Wednesday, July 23, 2008

Repair windows tanpa format

pagi waktu menuju ke TKP... tiba² hp geter²... "jun komputer nya mba' sri error... blue screen"
wah error lg nih... segera sesampainya di TKP langsung melihat barang bukti.. hehe.. kek BUSER aj nih..
pas gw nyalain kompnya.... jreeeng.. muncuL kata² sakti "Windows could not start because the following files is missing or corrupt
\WINDOWS\SYSTEM32\CONFIG\SYSTEM "
wah .. apa yaah commandnya.. lupa ui... coba tlpn tmn² dlu .. kali aja ad yg inget...

"tuuuut...tuuuut.. tuuuuut..
Mr.X : ya halo..
☼ : mas... ganggu nih... lg repot ga...
Mr.X : ga'.. knp jun..
☼ : anu.. mau tanya command nya untuk repair windos ap ya.. lupa nih...
Mr.X : o0o... gini jun... kemungkinan windosmu... bla..bla..bla.... trus ntr bla.. bla...bla..
☼ : *buset ga nyambung nih... * o0o iya mas makasih...

tlpn ke yg lainnya lagi dagH...
*nsp ST12.. aku masih sayang...*
Mr.Z : halo... pagi...
☼ : pagi mas... lg sibuk ga ?
Mr.Z : ga juga sih... knp jun...
☼ : tau command repair windos ga... .
Mr.Z : umm... yang mana yaaa itu...
☼ : *GUBRAAKK !!! * itu ... yg pijit R pas instal windos nya.
Mr.Z : o0o... klo ga salah mesti di rename apa nya gtu jun.. lupa aku...
☼ : o0o rename yaa... system ya.. ic²... makasih mas...
Mr.Z : iya sama²...
*yg ini masih mending lpa tapi inget juga nyambung dikit :) *

akhirnya gw rename system nya.. .trus di copy system yg baru dari cd windos nya...
berikut langkah² ya :


Direktori \WINDOWS\SYSTEM32\CONFIG rusak atau hilang

MuncuL Tulisan :

"Windows could not start because the following files is missing or corrupt
\WINDOWS\SYSTEM32\CONFIG\SYSTEM or \WINDOWS\SYSTEM32\CONFIG\SOFTWARE"

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Tulis: cd \windows\system32\config
- Berikutnya tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: ren software software.rusak ATAU ren system system.rusak ( klo ga bsa di rename coba di check disk dlu drive C: nya )
- Berikutnya lagi juga tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: copy \windows\repair\system
- Tulis: copy \windows\repair\software
- Ketikkan EXIT

kemudian boot biasa ke hard disk.. jgn ke cd lg...
jreeeeeng.... windows nya ud bisa jalan lagi... horeeee...
ups... driver² nya kok tanda tanya ????
iya .. coz system nya kan di ganti yg baru... jd ya mesti di instal driver nya lagi.. untuk sound,vga, pci, dll

tapi file² and data kita ga ilang.. 100% masih ad ....
program instalan juga tetep jalan....

selamat mencoba
Diposting oleh Jund di 1:51 PM 0 komentar

Tuesday, July 22, 2008

yg mudah yang terlupakan

Tips And Trik o/s Xp


Menghilangkan Windows Messenger

Klik menu Start, Run, ketik gpedit.msc--->Computer configuration--->Windows components ---> Windows messenger. Dari sini anda bisa meng-enable-kan pilihan "Do not allow Windows Messenger to be run" dan "Do not automatically start Windows messenger initially".Dengan langkah tersebut maka Windows messenger tidak ditampilkan lagi.

Hilangkan Sharing Dokumen

Bukalah Regedit (Start-Run Regedit)dab tujulah pada HKEY_LOCAL_MACHINE SOFTWARE, Microsoft, Windows, CurrentVersion, Explorer, My Computer, NameSpace, DelegateFolders. Kemudian perhatikan sub-key yg bernama {59031a47-3f72-44a7-89c5-5595fe6b30ee}. Dengan menghapusnya, anda bisa meremove beberapa file yang tersimpan pada group.

