Thursday, July 3, 2008

W32/Agent.FUVR YM aneh ?

W32/Agent.FUVR

Yahoo Messenger bertingkah aneh ?? Waspadalah...Waspadalah

Lagi-lagi serangan virus mancanegara yang cukup menggemparkan para pengguna internet Indonesia. Virus ini mampu membuat komputer atau server anda megap-megap kehabisan nafas seperti ikan mas koki cari makanan karena ia akan berusaha dengan intens mendownload file dari situs web tertentu (kebanyakan di Cina) untuk mengupdate dirinya dan “hebatnya” virus ini juga aktif memanfaatkan YM (Yahoo Messenger). Jadi ibarat kata Bang Napi, jika YM anda tahu-tahu bertingkah aneh dalam beberapa hari ini .... Waspadalah..... Waspadalah.

Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :

  • AcXtrnel.dll

File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”

  • AcSpecf.dll

File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”

  • AcPlugin.dll

File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.

  • Jview.dll

Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.

Hati-hati jika Anda menjumpai sejumlah file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\). Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX (lihat gambar 1).



Gambar 1, File induk virus

Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini, termasuk file eksekusinya (lihat gambar 2) :

















Gambar 2, Norman Virus Control mendeteksi virus ini sebagai W32/Agent.FUVR dan file dropper sebagai Autorun

Jika file di atas dijalankan, Microsoft.bat / Microsoft.vbs maka akan langsung mengaktifkan file Microsoft.pif yang tersembunyi / hidden (lihat gambar 3). Dan file microsoft.pif ini kemudian akan langsung dihapus. Tetapi sebagai gantinya, akan ada segambreng (banyak sekali) file library (dll) yang aktif di memori, file ini juga akan di aktifkan setiap kali user mengakses Internet Explorer. (lihat gambar 4)


Gambar 3, Script file Microsoft.bat yang menjalankan file virus Microsoft.pif

Gambar 4, Dll yang diaktifkan oleh virus

Drop File

Begitu virus ini aktif ia akan membuat beberapa file induk yakni :

  • C:\Windows\AppPatch\Jview.dll

  • C:\Windows\AppPatch\AcXtrnel.dll

  • C:\Windows\AppPatch\AcPlugin.dll

  • C:\Windows\appPatch\ AcSpecf.dll

Virus ini juga akan melakukan blocking pada beberapa aplikasi sekaligus mendaftarkan dirinya supaya dijalankan oleh Windows dengan membuat beberapa string pada registry editor berikut:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

    • "JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [ ]

    • ThunderAdvise"= {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll [2008-06-10 17:58 45056]

  • [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

    • AppInit_DLLs=ukrth.dll, hjmh.dll, gyjert.dll, tjdegtr.dll, fyhje.dll, hgnmjsdg.dll, jkhjsd.dll, hjtdrh.dll, hyjmt.dll, fydgky.dll, ytjkyer.dll, dgrgfs.dll, gfcfg.dll, frntrn.dll, qrhhb.dll, drghszd.dll, fngn.dll, gnfctt.dll, xgnfn.dll, xfgnhcgfm.dll, serger.dll, bnxnb.dll, fxgnfx.dll, jzijj.dll, xfgnfx.dll, serghjm.dll, thsddh.dll, xbcvxb.dll, zfdzb.dll, xdndn.dll, xdfntt.dll, hgfhk.dll, dnteh.dll, xfng.dll, njritc.dll, chmfcmh.dll, jwlah.dll, gmnait.dll, hfjg.dll, thurh.dll, mgmgmm.dll, oqrthc.dll, dhugtj.dll, jyjlt.dll, ijatnaw.dll, sehhter.dll, fhjfg.dll, zdbdb.dll, ydgn.dll, dbfb.dll, fjnbv.dll, uyjtd.dll, setrhes.dll, cdxbfxdb.dll, xfgnxfn.dll, gjkhj.dll, xdhdg.dll, rhs.dll, mrjhtjd.dll, zdbfbd.dll, fjyjy.dll, fxnfnh.dll, bjrvm.dll, ektvm.dll, rdthr.dll, yjrfe.dll, dscef.dll, crugd.dll, lariytrz.dll, hjaiq.dll, kduy.dll, hkfgh.dll, awef.dll, dfhsh.dll, ethsh.dll, stehs.dll, sthth.dll, wfhyt.dll, rgghjj.dll, ghjkdr.dll, hfther.dll, nhmxcjkl.dll

Mengupdate dirinya

Virus ini akan membuat koneksi internet atau jaringan menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :

  • http://root.51113.com/root.gif

  • http://hk.www404.cn:53/ads.js

  • http://err.www404.cn:443/014.html

Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.

