Oprek o/s XP

1. Memperbaiki Instalasi (Repair Install)

Jika Windows XP Anda rusak (corrupted) dimana Anda tidak mempunyai sistem operasi lain untuk booting,
Anda dapat melakukan perbaikan instalasi (Repair Install) yang bekerja sebagaimana setting (pengaturan)
yang awal.

- Pastikan Anda mempunyai kunci (key) Windows XP yang valid.
- Keseluruhan proses akan memakan waktu kurang lebih 1/2 atau 1 jam, tergantung spek komputer Anda.
- Jika Anda dimintai password administrator, sebaiknya Anda memilih opsi perbaikan (repair) yang kedua,
bukan yang pertama.
- Masukkan CD Windows XP Anda dan lakukan booting dari CD tersebut.
- Ketika sudah muncul opsi perbaikan kedua R=Repair, tekan tombol R
Ini akan memulai perbaikan.
- Tekan tombol F8 untuk menyetujui proses selanjutnya "I Agree at the Licensing Agreement"
- Tekan tombol R saat direktori tempat Windows XP Anda terinstal. Biasanya C:\WINDOWS
Selanjutnya akan dilakukan pengecekan drive C: dan mulai menyalin file-file.
Dan secara otomatis restart jika diperlukan. Biarkan CD Anda dalam drivenya.
- Berikutnya Anda akan melihat sebuah gambar "progress bar" yang merupakan bagian dari perbaikan,
dia nampak seperti instalasi XP normal biasanya, meliputi "Collecting Information, Dynamic Update,
Preparing Installation, Installing Windows, Finalizing Installation".
- Ketika ditanya, klik tombol Next
- Ketika ditanya untuk memasukkan kunci, masukkan kunci (key) Windows XP Anda yang valid.
- Normalnya Anda menginginkan tetap berada dalam nama Domain atau Workgroup yang sama.
- Komputer akan restart.
- Kemudian Anda akan mempunyai layar yang sama sebagaimana pengaktifan sistem ketika instalasi normal.
- Register jika Anda menginginkannya (biasanya tidak diperlukan).
- Selesai

Sekarang Anda bisa log in dengan account Anda yang sudah ada.

________________________________________ _______________________ ________________________________________ _______________________


2. NTOSKRNL Rusak atau Hilang (Missing or Corrupt)

Jika Anda mendapati pesan error bahwa "NTOSKRNL not found" / NTOSKRNL tak ditemukan, lakukan:
- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Pindahlah ke drive CD Drive Anda berada.
- Tulis: CD i386
- Tulis: expand ntkrnlmp.ex_ C:\Windows\System32\ntoskrnl.exe
- Jika Windows XP Anda terinstal di tempat lain, maka ubahlah sesuai dengan lokasinya.
- Keluarkan CD Anda dan ketikkan EXIT

________________________________________ _______________________ ________________________________________ _______________________


3. HAL.DLL Rusak atau Hilang (Missing or Corrupt)

Jika Anda mendapatkan error berkenaan dengan rusak atau hilangnya file hal.dll, ada kemungkinan
file BOOT.INI mengalami salah konfigurasi (misconfigured).

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Tulis: bootcfg /list
Menampilkan isi/masukan pada file BOOT.INI saat ini
- Tulis: bootcfg /rebuild
Memperbaiki konfigurasi dari file BOOT.INI
- Keluarkan CD Anda dan ketikkan EXIT

________________________________________ _______________________ ________________________________________ _______________________



4. NTLDR atau NTDETECT.COM tak ditemukan (NTLDR or NTDETECT.COM Not Found)

Jika Anda mendapati error bahwa NTLDR tak ditemukan saat booting:

a. Untuk partisi tipe FAT
- Silakan Anda melakukan booting dari disket Win98 Anda dan salinlah file NTLDR atau NTDETECT.COM
dari direktori i386 ke drive induk/akar (root) C:\

b. Untuk partisi tipe NTFS
- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Masukkan perintah berikut, dimana X: adalah alamat drive dari CD ROM Anda (Sesuaikan!).
- Tulis: COPY X:\i386\NTLDR C\:
- Tulis: COPY X:\i386\NTDETECT.COM C:\
- Keluarkan CD Anda dan ketikkan EXIT

Semoga bermanfaat..