Mengurangi File Space Temporary Internet

Jalankan internet explorer--->pilih Tools dari menu bar--->Pilih internet options dari menu drop down--->pertama kali internet options diload, klik general tab--->Di bawah bagian temporary internet files, klik tombol settings--->Maka jendela setting akan di load, anda bisa menggeser slider dengan ukuran yang kecil--->Klik OK--->Klik OK lagi.

Matikan System Recovery

Klik kanan pada My computer--->Pilih properties--->Klik system Restore tab--->Check box Turn off System Restore. Hal ini akan meningkatkan performa windows dan save disk space.

Enable dan Disable Firewall

Buka Control panel--->klik dua kali pada Network Connctions(maka box baru akan ditampilkan)--->klik kanan pada connection--->dan klik Advanced tab--->Check atau uncheck pada box untuk mengenablekan dan men-disable firewall.

Shutdown Win XP tidak Normal

- Buka Control Panel, plilih Power Options.
- Klik pada APM Tab, Check "Enable Advanced Power Management support".
- Shut down PC anda, dan sekarang proses Shut down akan berjalan normal.

Mengatur variasi Visual Effect

Bukalah Control Panel--->Di bawah System klik Advanced tab--->Klik Settings di bawah pilihan Performance--->Sekarang anda bisa mengubah variasi effect (baik animasi dan bayangan).

Men-Disable error reporting

Buka Control Panel--->Klik Performance and Maintenance--->Klik System--->Klik Advanced tab--->Klik pada tombol error reporting yang terdapat di bawah windows--->Pilih Disable error reporting--->Klik OK--->Klik OK.

Hilangkan Panah Shortcut pada Icon Dekstop

Jalankan Regedit--->Bukalah HKEY_CLASSES_ROOT Inkfile--->Hapus nilai IsShortcut--->Restart Windows XP.

Enablekan Clear Type

- Klik kanan blkank area pada dekstop, pilih properties.
- Klik Appearance Tab, klik effects.
- Check pada box : "Use the folowing method to smooth edges of screen fonts".
- Di dalam drop down box pilih : Clear Type.

Matikan CD auto Play

Buka Control Panel--->Klik kanan pada CD rom, pilih properties--->Klik pada autoPlay tab--->Di dalam box drop down, Anda bisa memilih Action untuk masing-masing pilihan yang ditampilkan pada box drop down.
atau :

    - Pada menu start, jalankan Run, ketik gpedit.msc.
    - Computer Config, Administrative Template, System.
    - Klik Dua kali Turn off Autoplay.

Bikin MP3 Bekerja pada Windows Media Player 8 XP

Langkah Registrynya :
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftMediaPlayerSettingsMP3Encoding]

    "LowRate"=dword:000dac0
    "MediumRate"=dword:0000fa00
    "MediumHighRate"=dword:0001f400
    "HighRate"=dword:0002ee00
Beberapa yang sesuai adalah untuk 56, 64, 128 dan 192 Kbps. Anda bisa mengubah dengan nilai dword seperti di bawah :
    320 Kbps=dword:0004e200
    256 Kbps=dword:0003e800
    224 Kbps=dword:00036b00
    192 Kbps=dword:0002ee00
    160 Kbps=dword:00027100
    128 Kbps=dword:0001f400
    112 Kbps=dword:0001b580
    64 Kbps=dword:0000fa00
    56 Kbps=dword:0000dac0

System Performance Tweaks XP memory tweaks

Ada beberapa memory tweaks untuk windows XP. Terletak pada windows registry :
HKEY_LOCAL_MACHINE--->SYSTEM--->CurrentControlSet--->Control---> Session Manager--->Memory Management.

1. Mendiasable Paging Executive

Dalam keadaan enable, setting ini akan mencegah paging dari Win2k Executive file pada har disk, yg menyebabkan OS dan sebagian besar program lebih responsif. Lakukan tweaks hanya jika anda mempunyai jumlah RAM yang lebih besar dari 128 MB, karena setting ini menggunakan bagian yang substansial dari system resource. Secara default, nilai dari key adalah 0. Untuk mengaktifkannya ubah menjadi 1.