File gif dan exe tersebut akan disimpan di direktori berikut (lihat gambar 5) :

  • C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter acak)

  • C:\Documents and Settings\%user%\Local Settings\Temp


Gambar 5, Contoh alamat web dan file yang akan di didownload oleh Agent.FUVR

File gambar tersebut di deteksi oleh Norman Virus Control sebagai Trojan:W32/Suspicious_U.gen (lihat gambar 6)


Gambar 6, Norman dengan teknologi Sandboxnya dapat mendeteksi file yang di download sebagai Suspicious_U.gen

Selain itu virus ini juga akan mendownload beberapa file EXE/DLL/Sys yang akan di simpan di direktori C:\Windows\system32, file ini DLL inilah yang nantinya akan di aktifkan setiap kali user browse internet (lihat gambar 7).

  • bcsxachu.sys

  • sfsxachu.exe

  • zywmgime.dll

  • erjxakin.sys

  • stjxakin.exe

  • snfybbyt.sys

  • tjfyabyt.exe

  • apsgejba.dll

  • kdaic.exe

  • xsdjbbmp.sys

  • zsdjabmp.exe

  • lpmxajkl.exe

  • rnmxajkl.sys

  • aoqnabib.sys

  • dfqnabib.exe

  • swsxachu.dll

  • rijxbkin.dll

  • ypdjgbmp.dll

  • nhmxcjkl.dll

Gambar 7, Beberapa file yang akan dibuat oleh Agent.FUVR

Aktif bersama Yahoo Messenger

Virus ini juga akan aktif bersamaan dengan Yahoo Messenger dan pada beberapa kasus menimbulkan error pada Script file. (lihat gambar 8)


Gambar 8, Pesan error saat menjalankan program Yahoo Masseger


Bagaimana cara mengatasinya?

  • Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan.

  • Lakukan pembersihan pada mode “safe mode”.

  • Patch OS anda dengan patch terakhir.

  • Download tools Combofix di alamat berikut kemudian jalankan

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

  • Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools berikut

http://majorgeeks.com/ATF_Cleaner_d4949.html

  • Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView

  • Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi virus ini dengan baik.

sumber info@vaksin.com

semoga membantu











Diposting oleh Jund di 3:50 PM 2 komentar

C 90

pembuangan c90
anda tinggal bongkar casingnya. coba analisa kait2 casingnya supaya bisa dilepas. jangan sampai pecah. untuk kaitnya depan ada 3. masing2 kiri tengah dan kanan. samping kiri dan samping kanan 1 kait. sebelum dilepas pastikan penahan paper digeser ke pojok kiri. setelah terlepas semua tinggal diangkat ke atas. setelah itu dibagian belakang ada selang yg mengarah ke busa putih. tinggal diambil dan disambungin aja dengan selang yg lebih besar atau lebih kecil. setelah itu casing ditutup lagi. selang yg sudah disambungin harus dikeluarkan, bisa lewat paper tray yg kanan. ada sedikit celah. klo ga mau ribet bisa melubangi casing belakang. selang tersebut tinggal disambungin ke botol pembuangan. jadi deh...
jangan lupa: Buang tinta buangan jika sudah ½ atau ¾ botol, kalok gak nanti bisa tersedot lagi



untuk infus C90 sejauh yang saya tau ada 3 tipe
1. infus dengan pancing, maksudnya pada cartridge infus ini kita harus memasang cartridge ORI epson yang belum empty sebagai pancingan. infus jenis ini sudah banyak ditinggalkan karena selain kita membutuhkan cartridge ori juga pengaturan selangnya sedikit lebih ribet, karena letak cartridge ori ini menumpang di atas cartridge infusnya. ada juga yg mengatakan infus gendongan. dan kelemahannya infus ini kalau tinta terdeteksi habis maka hal yg dilakukan adalah cabut cartridge infusnya dan tancepin lagi.

2. infus dengan model switch, pada infus model ini terdapat satu tombol yg berguna untuk mereset indikator tinta jika terdeteksi habis. infus ini sering sekali digunakan, karena ngga terlalu ribet dan harga yg terjangkau. kelemahan dari infus model ini adalah chipset pada setiap cartridge nya gabung jadi satu, jadi susahnya kalau printer anda urutan tintanya tidak sama dengan c90 maka tidak bisa digunakan, misalnya cx6900F (seperti yg pernah saya alami pada customer saya di daerah sumatra, saya tidak sadar kalau cx6900F urutan warna nya berbeda).

3. infus dengan cartridge independen, infus model ini adalah infus terbaik, karena setiap cartridge nya memiliki chipset sendiri2, jadi utk printer cx6900F misalnya, sudah bisa jalan karena tinggal pindah posisi saja. cuma n harga lebbih mahal dibanding kedua jenis infus di atas.

