Untuk pengaturan firewall di ubuntu dapat menggunakan perintah ufw melalui console. ufw adalah singkatan dari “Uncomplicated Firewall” yang bikin kita mudah untuk setting iptables di linux ubuntu.

contoh penggunaannya untuk mail server Zimbra adalah sebagai berikut :

# ufw logging on  <— menyalakan log

# ufw default deny <—- defaultnya dirubah jadi deny

# ufw allow ssh/tcp <— biar bisa pake ssh

# ufw allow proto tcp to any port 25 <— buat SMTP

# ufw allow proto tcp to any port 80 <— buat http

# ufw allow proto tcp to any port 110 <— buat POP3

# ufw allow proto tcp to any port 143 <— buat IMAP

# ufw allow proto tcp from 192.168.0.0/24 to any port  389 <— untuk LDAP tapi hanya LAN saja

# ufw allow proto tcp any port 443 <— buat HTTPS

# ufw allow proto tcp any port 465 <— buat SMTPS

# ufw allow proto tcp any port 993 <— buat IMAPS

# ufw allow proto tcp any port 995 <— buat POP3S

# ufw allow proto tcp any port 7071 <— buat admin cpanel Zimbra

# ufw enable <— update firewall

# ufw status <— lihat hasil konfigurasi Firewall loaded

To                         Action  From
–                         ——  —-
22:tcp                     ALLOW   Anywhere
80:tcp                     ALLOW   Anywhere
22:tcp                     ALLOW   192.168.0.0/24
25:tcp                     ALLOW   Anywhere
110:tcp                    ALLOW   Anywhere
143:tcp                    ALLOW   Anywhere
7071:tcp                   ALLOW   Anywhere
389:tcp                    ALLOW   192.168.0.0/24
443:tcp                    ALLOW   Anywhere
465:tcp                    ALLOW   Anywhere
993:tcp                    ALLOW   Anywhere
995:tcp                    ALLOW   Anywhere

Untuk delete rule yang sudah kita buat bisa dengan perintah sbb :

# ufw delete allow ssh/tcp <— menghapus rule ssh

# ufw delete allow 995/tcp <— menghapus rule port tcp 995

SCP adalah singkatan dari Secure Copy Protocol yang biasa digunakan untuk mencopy file dari komputer linux A ke komputer linux B menggunakan SSH.

contoh pemakaian nya adalah sebagai berikut :

file yang akan di copy : /home/jos1/test.txt (Komputer A)

directory tujuan file :/home/jos2 (komputer B)

komputer A : 192.168.2.5

komputer B : 192.168.2.10

Maka bila kita berada di komputer A menggunakan command berikut pada shell :

# scp /home/jos1/test.txt root@192.168.2.10:/home/jos2

setelah itu masukkan password rootnya

file test.txt akan di copy ke /home/jos2 (komputer B)

Kalau di fedora, opensuse atau red hat ada tool untuk membuat service dijalankan setiap kali server di restart yaitu chkconfig. Bagaimana dengan Ubuntu?

Untuk ubuntu sendiri juga ada tools tersebut yaitu rcconf. Rcconf ini berfungsi untuk mengontrol service apa saja yang dijalankan pada saat server booting ataupun reboot. Untuk menginstallnya dapat dijalankan dengan perintah :

# apt-get install rcconf

atau

# sudo apt-get install rcconf

sedangkan untuk menggunakannya :

# rcconf

atau

# sudo rcconf

setelah itu tinggal pilih service apa aja yang mo dijalanin deh…

atau kalo mo pake mode teks bisa dengan cara :

# update-rc.d [nama service]  defaults  <— dijalankan pada start up

# update-rc.d [nama service] remove <— remove

Weleh ada-ada aja nama virus ini. JeNGkol alias makanan yang paling sedap baunya … wakakakak.

ciri-ciri apabila terkena virus ini adalah sebagai berikut :

• logoff saat menjalankan file INF
• menggunakan file dengan icon JPEG besarnya 14 KB
• logoff saat edit file VBS
• file VBS menjadi JPEG
• file jengkol.vbs di setiap folder
• %AllFolder%/:\jengkol.vbs
• %drive%:\autorun.inf
• c:\documents and settings\%user%\Favorites\jengkol.vbs
• c:\documents and settings\%user%\Favorites\jengkol.lnk
• membuat file duplikat di setiap folder dengan icon JPEG
• merubah file DOC menjadi file JPEG

registry yang dirubah/ditambah adalah sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run

• JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

• NoFind
• NoFolderOptions
• NoRun
• NoDrives

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

• DisableCMD
• DisableRegedit
• RunLogonScriptSync

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

• NoDriveAutoRun = 03FFFFFF
• NoDrives

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

• DisableTaskMgr
• DisableRegedit
• RunLogonScriptSync
• EnableLUA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

• Disable

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

• attrib.exe —> debugger = notepad.exe
• cmd.exe —> debugger = notepad.exe
• install.exe —> debugger = notepad.exe
• msconfig —> debugger = notepad.exe
• regedit.exe —> debugger = notepad.exe
• regedit32.exe —> debugger = notepad.exe
• setup.exe —> debugger = notepad.exe
• taskMgr.exe —> debugger = notepad.exe

Ciri-ciri dari virus Alman ini adalah sebagai berikut :

C:\Windows\linkinfo.dll

C:\Windows\System32\drivers\LsDrv118.sys

C:\Windows\system32\drivers\nvmini.sys

C:\Windows\System32\drivers\cdralw.sys

C:\Windows\System32\drivers\riodrvs.sys

C:\Windows\System32\drivers\DKIs6.sys

merubah dan menambahkan registry windows

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

• DisplayName = ‘NVIDIA Compatible Windows Miniport Driver’
• Imagepath = “%system%\drivers\%file%.sys”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

• NextInstance = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%000]

• Service = %file%
• Legacy = 1
• ConfigFlags = 0
• Class = LegacyDriver
• ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
• DevicesDesc = %file%

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%000\Control]

• NewlyCreated = 0
• ActiveService = %file%

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

• DisplayName = RioDrvs Usb Driver

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%

• DisplayName = RioDrvs Usb Driver

Untuk membersihkan virus Cetix yang dari Bali cukup merepotkan juga. Dibawah ini adalah hasil googling yang didapat dari vaksin.com. Untuk membersihkan virus ini sebaiknya pada mode safe mode dengan langkah sebagai berikut :

• Matikan process virus yang masih berjalan bisa menggunakan program Itty Bitty yang dapat di download disini, process tersebut adalah :
  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
  • C:\WINDOWS\cetix.exe
  • C:\WINDOWS\system32\poison.exe
• Hapus string registry yang sudah dirubah/dibuat oleh virus bisa menggunakan script yang terdapat pada akhir catatan ini
• Hapus file virus dengan ciri-ciri
  • Icon application/folder/word
  • type file application *.exe
  • ukuran file 45KB

Script yang dikutip dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”"”%1″” %*”
HKCR, comfile\shell\open\command,,,”"”%1″” %*”
HKCR, exefile\shell\open\command,,,”"”%1″” %*”
HKCR, piffile\shell\open\command,,,”"”%1″” %*”
HKCR, lnkfile\shell\open\command,,,”"”%1″” %*”
HKCR, scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, “C:\WINDOWS\system32\userinit.exe,”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig

Jalankan repair.inf dengan klik kanan, kemudian pilih install. Pada saat pembuatan file ini lebih baik pada komputer yang tidak terkena virus.

Ternyata orang-orang di Bali juga tidak mau kalah dengan kota-kota lainnya dalam hal urusan virus. Karena saat ini juga sudah ada virus yang berasal dari bali yaitu VIRUS CETIX. Virus cetix cukup berbahaya karena mengahapus berbagai type file yang berada di komputer dan menggantinya dengan file duplikat yang sudah dibuat oleh virus. Type file yang diserang adalah :

• MS OFFICE dengan ekstensi *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml
• Multimedia dengan ekstensi *.mp3, *.3gp, *.dat, *.mov, *.wav
• File Kompresi dengan ekstensi *.zip, *.rar
• File gambar dengan ekstensi *.jpg, *.bmp, *.gif
• File eksekusi dengan ekstensi *.bat, *.com, *.scr

dilihat dengan pilihan list/detail maka icon yang digunakan APPLICATION

dilihat dengan pilihan icon maka icon yang digunakan WORD

Jika dilihat dengan pilihan Thumbnails maka icon yang diguanakan FOLDER

Selain itu ciri yang lainnya adalah :

• ukuran file 45 KB
• menggunakan ekstensi .exe
• type file application

Gejala komputer yang terkena virus cetix selain mematikan beberapa fungsi windows seperti taskmanager, regedit dll juga sebagai berikut :

• Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).
• Tidak bisa melakukan copy file (menu paste akan di-disable).
• Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you…”
• Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses
• Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb



• Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan MS Outlook.
• Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).
• Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.



• Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C:\

File induk virus yang dibuat :

• C:\autorun.inf (pada semua root drive)
• C:\%User%’s Files.exe (pada semua root drive)
• C:\Untitled.exe (pada semua root drive)
• C:\xz.exe (pada semua root drive)
• C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
• C:\WINDOWS\cetix.exe
• C:\WINDOWS\racun.exe
• C:\WINDOWS\system32\poison.exe
• C:\WINDOWS\system32\toxic.exe
• Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb

Registry windows yang dirubah/ditambah :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Cetix = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Poison=C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell = C:\WINDOWS\cetix.exe

HKEY_CURRENT_USER\Control Panel\International\s1159 = AM | CETiX

HKEY_CURRENT_USER\Control Panel\International\s2359 = AM | CETiX

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization = CETiX BALi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner = xz

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue = 0

HKEY_CLASSES_ROOT\batfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\comfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\exefile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\lnkfile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

HKEY_CLASSES_ROOT\piffile\shell\open\command\Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

Harap untuk berhati-hati jika background folder WINDOWS anda berubah menjadi gambar kenshin himura si Batosai. Karena itu merupakan salah satu ciri terinfeksi virus batosai. Virus ini juga aktif dalam safe mode ataupun safe mode with command prompt. Virus ini tidak memblock fungsi taskmanager, regedit, ataupun msconfig. File induk virus ini adalah sbb :

• C:\WINDOWS\desktop.ini
• C:\WINDOWS\System32\windxp.ini
• C:\WINDOWS\system32\restoration.msd
• C:\WINDOWS\system32\CommandPrompt.Sysm
• C:\WINDOWS\explore.exe
• C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell= Explorer.exe “c:\windows\explore.exe”
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\ShowSuperHidden=0
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\CheckedValue=1
• HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run\def =C:\WINDOWS\Temp\Vel.exe
• HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run\SysRestore =c:\windows\system32\restoration.msd
• HKCU\Control Panel\Desktop\SCRNSAVE.exe=C:\WINDOWS\Temp\%fileduplikat%.exe

Virus ini juga membuat file-file duplikan yaitu :

• C:\WINDOWS\Temp\Vel.exe
• C:\WINDOWS\Temp\Ngsys.exe
• C:\WINDOWS\Temp\rvshost.exe
• C:\WINDOWS\Temp\system31.exe
• C:\WINDOWS\Temp\userint.exe
• C:\WINDOWS\Temp\windxp.exe
• C:\WINDOWS\Temp\winzipt.exe
• C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
• C:\Documents and Settings\%user%\Local Settings\Temp\runer
• C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
• C:\Documents and Settings\%user%\Local Settings\Temp\system31
• C:\Documents and Settings\%user%\Local Settings\Temp\userint
• C:\Documents and Settings\%user%\Local Settings\Temp\vel
• C:\Documents and Settings\%user%\Local Settings\Temp\windxp
• C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

File-file duplikat tersebut mempunyai ciri :

• icon tidak ada (hilang)
• ukuran file 91 KB
• type file icon
• extension .exe

Untuk membersihkan virus ini dengan manual adalah sbb :

• Disable system restore (winxp)
• matikan proses virus yang sedang aktif menggunakan procexp
• hapus registry yang sudah dibuat oleh virus
• hapus file induk virus dan juga duplikatnya

Untuk memudahkan dalam memperbaiki registry dapat di lakukan melalui script dibawah ini yang di kutip dari vaksin.com dengan cara menuliskannya di dalam notepad dan simpan sebagai repair.inf. Setelah itu click kanan file tersebut dan pilih install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, exefile,,,”Application”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,1
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Classes\scrfile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, def
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore
HKCU, ControlPanel\Desktop, SCRNSAVE.EXE

rVirus ini katanya sih berasal dari vietnam, yang menggunakan yahoo messenger sebagai media penyebarannya. Selain melalui yahoo virus ini juga menyebar melalui flashdisk dengan file autorun.inf dan new folder.exe. Ciri-ciri virus ini adalah :

• icon folder
• type file application
• extension .exe
• ukuran file 249 KB

contoh virus :

Gejala ketika terkena virus ini adalah mengirimkan pesan ke seluruh contact dalam yahoo messenger menggunakan bahasa vietnam pada waktu-waktu tertentu. contoh :

• E may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com
• Biet tin gi chua, vao day coi di http://nhatquanglan1.0catch.com
• Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan… Ve dau toi biet di ve dau? http://nhatquanglan1.0catch.com
• Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo… http://nhatquanglan1.0catch.com

Virus ini juga melakukan login otomatis kedalam yahoo messenger yang kita gunakan. Jika komputer yang terinfeksi tidak ada yahoo messenger maka akan pesan-pesan diatas akan dicopy paste pada program microsoft office.