2. Large System Cache

Pada kondisi enable (default pada versi Server Windows 2000), setting ini akan memerintahkan OS untuk memberikan semuanya kecuali 4 MB dari system memory yg disisakan untuk disk caching) pada cache file system. Hal ini memungkinkan komputer untuk menempatkan OS Kerenel pada memory, sehingga OS lebih responsif.
Setting ini membutuhkan lebih dari 4 MB yg ada pada disk cache untuk beberapa alasan. Secara default, 8 MB dibutuhkan untuk tujuan ini. Tweak ini biasanya membutuhkan OS lebih responsif. Setting ini bisa berubah (dinamis), dan kernel akan memberikan space yang dibutuhkan oleh aplikasi lainnya.
Ubah angka 0 menjadi 1. Sebelum melakukan hal ini anda seharusnya mengkonsumsi RAM melebihi keadaan normal. Saat LargeSystemCache akan memotong kembali penggunaan ketika aplikasi lainnya membutuhkan lebih banyak RAM, proses ini bisa menghalangi performa pada keadaan yang tak terduga.
Menurut Microsoft, setting "0 dianjurkan untuk server yang menjalankan aplikasi yg menjalankan memory cachingnya sendiri, seperti Microsoft SQL Server, dan untuk aplikasi yang berjalan sempurna dengan ample memory, seperti internet Information Services."

3. IOPageLockLimit

Tweak ini meningkatkan performa Input/Output pada komputer anda saat melakukan file transfer yang besar dan operasi lainnya yang sama. Tweak tidak akan bisa berbuat banyak pada system yang tidak memiliki jumlah RAM lebih dari 128 MB, tetapi system dengan 128 MB RAM atau lebih akan menemukan peningkatan performa dengan men-setting antara 8 dan 16 MB.
Defaultnya adalah 0,5 MB atau 512 KB. Setting ini membutuhkan sebuah nilai dalam bytes, sehingga perlu mengalikan angka dalam megabytes *1024*1024. Di mana X* 1048576 (X merupakan angka dalam megabytes).

4. Mendisable services yang tidak diperlukan

Service merupakan program yang berjalan saat komputer dinyalakan dan terus berjalan sebagai tambahan dari fungsionalsebuah operating system. Terdapat banyak services yang muncul tetapi tidak dibutuhkan yang menghabiskan memory space dan waktu proses CPU. Mendisable services ini akian membebaskan system resources yang akan meningkatkan kcepatan komputer.
Di bawah ini langkah untuk mematikan services :

- Klik tombol start
- Pilih Run di bagian bawah kolom sebelah kanan.
- Pilih type services.msc dalam box dan klik OK.
- Setelah service window muncul, anda bisa mematikan services yang tidak dibutuhkan.
- Untuk tujuan instruksional, matikan Portable Media Serial Number.
- Temukan services ini pada list dan pilih dengan mouse.
- Klik kanan dan pilih Properties.
- Setelah properties window muncul, masuk ke Start up type drop down box dan pilih disable
- Kemudian klik OK.

5. Meningkatkan Kecepatan Menu Display

Saat menggunakan start menu anda akan menemukan penundaan diantara deretan menu. Untuk kecepatan komputer yang memungkinkan, sebaiknya anda mengubah angka menjadi 0. Ini akan membuat deretan menu yg lain muncul dengan cepat.
-Start regedit--->Masuk ke HKEY_CURRENT_USER--->Control Panel---> Dekstop--->Pilih MenuShowDelay dari list di sebelah kanan--->Klik kanan kemudian pilih Modify--->Ubah angka menjadi 100--->Restart Komputer.

6. Mendisable Program yang tidak perlu

Menginstall banyak program pada komputer bisa mebgacaukan registrasi dengan program yang tidak perlu saat start up. Ini akan memperlambat kinerja komputer dan memakan memory.
-Start Regedit ---> HKEY_CURRENT_USER ---> Software--->Microsoft---> Windows--->CurrentVersion--->Run--->Masuk ke sembarang entry di kanan.Anda bisa mengidentifikasi program dari path---> Temukan program yang kan dibuang--->Klik kanan pada program yang telah dipilih dan pilih Delete.
atau :
-HKEY_CURRENT_USER ---> Software ---> Microsoft ---> Windows ---> CurrentVersion--->Runonce and HKEY_LOCAL_MACHINE---> SOFTWARE---> Microsoft--->Windows---> CurrentVersion--->Run--->Delete program yg tidak perlu--->Restart.

