  1. Download file registry untuk Safe Mode pada link berikut :
  1. Klik 2x salah satu file registry yang disediakan sesuai dengan versi windows yang dimiliki.

  1. Bersihkan temporary file dari jejak virus.
Lakukan langkah-langkah berikut :
  1. Klik Menu Start -> Run
  2. Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  3. Pada drive system (C) klik OK, biarkan proses scan drive.
  4. Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  5. Tunggu hingga selesai.

  1. Aktifkan “System Restore”
Lakukan langkah-langkah berikut :
  1. Klik kanan My Computer, pilih Properties.
  2. Setelah muncul jendela System Properties, klik pada tab System Restore.
  3. Pada tab System Restore, hilangkan tanda cek pada pilihan “Turn off System Restore on all drives.
  4. Kemudian klik Apply, dan klik OK.

  1. Install security patch MS10-46 sesuai dengan versi windows yang anda miliki. Silahkan download pada link berikut :

  1. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Tidak ada komentar:

Posting Komentar

Yang ingin berkomentar tapi harus kata yang lembut (Bukan kasar!)
(Menggunakan Verifikasi Kata)
(Menggunakan Yahoo! Emoticon)
(Menggunakan Moderasi Komentar selama 1 hari jika tidak ditampilkan)