Membersihkan virus Cetix manual

June 23, 2008

Untuk membersihkan virus Cetix yang dari Bali cukup merepotkan juga. Dibawah ini adalah hasil googling yang didapat dari vaksin.com. Untuk membersihkan virus ini sebaiknya pada mode safe mode dengan langkah sebagai berikut :

  • Matikan process virus yang masih berjalan bisa menggunakan program Itty Bitty yang dapat di download disini, process tersebut adalah :
    • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
    • C:\WINDOWS\cetix.exe
    • C:\WINDOWS\system32\poison.exe
  • Hapus string registry yang sudah dirubah/dibuat oleh virus bisa menggunakan script yang terdapat pada akhir catatan ini
  • Hapus file virus dengan ciri-ciri
    • Icon application/folder/word
    • type file application *.exe
    • ukuran file 45KB

Script yang dikutip dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”"”%1″” %*”
HKCR, comfile\shell\open\command,,,”"”%1″” %*”
HKCR, exefile\shell\open\command,,,”"”%1″” %*”
HKCR, piffile\shell\open\command,,,”"”%1″” %*”
HKCR, lnkfile\shell\open\command,,,”"”%1″” %*”
HKCR, scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, “C:\WINDOWS\system32\userinit.exe,”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

Jalankan repair.inf dengan klik kanan, kemudian pilih install. Pada saat pembuatan file ini lebih baik pada komputer yang tidak terkena virus.

Leave a Comment » | virus indonesia | Tagged: , | Permalink
Posted by joseph23

Virus Cetix dari BALI

June 18, 2008

Ternyata orang-orang di Bali juga tidak mau kalah dengan kota-kota lainnya dalam hal urusan virus. Karena saat ini juga sudah ada virus yang berasal dari bali yaitu VIRUS CETIX. Virus cetix cukup berbahaya karena mengahapus berbagai type file yang berada di komputer dan menggantinya dengan file duplikat yang sudah dibuat oleh virus. Type file yang diserang adalah :

  • MS OFFICE dengan ekstensi *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml
  • Multimedia dengan ekstensi *.mp3, *.3gp, *.dat, *.mov, *.wav
  • File Kompresi dengan ekstensi *.zip, *.rar
  • File gambar dengan ekstensi *.jpg, *.bmp, *.gif
  • File eksekusi dengan ekstensi *.bat, *.com, *.scr

dilihat dengan pilihan list/detail maka icon yang digunakan APPLICATION

cetix icon word
dilihat dengan pilihan icon maka icon yang digunakan WORD

cetix word

Jika dilihat dengan pilihan Thumbnails maka icon yang diguanakan FOLDER

cetix folder

Selain itu ciri yang lainnya adalah :

  • ukuran file 45 KB
  • menggunakan ekstensi .exe
  • type file application

Gejala komputer yang terkena virus cetix selain mematikan beberapa fungsi windows seperti taskmanager, regedit dll juga sebagai berikut :

  • Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).
  • Tidak bisa melakukan copy file (menu paste akan di-disable).
  • Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you…”
  • Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses
  • Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb

    • Dont Kill Me

  • Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan MS Outlook.
  • Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).
  • Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.

    • infobali.txt

  • Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C:\

    • about cetix

File induk virus yang dibuat :

  • C:\autorun.inf (pada semua root drive)
  • C:\%User%’s Files.exe (pada semua root drive)
  • C:\Untitled.exe (pada semua root drive)
  • C:\xz.exe (pada semua root drive)
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
  • C:\WINDOWS\cetix.exe
  • C:\WINDOWS\racun.exe
  • C:\WINDOWS\system32\poison.exe
  • C:\WINDOWS\system32\toxic.exe
  • Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb

Registry windows yang dirubah/ditambah :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cetix = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Poison=C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_CURRENT_USER\Control Panel\International\s1159 = AM | CETiX

HKEY_CURRENT_USER\Control Panel\International\s2359 = AM | CETiX

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization = CETiX BALi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner = xz

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue = 0

HKEY_CLASSES_ROOT\batfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\comfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\exefile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\lnkfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\piffile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

Leave a Comment » | virus indonesia | Tagged: , , | Permalink
Posted by joseph23

Virus Batosai

June 6, 2008

Harap untuk berhati-hati jika background folder WINDOWS anda berubah menjadi gambar kenshin himura si Batosai. Karena itu merupakan salah satu ciri terinfeksi virus batosai. Virus ini juga aktif dalam safe mode ataupun safe mode with command prompt. Virus ini tidak memblock fungsi taskmanager, regedit, ataupun msconfig. File induk virus ini adalah sbb :

  • C:\WINDOWS\desktop.ini
  • C:\WINDOWS\System32\windxp.ini
  • C:\WINDOWS\system32\restoration.msd
  • C:\WINDOWS\system32\CommandPrompt.Sysm
  • C:\WINDOWS\explore.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell= Explorer.exe “c:\windows\explore.exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\ShowSuperHidden=0
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\CheckedValue=1
  • HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run\def =C:\WINDOWS\Temp\Vel.exe
  • HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run\SysRestore =c:\windows\system32\restoration.msd
  • HKCU\Control Panel\Desktop\SCRNSAVE.exe=C:\WINDOWS\Temp\%fileduplikat%.exe

Virus ini juga membuat file-file duplikan yaitu :

  • C:\WINDOWS\Temp\Vel.exe
  • C:\WINDOWS\Temp\Ngsys.exe
  • C:\WINDOWS\Temp\rvshost.exe
  • C:\WINDOWS\Temp\system31.exe
  • C:\WINDOWS\Temp\userint.exe
  • C:\WINDOWS\Temp\windxp.exe
  • C:\WINDOWS\Temp\winzipt.exe
  • C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
  • C:\Documents and Settings\%user%\Local Settings\Temp\runer
  • C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
  • C:\Documents and Settings\%user%\Local Settings\Temp\system31
  • C:\Documents and Settings\%user%\Local Settings\Temp\userint
  • C:\Documents and Settings\%user%\Local Settings\Temp\vel
  • C:\Documents and Settings\%user%\Local Settings\Temp\windxp
  • C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

File-file duplikat tersebut mempunyai ciri :

  • icon tidak ada (hilang)
  • ukuran file 91 KB
  • type file icon
  • extension .exe

Untuk membersihkan virus ini dengan manual adalah sbb :

  • Disable system restore (winxp)
  • matikan proses virus yang sedang aktif menggunakan procexp
  • hapus registry yang sudah dibuat oleh virus
  • hapus file induk virus dan juga duplikatnya

Untuk memudahkan dalam memperbaiki registry dapat di lakukan melalui script dibawah ini yang di kutip dari vaksin.com dengan cara menuliskannya di dalam notepad dan simpan sebagai repair.inf. Setelah itu click kanan file tersebut dan pilih install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, exefile,,,”Application”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,1
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\scrfile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, def
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore
HKCU, ControlPanel\Desktop, SCRNSAVE.EXE

Leave a Comment » | virus indonesia | Tagged: , | Permalink
Posted by joseph23

« Previous Entries