7. Enable atau Disable boot Defrag

Fitur baru pada microsoft Windows XP adalah kemampuan untuk melakukan boot defragment. Ini menempatkan semua file boot berurutan pada disk untuk mempercepat booting. Secara default pilihan ini tidak aktif. Cara mengaktifkannya adalah :
-Start Regedit--->HKEY_LOCAL_MACHINE---> SOFTWARE--->Microsoft--->Dfrg---> BootOptimizeFunction--->Pilih enable dari list di kanan--->Klik kanan dan pilih modify---> Ubah angka menjadi Y untuk membuatnya Enable dan N untuk Disable--->Restart Komputer.

8. Memodifikasi Auto-reboot Setting

Di bawah ini anda akan menemukan bagaimana menjalankan fitur auto reboot dan mematikannya, ini akan membuat komputer anda mere-boot secara cepat pada system fault.
-Start Regedit--->HKEY_LOCAL_MACHINE--->SYSTEM--->CurrentControlSet--->Control--->CrashControl--->Pilih AutoReboot dari list di kanan--->Klik kanan dan pilih Modify --->Ubah angka menjadi 0 untuk menjadikannya disable dan 1 untuk Enable --->Restart.

9. Memodifikasi Aplikasi Timeout

XP memiliki serangkaian waktu dimana program akan hang sebelum timed out. Sering kali anagka ini terlalu tinggi. Tetapi pada keadaan tertentu angka ini terlalu rendah. Tergantung apakah program melakukan banyak kalkulasi sehingga komputer mengira sudah mencapai timeout dalam registrasi.
-Start Regedit--->HKEY_CURRENT_USER--->Control Panel--->Dekstop--->Pilih HungApp Timeout dari list di kanan--->Klik kanan dan pilih Modify--->Ubah angka menjadi angaka time value yang baru--->Restart.

Tweak User Interface

1. Mengaktifkan Clear Type pada layar Wellcome Login

Start Regedit--->HKEY_USERS_DEFAULT--->Control Panel--->Dekstop--->Cari FontSmoothing Type--->Ubah angka menjadi 2--->Restart Komputer.

2. Memilih Theme dan Color Scheme pada Layar Wellcome

Star Regedit ---> HKEY_USERS_DEFAULT ---> Software ---> Microsoft ---> Windows---> CurrentVersion--->ThemeManager--->Cari NormalColor--->Kliik kanan dan pilih Modify--->Ubah "ColorName" menjadi "Metallic"--->Klik OK, dan keluar dari Regedit--->Restart Komputer.

3. Menampilkan File Extension

Pada foleder yang berisi file, klik menu tools dan pilih folder options--->Klik pada tab view--->Masuk ke Hide extensions dari tipe file yang diketahui dan uncheck--->Klik OK.

4. Menampilkan Internet Explorer pada Dekstop

Star Regedit ---> HKEY_LOCAL_MACHINE ---> SOFTWARE ---> Microsoft ---> Windows ---> CurrentVersions ---> Explorer --->HideDekstop ---> Icons ---> NewStartPanel ---> Setelah di sana, cari {871C5380-42A0-1069-A2EA-08002B30309D} dalam list di sebelah kanan ---> Klik kanan dan pilih Modify --->Ubah angka menjadi 0--->Restart Komputer.

5. Logon bergaya Windows 2000

Untuk kembali log on bergaya Win2k sehingga anda bisa melakukan log on sebagai administrator dan pilihan yang lain, tekan ctrl+alt+delete dua kali.

6. Menghilangkan "Comments?" Link dari title bar

Start Regedit--->HKEY_CURRENT_USER---> Control Panel--->Dekstop---> Masuk ke LameButtonEnable pada list di sebelah kanan--->Klik kanan dan pilih Modify--->Ubah angka menjadi 0--->Restart komputer.