Repair windows tanpa format

pagi waktu menuju ke TKP... tiba² hp geter²... "jun komputer nya mba' sri error... blue screen"
wah error lg nih... segera sesampainya di TKP langsung melihat barang bukti.. hehe.. kek BUSER aj nih..
pas gw nyalain kompnya.... jreeeng.. muncuL kata² sakti "Windows could not start because the following files is missing or corrupt
\WINDOWS\SYSTEM32\CONFIG\SYSTEM "
wah .. apa yaah commandnya.. lupa ui... coba tlpn tmn² dlu .. kali aja ad yg inget...

"tuuuut...tuuuut.. tuuuuut..
Mr.X : ya halo..
☼ : mas... ganggu nih... lg repot ga...
Mr.X : ga'.. knp jun..
☼ : anu.. mau tanya command nya untuk repair windos ap ya.. lupa nih...
Mr.X : o0o... gini jun... kemungkinan windosmu... bla..bla..bla.... trus ntr bla.. bla...bla..
☼ : *buset ga nyambung nih... * o0o iya mas makasih...

tlpn ke yg lainnya lagi dagH...
*nsp ST12.. aku masih sayang...*
Mr.Z : halo... pagi...
☼ : pagi mas... lg sibuk ga ?
Mr.Z : ga juga sih... knp jun...
☼ : tau command repair windos ga... .
Mr.Z : umm... yang mana yaaa itu...
☼ : *GUBRAAKK !!! * itu ... yg pijit R pas instal windos nya.
Mr.Z : o0o... klo ga salah mesti di rename apa nya gtu jun.. lupa aku...
☼ : o0o rename yaa... system ya.. ic²... makasih mas...
Mr.Z : iya sama²...
*yg ini masih mending lpa tapi inget juga nyambung dikit :) *

akhirnya gw rename system nya.. .trus di copy system yg baru dari cd windos nya...
berikut langkah² ya :


Direktori \WINDOWS\SYSTEM32\CONFIG rusak atau hilang

MuncuL Tulisan :

"Windows could not start because the following files is missing or corrupt
\WINDOWS\SYSTEM32\CONFIG\SYSTEM or \WINDOWS\SYSTEM32\CONFIG\SOFTWARE"

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Tulis: cd \windows\system32\config
- Berikutnya tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: ren software software.rusak ATAU ren system system.rusak ( klo ga bsa di rename coba di check disk dlu drive C: nya )
- Berikutnya lagi juga tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: copy \windows\repair\system
- Tulis: copy \windows\repair\software
- Ketikkan EXIT

kemudian boot biasa ke hard disk.. jgn ke cd lg...
jreeeeeng.... windows nya ud bisa jalan lagi... horeeee...
ups... driver² nya kok tanda tanya ????
iya .. coz system nya kan di ganti yg baru... jd ya mesti di instal driver nya lagi.. untuk sound,vga, pci, dll

tapi file² and data kita ga ilang.. 100% masih ad ....
program instalan juga tetep jalan....

selamat mencoba

yg mudah yang terlupakan

Tips And Trik o/s Xp

Menghilangkan Windows Messenger

Klik menu Start, Run, ketik gpedit.msc--->Computer configuration--->Windows components ---> Windows messenger. Dari sini anda bisa meng-enable-kan pilihan "Do not allow Windows Messenger to be run" dan "Do not automatically start Windows messenger initially".Dengan langkah tersebut maka Windows messenger tidak ditampilkan lagi.

Hilangkan Sharing Dokumen

Bukalah Regedit (Start-Run Regedit)dab tujulah pada HKEY_LOCAL_MACHINE SOFTWARE, Microsoft, Windows, CurrentVersion, Explorer, My Computer, NameSpace, DelegateFolders. Kemudian perhatikan sub-key yg bernama {59031a47-3f72-44a7-89c5-5595fe6b30ee}. Dengan menghapusnya, anda bisa meremove beberapa file yang tersimpan pada group.

Mengurangi File Space Temporary Internet

Jalankan internet explorer--->pilih Tools dari menu bar--->Pilih internet options dari menu drop down--->pertama kali internet options diload, klik general tab--->Di bawah bagian temporary internet files, klik tombol settings--->Maka jendela setting akan di load, anda bisa menggeser slider dengan ukuran yang kecil--->Klik OK--->Klik OK lagi.

Matikan System Recovery

Klik kanan pada My computer--->Pilih properties--->Klik system Restore tab--->Check box Turn off System Restore. Hal ini akan meningkatkan performa windows dan save disk space.

