Virus Amburadul, Hokage Killer

May 28, 2008

Sudah beredar lama virus ini, tapi baru saya tulis disini. Virus yang saling mematikan virus lainnya adalah virus amburadul ini, sama seperti virus-virus yang lain. Menyebar melalui usb flashdisk. Menurut vaksin.com virus ini mempunyai beberapa varian yaitu :

Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA

Virus ini membuat file duplikat dan mematikan beberapa fungsi windows seperti Regedit/Search/MsConfig/Folder Options atau taskmanager bahkan mematikan antivirus lokal seperti PCMAV/ANSAV. Ciri-cirinya :

Icon : Image (JPG)
Ukuran file : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan 56 KB)
Ekstensi file : EXE
Type File : Application

Pada saat virus aktif, ia akan membuat beberapa file induk dibawah ini yang akan dijalankan setiap kali komputer dinyalakan (file ini juga akan dibuat di semua drive termasuk di media Flash Disk)

C:\Windows\system32\~A~m~B~u~R~a~D~u~L~

  • csrcc.exe
  • smss.exe
  • lsass.exe
  • services.exe
  • winlogon.exe
  • Paraysutki_VM_Community.sys
  • msvbvm60.dll

C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)C:\PaLMa.exe
C:\Images

  • Ce_Pen9God4.exe
  • J34ñNy_Mö3tZ_CuTE.exe
  • M0D3L_P4ray_ 2008.exe
  • MalAm MinGGuan.exe
  • NonKroNG DJem8ataN K4H4yan.exe
  • Ph0to Ber5ama.exe
  • PiKnIk dT4ngKilin9.exe
  • RAja Nge5ex.exe
  • TrenD 9aya RAm8ut 2008.exe

C:\Images\_PAlbTN

  • (V.4.9)_D053n^908L0K.exe
  • ~ G0YanG Ranjang ~.exe
  • GePaCar4an Neh!!!.exe
  • GuE… BgT!.exe
  • Ke.. TaUan N90C0k.exe
  • Ma5tURbas1 XL1M4xs.exe
  • PraPtih G4diEs PuJAAnku.exe
  • SirKuit BaLi SmunZa.exe
  • Apa yang dilakukan oleh Amburadul dan variannyaAuto start Virus

Agar virus ini dapat aktif secara otomatis setiap kali komputer aktif, ia akan membuat beberapa string pada registry berkut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PaRaY_VM

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ConfigVir

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NviDiaGT

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NarmonVirusAnti

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVManager

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

shell = Explorer.exe,

C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe

Blok Fungsi Windows dan software security (Antivirus)

Untuk mempertahankan dirinya ia juga akan melakukan blok terhadap beberapa fungsi windows seperti Task Manager/Regedit/MSconfig/Folder Option/System Restore atau Search serta beberapa software security lainnya yang memungkinan dapat memperpendek umur virus tersebut, dengan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

EnableLUA =0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

DisableConfig

DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

DisableMSI

LimitSystemRestoreCheckpointing

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe

Debugger = crundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe

Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe

Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

Debuger = rundll32.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFind

HKEY_CLASSES_ROOT\exefile

NeverShowExt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

UncheckedValue = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

DefaultValue = 1

(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

CheckedValue = 0

(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

DefaultValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

Type = checkbok

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

SuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HideFileExt = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe

debugger = rundll32.ex

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe

debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe

debugger = rundll32.exe

W32/Agent.EQXM (serta varian nya) juga akan mencoba untuk blok beberapa antivirus lokal (termasuk yang suka ngaku-ngaku sebagai antivirus terbaik di dunia) seperti PCMAV, SMP atau ANSAV dengan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe

Debuger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe

debugger = cmd.exe /c del

Untuk blok fungsi Windows dan software antivirus selain dengan membuat string pada registry di atas, ia juga akan mengunakan perintah taskkill.

Berikut aplikasi yang akan dimatikan oleh Agent.EQXM (dan varian) :

taskkill /f /im winamp.exe

taskkill /f /im winampa.exe

taskkill /f /im firefox.exe

taskkill /f /im iexplorer.exe

taskkill /f /im wmplayer.exe

taskkill /f /im PCMAV

taskkill /f /im CLN.exe

taskkill /f /im Ansav.exe

taskkill /f /im ansavgd.exe

taskkill /f /im explorer.exe

Misi Membasmi Hokage

Amburadul dan variannya mempunyai misi untuk membasmi keluarga Hokage (VBWorm.Gen16) dengan blok file virus tersebut agar tidak dapat dijalankan. Hal ini dipertegas dengan merubah judul pada aplikasi Internet Explorer (perhatikan gambar dibawah). Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++ (lihat gambar 3)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe

Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe

Debugger = cmd.exe /c del

Agent.EQXM juga akan mencoba untuk melakukan Ddos ke sejumlah alamat website yang sudah ditentukan dengan melakukan Ping request terhadap web berikut:

http://www.duniasex.com

http://www.data0.net

http://www.rasasayang.com.my

Menyembunyikan file gambar

File yang menjadi target virus ini adalah file gambar (JPG/BMP/PNG/TIFF/GIF), tetapi ia hanya akan menyembunyikan file gambar yang ada di Flash Disk. Untuk mengelabui user ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan dengan ciri-ciri:

Icon JPG

Ukuran “acak” (tergantung varian -> 51 KB / 52 KB / 54 KB / 56 KB)

Ekstensi .xx`.exe, dimana xx menunjukan ekstensi dari file gambar aslinya. Contohnya jika file gambar asli mempunyai nama data.bmp maka virus ini akan membuat file duplikat dengan nama data.bmp`.exe.

