Virus Jengkol

Weleh ada-ada aja nama virus ini. JeNGkol alias makanan yang paling sedap baunya … wakakakak.

ciri-ciri apabila terkena virus ini adalah sebagai berikut :

• logoff saat menjalankan file INF
• menggunakan file dengan icon JPEG besarnya 14 KB
• logoff saat edit file VBS
• file VBS menjadi JPEG
• file jengkol.vbs di setiap folder
• %AllFolder%/:\jengkol.vbs
• %drive%:\autorun.inf
• c:\documents and settings\%user%\Favorites\jengkol.vbs
• c:\documents and settings\%user%\Favorites\jengkol.lnk
• membuat file duplikat di setiap folder dengan icon JPEG
• merubah file DOC menjadi file JPEG

registry yang dirubah/ditambah adalah sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run

• JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

• NoFind
• NoFolderOptions
• NoRun
• NoDrives

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

• DisableCMD
• DisableRegedit
• RunLogonScriptSync

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

• NoDriveAutoRun = 03FFFFFF
• NoDrives

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

• DisableTaskMgr
• DisableRegedit
• RunLogonScriptSync
• EnableLUA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

• Disable

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

• attrib.exe —> debugger = notepad.exe
• cmd.exe —> debugger = notepad.exe
• install.exe —> debugger = notepad.exe
• msconfig —> debugger = notepad.exe
• regedit.exe —> debugger = notepad.exe
• regedit32.exe —> debugger = notepad.exe
• setup.exe —> debugger = notepad.exe
• taskMgr.exe —> debugger = notepad.exe

virus alman

Ciri-ciri dari virus Alman ini adalah sebagai berikut :

C:\Windows\linkinfo.dll

C:\Windows\System32\drivers\LsDrv118.sys

C:\Windows\system32\drivers\nvmini.sys

C:\Windows\System32\drivers\cdralw.sys

C:\Windows\System32\drivers\riodrvs.sys

C:\Windows\System32\drivers\DKIs6.sys

merubah dan menambahkan registry windows

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

• DisplayName = ‘NVIDIA Compatible Windows Miniport Driver’
• Imagepath = “%system%\drivers\%file%.sys”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

• NextInstance = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%000]

• Service = %file%
• Legacy = 1
• ConfigFlags = 0
• Class = LegacyDriver
• ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
• DevicesDesc = %file%

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%000\Control]

• NewlyCreated = 0
• ActiveService = %file%

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

• DisplayName = RioDrvs Usb Driver

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%

• DisplayName = RioDrvs Usb Driver

Membersihkan virus Cetix manual

Untuk membersihkan virus Cetix yang dari Bali cukup merepotkan juga. Dibawah ini adalah hasil googling yang didapat dari vaksin.com. Untuk membersihkan virus ini sebaiknya pada mode safe mode dengan langkah sebagai berikut :

• Matikan process virus yang masih berjalan bisa menggunakan program Itty Bitty yang dapat di download disini, process tersebut adalah :
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
  • C:\WINDOWS\cetix.exe
  • C:\WINDOWS\system32\poison.exe
• Hapus string registry yang sudah dirubah/dibuat oleh virus bisa menggunakan script yang terdapat pada akhir catatan ini
• Hapus file virus dengan ciri-ciri
  • Icon application/folder/word
  • type file application *.exe
  • ukuran file 45KB

Script yang dikutip dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”"”%1″” %*”
HKCR, comfile\shell\open\command,,,”"”%1″” %*”
HKCR, exefile\shell\open\command,,,”"”%1″” %*”
HKCR, piffile\shell\open\command,,,”"”%1″” %*”
HKCR, lnkfile\shell\open\command,,,”"”%1″” %*”
HKCR, scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, “C:\WINDOWS\system32\userinit.exe,”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

Jalankan repair.inf dengan klik kanan, kemudian pilih install. Pada saat pembuatan file ini lebih baik pada komputer yang tidak terkena virus.