Enable dan Disable Firewall

Buka Control panel--->klik dua kali pada Network Connctions(maka box baru akan ditampilkan)--->klik kanan pada connection--->dan klik Advanced tab--->Check atau uncheck pada box untuk mengenablekan dan men-disable firewall.

Shutdown Win XP tidak Normal

- Buka Control Panel, plilih Power Options.
- Klik pada APM Tab, Check "Enable Advanced Power Management support".
- Shut down PC anda, dan sekarang proses Shut down akan berjalan normal.

Mengatur variasi Visual Effect

Bukalah Control Panel--->Di bawah System klik Advanced tab--->Klik Settings di bawah pilihan Performance--->Sekarang anda bisa mengubah variasi effect (baik animasi dan bayangan).

Men-Disable error reporting

Buka Control Panel--->Klik Performance and Maintenance--->Klik System--->Klik Advanced tab--->Klik pada tombol error reporting yang terdapat di bawah windows--->Pilih Disable error reporting--->Klik OK--->Klik OK.

Hilangkan Panah Shortcut pada Icon Dekstop

Jalankan Regedit--->Bukalah HKEY_CLASSES_ROOT Inkfile--->Hapus nilai IsShortcut--->Restart Windows XP.

Enablekan Clear Type

- Klik kanan blkank area pada dekstop, pilih properties.
- Klik Appearance Tab, klik effects.
- Check pada box : "Use the folowing method to smooth edges of screen fonts".
- Di dalam drop down box pilih : Clear Type.

Matikan CD auto Play

Buka Control Panel--->Klik kanan pada CD rom, pilih properties--->Klik pada autoPlay tab--->Di dalam box drop down, Anda bisa memilih Action untuk masing-masing pilihan yang ditampilkan pada box drop down.
atau :

- Pada menu start, jalankan Run, ketik gpedit.msc.
- Computer Config, Administrative Template, System.
- Klik Dua kali Turn off Autoplay.

Bikin MP3 Bekerja pada Windows Media Player 8 XP

Langkah Registrynya :
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftMediaPlayerSettingsMP3Encoding]

"LowRate"=dword:000dac0
"MediumRate"=dword:0000fa00
"MediumHighRate"=dword:0001f400
"HighRate"=dword:0002ee00

Beberapa yang sesuai adalah untuk 56, 64, 128 dan 192 Kbps. Anda bisa mengubah dengan nilai dword seperti di bawah :

320 Kbps=dword:0004e200
256 Kbps=dword:0003e800
224 Kbps=dword:00036b00
192 Kbps=dword:0002ee00
160 Kbps=dword:00027100
128 Kbps=dword:0001f400
112 Kbps=dword:0001b580
64 Kbps=dword:0000fa00
56 Kbps=dword:0000dac0

System Performance Tweaks XP memory tweaks

Ada beberapa memory tweaks untuk windows XP. Terletak pada windows registry :
HKEY_LOCAL_MACHINE--->SYSTEM--->CurrentControlSet--->Control---> Session Manager--->Memory Management.

1. Mendiasable Paging Executive

Dalam keadaan enable, setting ini akan mencegah paging dari Win2k Executive file pada har disk, yg menyebabkan OS dan sebagian besar program lebih responsif. Lakukan tweaks hanya jika anda mempunyai jumlah RAM yang lebih besar dari 128 MB, karena setting ini menggunakan bagian yang substansial dari system resource. Secara default, nilai dari key adalah 0. Untuk mengaktifkannya ubah menjadi 1.

2. Large System Cache

Pada kondisi enable (default pada versi Server Windows 2000), setting ini akan memerintahkan OS untuk memberikan semuanya kecuali 4 MB dari system memory yg disisakan untuk disk caching) pada cache file system. Hal ini memungkinkan komputer untuk menempatkan OS Kerenel pada memory, sehingga OS lebih responsif.
Setting ini membutuhkan lebih dari 4 MB yg ada pada disk cache untuk beberapa alasan. Secara default, 8 MB dibutuhkan untuk tujuan ini. Tweak ini biasanya membutuhkan OS lebih responsif. Setting ini bisa berubah (dinamis), dan kernel akan memberikan space yang dibutuhkan oleh aplikasi lainnya.
Ubah angka 0 menjadi 1. Sebelum melakukan hal ini anda seharusnya mengkonsumsi RAM melebihi keadaan normal. Saat LargeSystemCache akan memotong kembali penggunaan ketika aplikasi lainnya membutuhkan lebih banyak RAM, proses ini bisa menghalangi performa pada keadaan yang tak terduga.
Menurut Microsoft, setting "0 dianjurkan untuk server yang menjalankan aplikasi yg menjalankan memory cachingnya sendiri, seperti Microsoft SQL Server, dan untuk aplikasi yang berjalan sempurna dengan ample memory, seperti internet Information Services."