7. Mempercepat munculnya menu Favorites pada Internet Explorer 6

Untuk beberapa keadaan menu Favorites pada IE 6 agak lamban untuk muncul. Solusi untuk memngatasi masalah tersebut adalah :
Buka sebuah command line window (Start button--->Run--->cmd) dan ketik sfc, kemudian tekan enter. Command line ini akan menjalankan System File Checker, yang sebenarnya tidak berhubungan dengan IE 6, tetapi hal ini bisa berhasil.
Diposting oleh Jund di 10:00 AM 1 komentar

Thursday, July 17, 2008

Virus Alman bkin kacau kompi

W32/Alman (Almanahe)

Komputer kacau karena file .exe di injeksi virus

Selain virus ARP Poisoning yang sedang marak menyebar di Indonesia. Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.

Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut.

Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori :

  • \LOCAL SETTINGS\T

  • \QQ

  • \Windows

  • \Winnt

Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.

Dengan update terbaru Norman sudah dapat mendeteksi virus ini sebagai W32/Alman. (lihat gambar 1).

Gambar 1, Norman Virus Control mendeteksi varian-varian virus Alman / Almanahe yang sedang mengganas di Indonesia.

Drop File

Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows.

  • C:\Windows\linkinfo.dll

  • C:\Windows\System32\drivers\LsDrv118.sys

  • C:\Windows\system32\drivers\nvmini.sys

  • C:\Windows\System32\drivers\cdralw.sys

  • C:\Windows\System32\drivers\riodrvs.sys

  • C:\Windows\System32\drivers\DKIs6.sys

Registri

Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut:

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

    • "DisplayName" = "NVIDIA Compatible Windows Miniport Driver"

    • "ImagePath" = "%system%\drivers\%file%.sys"

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

    • "NextInstance" = 1

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000]

    • "Service" = "%file%"

    • "Legacy" = 1

    • "ConfigFlags" = 0

    • "Class" = "LegacyDriver"

    • "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

    • "DeviceDesc" = "%file%"

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control]

    • "NewlyCreated" = 0

    • "ActiveService" = "%file%"

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

    • "DisplayName" = "RioDrvs Usb Driver"

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%

    • DisplayName" = "RioDrvs Usb Driver"

Catatan:

%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:

  • Nvmini

  • Cdralw

  • RioDrvs

Terminate program / Aplikasi / Malware

W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:

  • c0nime.exe

  • cmdbcs.exe

  • ctmontv.exe

  • explorer.exe

  • fuckjacks.exe

  • iexpl0re.exe

  • iexpl0re.exe

  • iexplore.exe

  • internat.exe

  • logo_1.exe

  • logo1_.exe

  • lsass.exe

  • lying.exe

  • msdccrt.exe

  • msvce32.exe

  • ncscv32.exe

  • nvscv32.exe

  • realschd.exe

  • rpcs.exe

  • run1132.exe

  • rundl132.exe

  • smss.exe

  • spo0lsv.exe

  • spoclsv.exe

  • ssopure.exe

  • svhost32.exe

  • svch0st.exe

  • sxs.exe

  • sysbmw.exe

  • sysload3.exe

  • tempicon.exe

  • upxdnd.exe

  • wdfmgr32.exe

  • wsvbs.exe

  • dllwm.dll

  • dllhosts.dll

  • notepad.dll

  • rpcs.dll

  • rdihost.dll

  • rdfhost.dll

  • reshost.dll

  • lgsym.dll

  • rund11.dll

  • midddsccrt.dll

  • wsvbs.dll

  • cmdb.dll

  • richdll.dll

  • wininfo.rxk

  • windhcp.dll

  • upxdhnd.dll

Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:

  • SPUBDRV

  • ISDRV1

  • RKREVEAL

  • PROCEXP

  • SAFEMON

  • RKHDRV10

  • NPF

  • IRIS

  • NPPTNT

  • DUMP_WMIMMC

  • SPLITTER

  • EAGLENT

Media penyebaran

Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula.

Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:

  • admin

  • 1

  • 111

  • 123

  • Aaa

  • 12345

  • 123456789

  • 654321

  • !@#$

  • qsdf

  • asdfgh

  • !@#$%

  • !@#$%^

  • !@#$%^&

  • !@#$%^&*

  • !@#$%^&*(

  • !@#$%^&*()

  • qwer

  • admin123

  • love

  • test123

  • owner

  • mypass123

  • root

  • letmein

  • qwerty

  • abc123

  • password

  • monkey

  • password1

Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.