Type File “Application”

Setiap kali menyembunyikan file, ia cukup “baik hati” akan mencatatkan lognya dalam file C:\Windows\ Amburadul_List.txt,

Untuk menyebarkan dirinya, ia akan menggunakan media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut.

Berikut beberapa file yang akan dibuat pada media Flash Disk atau Disket:

C:\Autorun.inf

C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)

C:\Friendster Community.exe

C:\J3MbataN K4HaYan.exe

C:\MyImages.exe (hidden)

C:\PaLMa.exe

C:\Images

Ce_Pen9God4.exe

J34ñNy_Mö3tZ_CuTE.exe

M0D3L_P4ray_ 2008.exe

MalAm MinGGuan.exe

NonKroNG DJem8ataN K4H4yan.exe

Ph0to Ber5ama.exe

PiKnIk dT4ngKilin9.exe

RAja Nge5ex.exe

TrenD 9aya RAm8ut 2008.exe

C:\Images\_PAlbTN

(V.4.9)_D053n^908L0K.exe

~ G0YanG Ranjang ~.exe

GePaCar4an Neh!!!.exe

GuE… BgT!.exe

Ke.. TaUan N90C0k.exe

Ma5tURbas1 XL1M4xs.exe

PraPtih G4diEs PuJAAnku.exe

SirKuit BaLi SmunZa.exe

Agar virus tersebut dapat aktif secara otomatis setiap kali user akses Drive atau Flash Disk ia akan menggunakan fitur Autorun windows dengan membuat file autorun.inf pada root Flash Disk atau Drive. File Autorun ini akan menjalankan file MyImage.exe, dimana file ini akan disembunyikan agar tidak mudah dihapus oleh user.

Cara membersihkan W32/Agent.EQXM (dan Varian)

Putuskan hubungan komputer yang akan dibersihkan dari jaringan

Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE. (lihat gambar 7)

Repair registry yang sudah di ubah oleh W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.

Jalankan file tersebut dengan cara:

Klik kanan repair.inf

Klik Install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”

HKCU, Control Panel\International, s1159,0, “AM”

HKCU, Control Panel\International, s2359,0, “PM”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

[del]

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing

HKCR, exefile, NeverShowExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

Disable “System Restore” selama proses pembersihan

Hapus file induk virus W32/Agent. EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :

Buka Windows Explorer

Klik menu “Tools”

Klik “Folder Options”

Klik Tabulasi View

Pada kolom “Advanced settings”

Pilih opsi “Show hidden files and folders”

Unchek “Hide extensions for known file types”

Uncheck “Hide protected operating system files (Recommended

C:\Windows\system32\~A~m~B~u~R~a~D~u~L~)

C:\Windows\system32\~A~m~B~u~R~a~D~u~L~

csrcc.exe

smss.exe

lsass.exe

services.exe

winlogon.exe

Paraysutki_VM_Community.sys

msvbvm60.dll

C:\Autorun.inf

C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)

C:\Friendster Community.exe

C:\J3MbataN K4HaYan.exe

C:\MyImages.exe

C:\PaLMa.exe

C:\Images

Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:

Klik “Start” menu

Klik “Run”

Ketik “CMD”

Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d

Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.


Tahun Baru

January 4, 2008

Minggu lalu adalah pergantian tahun dari tahun 2007 ke tahun 2008, mudah-mudahan pada tahun 2008 ini dapat lebih baik dari tahun sebelumnya baik rumah tangga, pekerjaan, hobby, dll. Begitu juga dengan LPMAK semoga dapat lebih maju dari sebelumnya dan terus melayani masyarakat.

Taon baruan kami di Kuala Kencana yang lumayan cukup rame deh… ada petasan, motor brengsek (soalnya brisik bgt). Saling bersalaman mengucapkan Slamat Taon Baru di sekeliling RT aja, jgn jauh-jauh capek jalannya. Lainnya yah biasa saja gak ada yg special di taon baruan sekarang, selebihnya boleh dibilang sepi-sepi aja. Gak seperti di Depok ato di Tebet yang rame (yah jelas kan di papua masih belom seramai di jakarta) heehehehehe…


Hello world!

December 17, 2007

Welcome to WordPress.com. This is your first post. Edit or delete it and start blogging!