3. IOPageLockLimit

Tweak ini meningkatkan performa Input/Output pada komputer anda saat melakukan file transfer yang besar dan operasi lainnya yang sama. Tweak tidak akan bisa berbuat banyak pada system yang tidak memiliki jumlah RAM lebih dari 128 MB, tetapi system dengan 128 MB RAM atau lebih akan menemukan peningkatan performa dengan men-setting antara 8 dan 16 MB.
Defaultnya adalah 0,5 MB atau 512 KB. Setting ini membutuhkan sebuah nilai dalam bytes, sehingga perlu mengalikan angka dalam megabytes *1024*1024. Di mana X* 1048576 (X merupakan angka dalam megabytes).

4. Mendisable services yang tidak diperlukan

Service merupakan program yang berjalan saat komputer dinyalakan dan terus berjalan sebagai tambahan dari fungsionalsebuah operating system. Terdapat banyak services yang muncul tetapi tidak dibutuhkan yang menghabiskan memory space dan waktu proses CPU. Mendisable services ini akian membebaskan system resources yang akan meningkatkan kcepatan komputer.
Di bawah ini langkah untuk mematikan services :

- Klik tombol start
- Pilih Run di bagian bawah kolom sebelah kanan.
- Pilih type services.msc dalam box dan klik OK.
- Setelah service window muncul, anda bisa mematikan services yang tidak dibutuhkan.
- Untuk tujuan instruksional, matikan Portable Media Serial Number.
- Temukan services ini pada list dan pilih dengan mouse.
- Klik kanan dan pilih Properties.
- Setelah properties window muncul, masuk ke Start up type drop down box dan pilih disable
- Kemudian klik OK.

5. Meningkatkan Kecepatan Menu Display

Saat menggunakan start menu anda akan menemukan penundaan diantara deretan menu. Untuk kecepatan komputer yang memungkinkan, sebaiknya anda mengubah angka menjadi 0. Ini akan membuat deretan menu yg lain muncul dengan cepat.
-Start regedit--->Masuk ke HKEY_CURRENT_USER--->Control Panel---> Dekstop--->Pilih MenuShowDelay dari list di sebelah kanan--->Klik kanan kemudian pilih Modify--->Ubah angka menjadi 100--->Restart Komputer.

6. Mendisable Program yang tidak perlu

Menginstall banyak program pada komputer bisa mebgacaukan registrasi dengan program yang tidak perlu saat start up. Ini akan memperlambat kinerja komputer dan memakan memory.
-Start Regedit ---> HKEY_CURRENT_USER ---> Software--->Microsoft---> Windows--->CurrentVersion--->Run--->Masuk ke sembarang entry di kanan.Anda bisa mengidentifikasi program dari path---> Temukan program yang kan dibuang--->Klik kanan pada program yang telah dipilih dan pilih Delete.
atau :
-HKEY_CURRENT_USER ---> Software ---> Microsoft ---> Windows ---> CurrentVersion--->Runonce and HKEY_LOCAL_MACHINE---> SOFTWARE---> Microsoft--->Windows---> CurrentVersion--->Run--->Delete program yg tidak perlu--->Restart.

7. Enable atau Disable boot Defrag

Fitur baru pada microsoft Windows XP adalah kemampuan untuk melakukan boot defragment. Ini menempatkan semua file boot berurutan pada disk untuk mempercepat booting. Secara default pilihan ini tidak aktif. Cara mengaktifkannya adalah :
-Start Regedit--->HKEY_LOCAL_MACHINE---> SOFTWARE--->Microsoft--->Dfrg---> BootOptimizeFunction--->Pilih enable dari list di kanan--->Klik kanan dan pilih modify---> Ubah angka menjadi Y untuk membuatnya Enable dan N untuk Disable--->Restart Komputer.

8. Memodifikasi Auto-reboot Setting

Di bawah ini anda akan menemukan bagaimana menjalankan fitur auto reboot dan mematikannya, ini akan membuat komputer anda mere-boot secara cepat pada system fault.
-Start Regedit--->HKEY_LOCAL_MACHINE--->SYSTEM--->CurrentControlSet--->Control--->CrashControl--->Pilih AutoReboot dari list di kanan--->Klik kanan dan pilih Modify --->Ubah angka menjadi 0 untuk menjadikannya disable dan 1 untuk Enable --->Restart.