File induk virus yang dibuat adalah sbb:

• C:\WINDOWS\SSCVIIHOST.exe
• C:\WINDOWS\system32\autorun.ini
• C:\WINDOWS\system32\setting.ini
• C:\WINDOWS\system32\blastclnnn.exe
• C:\WINDOWS\system32\SSCVIIHOST.exe
• \autorun.inf (pada usb/removable drive)
• \New Folder.exe (pada usb/removable drive)

Registry yang dibuat oleh virus :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\Shell = Explorer.exe SSCVIIHOST.exe
• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = C:\WINDOWS\system32\ SSCVIIHOST.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\NoFolderOptions = 1
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableTaskMgr = 1
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\DisableRegistryTools = 1
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\AtTaskMaxHour = 0
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ WorkgroupCrawler\Shares\Shares = \New Folder.exe

Cara untuk membersihkan virus ini adalah :

1. Masuk dalam safe mode
2. Matikan process virus yang berada di memory menggunakan process explorer yaitu :
   • C:\WINDOWS\system32\SSCVIIHOST.exe
   • C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
   • C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
   • New Folder.exe (jika aktif)
3. Hapus registry yang sudah dibuat oleh virus
4. Hapus file-file induk virus yang sudah dibuat oleh virus

Berikut adalah script yang diambil dari vaksin.com untuk memperbaiki registry yang dibuat oleh virus Sohanad dengan cara tulis di notepad dan simpan sebagai repair.inf setelah itu klik kanan file tersebut dan pilih Install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

Untuk mengurusi hal antrian email yang akan di proses oleh qmail mail server ada beberapa yang dapat digunakan yang saya peroleh dari hasil googling, antara lain :

1. Qmail-Remove

Qmail-Remove dapat di download dengan menggunakan perintah sebagai berikut :
#wget http://www.linuxmagic.com/opensource/qmail/qmail-remove/qmail-remove-0.95.tar.gz

Setelah di download lalu di install dengan cara ekstrak terlebih dahulu paket yang sudah didownload
#tar -zxvf qmail-remove-0.95.tar.gz
#cd qmail-remove-095
#make
#make install
setelah itu buat folder yanked didalam direktori qmail queue
#mkdir /var/qmail/queue/yanked

Syntax
qmail-remove [options]

Available options

-e use extended POSIX regular expressions
-h, -? this help message
-i search case insensitively [default: case sensitive]
-n limit our search to the first bytes of each file
-p specify the pattern to search for
-q specify the base qmail queue dir [default: /var/qmail/queue]
-r actually remove files, without this we’ll only print them
-s specify your conf-split value if non-standard [default: 23]
-v increase verbosity (can be used more than once)
-y directory to put files yanked from the queue [default: /yanked]
-X modify timestamp on matching files, to make qmail expire mail is the number of seconds we want to move the file into
the past.specifying a value of 0 causes this to default to (604800)
-x modify timestamp on matching files, to make qmail expire mail is a date/time string in the format of output of the
“date” program.

Contoh penggunaan
Untuk menggunakan program ini sebelumnya process qmail diberhentikan dahulu
#/etc/init.d/qmail stop
untuk menghapus email dalam queue
#qmail-remove -r -p
# qmail-remove -r -p gtre.ac.net

Perintah diatas akan menghapus semua email dalam queue mail server gtre.ac.net dan menaruhnya di folder /var/qmail/queue/yanked

2. qmHandle

Program ini dapat di download di sini dengan cara
#wget http://mesh.dl.sourceforge.net/sourceforge/qmhandle/qmhandle-1.2.0.tar.gz
lalu di ekstrak
#tar xzvf qmhandle-1.2.0.tar.gz
setelah itu edit qmHandle configuration
#cd qmhandle-1.2.0.tar.gz
#vi qmHandle
yang perlu dirubah dan disesuaikan adalah sbb :
my ($queue) = ‘/var/qmail/queue/’;
my ($stopqmail) = ‘/etc/init.d/qmail stop’;
my ($startqmail) = “/etc/init.d/qmail start”;
my ($pidcmd) = ‘pidof qmail-send’;

Contoh Penggunaan
untuk melihat status
#qmHandle -s
untuk melihat remote queue
#qmHandle -R

Selain kedua program tersebut dapat juga digunakan cara sebagai berikut :

qmailctl stop
find /var/qmail/queue/mess -type f -exec rm {} \;
find /var/qmail/queue/info -type f -exec rm {} \;
find /var/qmail/queue/local -type f -exec rm {} \;
find /var/qmail/queue/intd -type f -exec rm {} \;
find /var/qmail/queue/todo -type f -exec rm {} \;
find /var/qmail/queue/remote -type f -exec rm {} \;
qmailctl start