cartridge yg ada switchnya
begitu ink counter terdeteksi empty, tinggal pencet switch nya. prosesnya akan sama dengan pergantian cartridge, yaitu anda tinggal tekan tombol tinta dua kali (sambil menunggu head sampai berhenti proses baru dipencet lagi).
Diposting oleh Jund di 10:53 AM 0 komentar

trouble blinking

Prosedur pertama: coba cartridge dicabut trus tancepin lagi
kalok masih blinking, mungkin counter waste inkpad sudah maksimum (penuh)
Tanda: kalau printer seri C & R yang tidak ada LCD nya ditandai lampu kedap kedip bergantian (bukan barengan), kalau seri CX ditandai dengan lampu power, indikator tinta nyala bareng, kalau printer tipe RX dan CX yg ada LCD nya ditandai dengan tulisan service required, untuk tipe R250 ditandai dengan kode E-90 (yang artinya waste ink pad full). untuk beberapa tipe tertentu memang ada sedikit perbedaan.
tapi yang jelas dengan menggunakan adjustment programnya kita dapat dengan jelas melihat counter atau nilai dari waste ink pad nya.
caranya: cari software resetter/adjustment, coba di h(.)(.)p://indoreset.blogspot.com or printersiam or cari SSC Service Utility pakek gugel
Waste inkpad counter:
hitungan untuk waste inkpad sistemnya point jumlah yang akan bertambah terus, untuk r230 max point adalah 20.000 point, setiap tipe printer memiliki jumlah max point yg berbeda2.
cara hitungnya tergantung dari jumlah tinta yg keluar dari cartridge (andaikan tinta udah empty tetap terhitung) bukan berdasarkan jumlah lembar / kertas hal ini meliputi proses print dan head cleaning. tetapi penentuan jumlah point hanya pihak epson yg tau. hehehe...
sebagai ilustrasi, apabila kita pasangkan cartridge kosong (tanpa tinta) dan kita melakukan proses print dan head cleaning secara terus menerus, maka point akan bertambah terus.
begitu juga apabila kita melakukan proses on dan off printer secara terus menerus point akan bertambah terus, karena ketika kita menghidupkan printer dia akan melakukan proses "little head cleaning"


Sekedar info saja, untuk printer EPSON yang multifungsi tipe CX5500 merupakan printer yang kurang bagus, karena berdasarkan pengalaman saya dan beberapa teman, untuk pemasangan infus nya banyak mengalami trouble.


untuk r230 apabila ga bisa makan kertas, ada 2 faktor, faktor pertama cuman kotor aja dan faktor kedua roll besi nya memang habis.
untuk yg faktor pertama coba deh anda beli kontak cleaner, semprot pada semua bagian yg berhubungan dengan masuknya kertas. mulai dari roll besi, karet2 nya. untuk kontak kleaner kena circuit ngga masalah, jadi ngga usah takut. semprot aja langsung. pakai yg merk phillips yah. setelah disemprot anda tinggal test print berkali2. nanti akan kelihatan sekali hasilnya.
untuk permasalahan ke dua, anda mesti ganti roll lagi. tau kan letak roll besi?? roll besi itu dilapisi semacam lapisan warna hitam / abu2 dan agak kasar. apabila lapisan ini hilang maka akan keliatan dalamnya warna chrome. klo dah aus gini susah makan kertasnya jg. harga roll besi r230 sekitar 200 ribuan.
Diposting oleh Jund di 10:25 AM 0 komentar

tips and trik pke printer infus

Aturan penggunaan printer Modifikasi infus :
1. Printer modifikasi jangan dibawa dengan posisi miring atau terbalik.
2. Posisi botol harus sama tinggi dengan printer.
3. Ketika proses pencetakan dimulai, tutup yang kecil harus dibuka.
4. Jika printer akan dipindah tempat, semua tutup pada botol harus terpasang rapat.
5. Ketika botol akan diisi semua tutup harus dibuka, pengisian tinta dapat dilakukan pada lubang besar pada botol.
6. Jika hasil cetak kurang memuaskan lakukan proses head cleaning.
7. Jika tinta pada botol sudah ¼ lakukan segera pengisian tinta.
8. Buang tinta buangan jika sudah ½ atau ¾ botol.
9. Jangan sampai tinta pada botol benar – benar habis.
10. Diusahakan tidak berganti merk tinta.

Jenis - jenis tinta yg dipakai untuk printer Inkjet secara garis besar ada 3 macam, yaitu
Dye Based - berbahan dasar air, hasil print paling bagus di media kertas glossy, karena menyala, tetapi ngga tahan air
Pigment Based - berbahan dasar pigmen, tinta jenis ini tahan air tetapi kualitas hasilnya kurang bagus, lebih cenderung soft
Sublimasi - tinta jenis ini utk cetak di kaos, mug, dll

Untuk pemilihan ketiga jenis tinta tersebut sebaiknya disesuaikan dengan kemampuan head pada printer anda. tetapi untuk saat ini printer EPSON yg baru sudah memiliki head yang cukup tangguh untuk ketiga tinta tadi, yang jadi permasalahan supaya head printer anda awet adalah cara pemakaian dan kualitas tinta.

Kalo printer garis2 berarti ada tinta mampet di head, bisa dibersihkan dengan cara ditembak dengan suntikan plus head cleaner.
Head cleaner: grace, duraklin, ato coba pakai cairan pembersih jendela.
Tapi hati2 ya jangan terlalu banyak, bisa konsleted...
Diposting oleh Jund di 10:23 AM 1 komentar
Subscribe to: Posts (Atom)