9. Memodifikasi Aplikasi Timeout

XP memiliki serangkaian waktu dimana program akan hang sebelum timed out. Sering kali anagka ini terlalu tinggi. Tetapi pada keadaan tertentu angka ini terlalu rendah. Tergantung apakah program melakukan banyak kalkulasi sehingga komputer mengira sudah mencapai timeout dalam registrasi.
-Start Regedit--->HKEY_CURRENT_USER--->Control Panel--->Dekstop--->Pilih HungApp Timeout dari list di kanan--->Klik kanan dan pilih Modify--->Ubah angka menjadi angaka time value yang baru--->Restart.

Tweak User Interface

1. Mengaktifkan Clear Type pada layar Wellcome Login

Start Regedit--->HKEY_USERS_DEFAULT--->Control Panel--->Dekstop--->Cari FontSmoothing Type--->Ubah angka menjadi 2--->Restart Komputer.

2. Memilih Theme dan Color Scheme pada Layar Wellcome

Star Regedit ---> HKEY_USERS_DEFAULT ---> Software ---> Microsoft ---> Windows---> CurrentVersion--->ThemeManager--->Cari NormalColor--->Kliik kanan dan pilih Modify--->Ubah "ColorName" menjadi "Metallic"--->Klik OK, dan keluar dari Regedit--->Restart Komputer.

3. Menampilkan File Extension

Pada foleder yang berisi file, klik menu tools dan pilih folder options--->Klik pada tab view--->Masuk ke Hide extensions dari tipe file yang diketahui dan uncheck--->Klik OK.

4. Menampilkan Internet Explorer pada Dekstop

Star Regedit ---> HKEY_LOCAL_MACHINE ---> SOFTWARE ---> Microsoft ---> Windows ---> CurrentVersions ---> Explorer --->HideDekstop ---> Icons ---> NewStartPanel ---> Setelah di sana, cari {871C5380-42A0-1069-A2EA-08002B30309D} dalam list di sebelah kanan ---> Klik kanan dan pilih Modify --->Ubah angka menjadi 0--->Restart Komputer.

5. Logon bergaya Windows 2000

Untuk kembali log on bergaya Win2k sehingga anda bisa melakukan log on sebagai administrator dan pilihan yang lain, tekan ctrl+alt+delete dua kali.

6. Menghilangkan "Comments?" Link dari title bar

Start Regedit--->HKEY_CURRENT_USER---> Control Panel--->Dekstop---> Masuk ke LameButtonEnable pada list di sebelah kanan--->Klik kanan dan pilih Modify--->Ubah angka menjadi 0--->Restart komputer.

7. Mempercepat munculnya menu Favorites pada Internet Explorer 6

Untuk beberapa keadaan menu Favorites pada IE 6 agak lamban untuk muncul. Solusi untuk memngatasi masalah tersebut adalah :
Buka sebuah command line window (Start button--->Run--->cmd) dan ketik sfc, kemudian tekan enter. Command line ini akan menjalankan System File Checker, yang sebenarnya tidak berhubungan dengan IE 6, tetapi hal ini bisa berhasil.

Virus Alman bkin kacau kompi

W32/Alman (Almanahe)

Komputer kacau karena file .exe di injeksi virus

Selain virus ARP Poisoning yang sedang marak menyebar di Indonesia. Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.

Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut.

Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori :

• \LOCAL SETTINGS\T

• \QQ

• \Windows

• \Winnt

Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.

Dengan update terbaru Norman sudah dapat mendeteksi virus ini sebagai W32/Alman. (lihat gambar 1).

Gambar 1, Norman Virus Control mendeteksi varian-varian virus Alman / Almanahe yang sedang mengganas di Indonesia.

Drop File

Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows.