Mampu mengupdate diri seperti antivirus

W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus

  • Hooksys

  • KWatch3

  • KregEx

  • KLPF

  • NaiAvFilter1

  • NAVAP

  • AVGNTMGR

  • AvgTdi

  • nod32drv

  • PavProtect

  • TMFilter

  • BDFsDrv

  • VETFDDNT

dan mencoba untuk download malware lain dari url yang telah di tentukan seperti:

  • pic.imrw0rldwide.com

  • soft.imrw0rldwide.com

  • tj.imrw0rldwide.com

Injeksi File EXE

Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC).


Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut:

  • \LOCAL SETTINGS\TEMP

  • \QQ

  • \Windows

  • \Winnt

Serta beberapa file yang mempunyai salah satu nama dibawah ini:

  • launcher.exe

  • repair.exe

  • wow.exe

  • wooolcfg.exe

  • woool.exe

  • ztconfig.exe

  • patchupdate.exe

  • trojankiller.exe

  • xy2player.exe

  • flyff.exe

  • xy2.exe

  • au_unins_web.exe

  • cabal.exe

  • cabalmain9x.exe

  • cabalmain.exe

  • meteor.exe

  • patcher.exe

  • mjonline.exe

  • config.exe

  • zuonline.exe

  • userpic.exe

  • main.exe

  • dk2.exe

  • autoupdate.exe

  • dbfsupdate.exe

  • asktao.exe

  • sealspeed.exe

  • xlqy2.exe

  • game.exe

  • wb-service.exe

  • nbt-dragonraja2006.exe

  • dragonraja.exe

  • mhclient-connect.exe

  • hs.exe

  • mts.exe

  • gc.exe

  • zfs.exe

  • neuz.exe

  • maplestory.exe

  • nsstarter.exe

  • nmcosrv.exe

  • ca.exe

  • nmservice.exe

  • kartrider.exe

  • audition.exe

  • zhengtu.exe

Cara membersihkan W32/Alman

  • Putuskan komputer yang ingin dibersihkan dari jaringan.

  • Matikan “System Restore” selama proses pembersihan berlangsung.

  • Disarankan lakukan pembersihan pada mode “safe mode”.

  • Matikan service virus yang aktif dimemory dengan cara:

  • Klik [Start] [Run].

  • Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK]

  • Cari services virus dengan nama “NVIDIA Compatible Windows Miniport Driver” atau “RioDrvs Usb Driver”

  • Kemudian klik menu Action > Properties.

  • Klik tombol Stop.

  • Pada bagian Startup Type pilih Manual.

  • Klik OK

  • Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SYSTEM\ControlSet001\Services\RioDrvs

HKLM, SYSTEM\ControlSet001\Services\cdralw

HKLM, SYSTEM\ControlSet001\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs

HKLM, SYSTEM\CurrentControlSet\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\cdralw

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

  • Hapus file yang di drop oleh virus di direktori:

    • C:\Windows\linkinfo.dll

    • C:\Windows\System32\drivers\lsDrv118.sys

    • C:\Windows\system32\\drivers\nvmini.sys

    • C:\Windows\System32\\drivers\cdralw.sys

    • C:\Windows\System32\drivers\riodrvs.sys

    • C:\Windows\System32\drivers\DKIs6.sys

Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk


Catatan:

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2):

  • Buka Windows Explorer

  • Klik menu “Tools” | Folder Option

  • Klik tabulasi “View”

  • Pilih opsi “Show hidden files and folders”

  • Uncheck pilihan “Hide protected operating system files (recommended)”

  • Klik “Apply”

  • Klik “Ok”

Gambar 2, Menampilkan file yang tersembunyi

Silahkan download antivirus Norman free trial 1 bulan di alamat berikut

http://www.norman.com/Download/Trial_versions/


so.. becarefull.. jgn langsung main buka Flash Disk dari auto play ataupun klik 2x d icon FD nya..

biasakan membuka melalui eksplorer.... and perhatial details nya...


Diposting oleh Jund di 4:46 PM 3 komentar
Subscribe to: Posts (Atom)