• C:\Windows\linkinfo.dll

• C:\Windows\System32\drivers\LsDrv118.sys

• C:\Windows\system32\drivers\nvmini.sys

• C:\Windows\System32\drivers\cdralw.sys

• C:\Windows\System32\drivers\riodrvs.sys

• C:\Windows\System32\drivers\DKIs6.sys

Registri

Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut:

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

  • "DisplayName" = "NVIDIA Compatible Windows Miniport Driver"

  • "ImagePath" = "%system%\drivers\%file%.sys"

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

  • "NextInstance" = 1

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000]

  • "Service" = "%file%"

  • "Legacy" = 1

  • "ConfigFlags" = 0

  • "Class" = "LegacyDriver"

  • "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

  • "DeviceDesc" = "%file%"

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control]

  • "NewlyCreated" = 0

  • "ActiveService" = "%file%"

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

  • "DisplayName" = "RioDrvs Usb Driver"

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%

  • DisplayName" = "RioDrvs Usb Driver"

Catatan:

%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:

• Nvmini

• Cdralw

• RioDrvs

Terminate program / Aplikasi / Malware

W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:

• c0nime.exe

• cmdbcs.exe

• ctmontv.exe

• explorer.exe

• fuckjacks.exe

• iexpl0re.exe

• iexpl0re.exe

• iexplore.exe

• internat.exe

• logo_1.exe

• logo1_.exe

• lsass.exe

• lying.exe

• msdccrt.exe

• msvce32.exe

• ncscv32.exe

• nvscv32.exe

• realschd.exe

• rpcs.exe

• run1132.exe

• rundl132.exe

• smss.exe

• spo0lsv.exe

• spoclsv.exe

• ssopure.exe

• svhost32.exe

• svch0st.exe

• sxs.exe

• sysbmw.exe

• sysload3.exe

• tempicon.exe

• upxdnd.exe

• wdfmgr32.exe

• wsvbs.exe

• dllwm.dll

• dllhosts.dll

• notepad.dll

• rpcs.dll

• rdihost.dll

• rdfhost.dll

• reshost.dll

• lgsym.dll

• rund11.dll

• midddsccrt.dll

• wsvbs.dll

• cmdb.dll

• richdll.dll

• wininfo.rxk

• windhcp.dll

• upxdhnd.dll

Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:

• SPUBDRV

• ISDRV1

• RKREVEAL

• PROCEXP

• SAFEMON

• RKHDRV10

• NPF

• IRIS

• NPPTNT

• DUMP_WMIMMC

• SPLITTER

• EAGLENT

Media penyebaran

Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula.

Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:

• admin

• 1

• 111

• 123

• Aaa

• 12345

• 123456789

• 654321

• !@#$

• qsdf

• asdfgh

• !@#$%

• !@#$%^

• !@#$%^&

• !@#$%^&*

• !@#$%^&*(

• !@#$%^&*()

• qwer

• admin123

• love

• test123

• owner

• mypass123

• root

• letmein

• qwerty

• abc123

• password

• monkey

• password1

Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.

Mampu mengupdate diri seperti antivirus

W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus

• Hooksys

• KWatch3

• KregEx

• KLPF

• NaiAvFilter1

• NAVAP

• AVGNTMGR

• AvgTdi

• nod32drv

• PavProtect

• TMFilter

• BDFsDrv

• VETFDDNT

dan mencoba untuk download malware lain dari url yang telah di tentukan seperti:

• pic.imrw0rldwide.com

• soft.imrw0rldwide.com

• tj.imrw0rldwide.com

Injeksi File EXE

Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC).

Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut:

• \LOCAL SETTINGS\TEMP

• \QQ

• \Windows

• \Winnt

Serta beberapa file yang mempunyai salah satu nama dibawah ini:

• launcher.exe

• repair.exe

• wow.exe

• wooolcfg.exe

• woool.exe

• ztconfig.exe

• patchupdate.exe

• trojankiller.exe

• xy2player.exe

• flyff.exe

• xy2.exe

• au_unins_web.exe

• cabal.exe

• cabalmain9x.exe

• cabalmain.exe

• meteor.exe

• patcher.exe

• mjonline.exe

• config.exe

• zuonline.exe

• userpic.exe

• main.exe

• dk2.exe

• autoupdate.exe

• dbfsupdate.exe

• asktao.exe

• sealspeed.exe

• xlqy2.exe

• game.exe

• wb-service.exe

• nbt-dragonraja2006.exe

• dragonraja.exe

• mhclient-connect.exe

• hs.exe

• mts.exe

• gc.exe

• zfs.exe

• neuz.exe

• maplestory.exe

• nsstarter.exe

• nmcosrv.exe

• ca.exe

• nmservice.exe

• kartrider.exe

• audition.exe

• zhengtu.exe

Cara membersihkan W32/Alman

• Putuskan komputer yang ingin dibersihkan dari jaringan.

• Matikan “System Restore” selama proses pembersihan berlangsung.

• Disarankan lakukan pembersihan pada mode “safe mode”.

• Matikan service virus yang aktif dimemory dengan cara:

• Klik [Start] [Run].

• Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK]

• Cari services virus dengan nama “NVIDIA Compatible Windows Miniport Driver” atau “RioDrvs Usb Driver”

• Kemudian klik menu Action > Properties.

• Klik tombol Stop.

• Pada bagian Startup Type pilih Manual.

• Klik OK

• Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SYSTEM\ControlSet001\Services\RioDrvs

HKLM, SYSTEM\ControlSet001\Services\cdralw

HKLM, SYSTEM\ControlSet001\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs

HKLM, SYSTEM\CurrentControlSet\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\cdralw

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

• Hapus file yang di drop oleh virus di direktori:

  • C:\Windows\linkinfo.dll

  • C:\Windows\System32\drivers\lsDrv118.sys

  • C:\Windows\system32\\drivers\nvmini.sys

  • C:\Windows\System32\\drivers\cdralw.sys

  • C:\Windows\System32\drivers\riodrvs.sys

  • C:\Windows\System32\drivers\DKIs6.sys

Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk

Catatan:

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2):

• Buka Windows Explorer

• Klik menu “Tools” | Folder Option

• Klik tabulasi “View”

• Pilih opsi “Show hidden files and folders”

• Uncheck pilihan “Hide protected operating system files (recommended)”

• Klik “Apply”

• Klik “Ok”

Gambar 2, Menampilkan file yang tersembunyi

• Repair file yang sudah di injeksi oleh virus. Untuk clean file tersebut silahkan gunakan removal tools berikut :
  http://www.4shared.com/file/50751394/a0aa95b5/_2__Norman_Alman_Cleaner.html?dirPwdVerified=7a224f27

• Untuk pembersihan optimal install scan dengan antivirus yang dapat mengenali dan membasmi virus ini dengan baik.

Silahkan download antivirus Norman free trial 1 bulan di alamat berikut

http://www.norman.com/Download/Trial_versions/

so.. becarefull.. jgn langsung main buka Flash Disk dari auto play ataupun klik 2x d icon FD nya..

biasakan membuka melalui eksplorer.... and perhatial details nya...

W32/Agent.FUVR YM aneh ?

W32/Agent.FUVR

Yahoo Messenger bertingkah aneh ?? Waspadalah...Waspadalah

Lagi-lagi serangan virus mancanegara yang cukup menggemparkan para pengguna internet Indonesia. Virus ini mampu membuat komputer atau server anda megap-megap kehabisan nafas seperti ikan mas koki cari makanan karena ia akan berusaha dengan intens mendownload file dari situs web tertentu (kebanyakan di Cina) untuk mengupdate dirinya dan “hebatnya” virus ini juga aktif memanfaatkan YM (Yahoo Messenger). Jadi ibarat kata Bang Napi, jika YM anda tahu-tahu bertingkah aneh dalam beberapa hari ini .... Waspadalah..... Waspadalah.

Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :

• AcXtrnel.dll

File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”

• AcSpecf.dll

File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”

• AcPlugin.dll

File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.

• Jview.dll

Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.

Hati-hati jika Anda menjumpai sejumlah file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\). Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX (lihat gambar 1).

Gambar 1, File induk virus

Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini, termasuk file eksekusinya (lihat gambar 2) :

Gambar 2, Norman Virus Control mendeteksi virus ini sebagai W32/Agent.FUVR dan file dropper sebagai Autorun

Jika file di atas dijalankan, Microsoft.bat / Microsoft.vbs maka akan langsung mengaktifkan file Microsoft.pif yang tersembunyi / hidden (lihat gambar 3). Dan file microsoft.pif ini kemudian akan langsung dihapus. Tetapi sebagai gantinya, akan ada segambreng (banyak sekali) file library (dll) yang aktif di memori, file ini juga akan di aktifkan setiap kali user mengakses Internet Explorer. (lihat gambar 4)

Gambar 3, Script file Microsoft.bat yang menjalankan file virus Microsoft.pif

Gambar 4, Dll yang diaktifkan oleh virus

Drop File

Begitu virus ini aktif ia akan membuat beberapa file induk yakni :

• C:\Windows\AppPatch\Jview.dll

• C:\Windows\AppPatch\AcXtrnel.dll

• C:\Windows\AppPatch\AcPlugin.dll

• C:\Windows\appPatch\ AcSpecf.dll

Virus ini juga akan melakukan blocking pada beberapa aplikasi sekaligus mendaftarkan dirinya supaya dijalankan oleh Windows dengan membuat beberapa string pada registry editor berikut:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

  • "JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [ ]

  • ThunderAdvise"= {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll [2008-06-10 17:58 45056]

• [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

  • AppInit_DLLs=ukrth.dll, hjmh.dll, gyjert.dll, tjdegtr.dll, fyhje.dll, hgnmjsdg.dll, jkhjsd.dll, hjtdrh.dll, hyjmt.dll, fydgky.dll, ytjkyer.dll, dgrgfs.dll, gfcfg.dll, frntrn.dll, qrhhb.dll, drghszd.dll, fngn.dll, gnfctt.dll, xgnfn.dll, xfgnhcgfm.dll, serger.dll, bnxnb.dll, fxgnfx.dll, jzijj.dll, xfgnfx.dll, serghjm.dll, thsddh.dll, xbcvxb.dll, zfdzb.dll, xdndn.dll, xdfntt.dll, hgfhk.dll, dnteh.dll, xfng.dll, njritc.dll, chmfcmh.dll, jwlah.dll, gmnait.dll, hfjg.dll, thurh.dll, mgmgmm.dll, oqrthc.dll, dhugtj.dll, jyjlt.dll, ijatnaw.dll, sehhter.dll, fhjfg.dll, zdbdb.dll, ydgn.dll, dbfb.dll, fjnbv.dll, uyjtd.dll, setrhes.dll, cdxbfxdb.dll, xfgnxfn.dll, gjkhj.dll, xdhdg.dll, rhs.dll, mrjhtjd.dll, zdbfbd.dll, fjyjy.dll, fxnfnh.dll, bjrvm.dll, ektvm.dll, rdthr.dll, yjrfe.dll, dscef.dll, crugd.dll, lariytrz.dll, hjaiq.dll, kduy.dll, hkfgh.dll, awef.dll, dfhsh.dll, ethsh.dll, stehs.dll, sthth.dll, wfhyt.dll, rgghjj.dll, ghjkdr.dll, hfther.dll, nhmxcjkl.dll

Mengupdate dirinya

Virus ini akan membuat koneksi internet atau jaringan menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :

• http://root.51113.com/root.gif

• http://hk.www404.cn:53/ads.js

• http://err.www404.cn:443/014.html

Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.

File gif dan exe tersebut akan disimpan di direktori berikut (lihat gambar 5) :

• C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter acak)

• C:\Documents and Settings\%user%\Local Settings\Temp

Gambar 5, Contoh alamat web dan file yang akan di didownload oleh Agent.FUVR

File gambar tersebut di deteksi oleh Norman Virus Control sebagai Trojan:W32/Suspicious_U.gen (lihat gambar 6)

Gambar 6, Norman dengan teknologi Sandboxnya dapat mendeteksi file yang di download sebagai Suspicious_U.gen

Selain itu virus ini juga akan mendownload beberapa file EXE/DLL/Sys yang akan di simpan di direktori C:\Windows\system32, file ini DLL inilah yang nantinya akan di aktifkan setiap kali user browse internet (lihat gambar 7).

• bcsxachu.sys

• sfsxachu.exe

• zywmgime.dll

• erjxakin.sys

• stjxakin.exe

• snfybbyt.sys

• tjfyabyt.exe

• apsgejba.dll

• kdaic.exe

• xsdjbbmp.sys

• zsdjabmp.exe

• lpmxajkl.exe

• rnmxajkl.sys

• aoqnabib.sys

• dfqnabib.exe

• swsxachu.dll

• rijxbkin.dll

• ypdjgbmp.dll

• nhmxcjkl.dll

• 

Gambar 7, Beberapa file yang akan dibuat oleh Agent.FUVR

Aktif bersama Yahoo Messenger

Virus ini juga akan aktif bersamaan dengan Yahoo Messenger dan pada beberapa kasus menimbulkan error pada Script file. (lihat gambar 8)

Gambar 8, Pesan error saat menjalankan program Yahoo Masseger

Bagaimana cara mengatasinya?

• Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan.

• Lakukan pembersihan pada mode “safe mode”.

• Patch OS anda dengan patch terakhir.

• Download tools Combofix di alamat berikut kemudian jalankan

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools berikut

http://majorgeeks.com/ATF_Cleaner_d4949.html

• Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

  • Klik kanan repair.inf

  • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView

• Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi virus ini dengan baik.

sumber info@vaksin.com

semoga membantu