Virus Alman bkin kacau kompi

W32/Alman (Almanahe)

Komputer kacau karena file .exe di injeksi virus

Selain virus ARP Poisoning yang sedang marak menyebar di Indonesia. Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.

Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut.

Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori :

• \LOCAL SETTINGS\T

• \QQ

• \Windows

• \Winnt

Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.

Dengan update terbaru Norman sudah dapat mendeteksi virus ini sebagai W32/Alman. (lihat gambar 1).

Gambar 1, Norman Virus Control mendeteksi varian-varian virus Alman / Almanahe yang sedang mengganas di Indonesia.

Drop File

Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows.

• C:\Windows\linkinfo.dll

• C:\Windows\System32\drivers\LsDrv118.sys

• C:\Windows\system32\drivers\nvmini.sys

• C:\Windows\System32\drivers\cdralw.sys

• C:\Windows\System32\drivers\riodrvs.sys

• C:\Windows\System32\drivers\DKIs6.sys

Registri

Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut:

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]

  • "DisplayName" = "NVIDIA Compatible Windows Miniport Driver"

  • "ImagePath" = "%system%\drivers\%file%.sys"

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]

  • "NextInstance" = 1

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000]

  • "Service" = "%file%"

  • "Legacy" = 1

  • "ConfigFlags" = 0

  • "Class" = "LegacyDriver"

  • "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

  • "DeviceDesc" = "%file%"

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%\0000\Control]

  • "NewlyCreated" = 0

  • "ActiveService" = "%file%"

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%

  • "DisplayName" = "RioDrvs Usb Driver"

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%

  • DisplayName" = "RioDrvs Usb Driver"

Catatan:

%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:

• Nvmini

• Cdralw

• RioDrvs

Terminate program / Aplikasi / Malware

W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:

• c0nime.exe

• cmdbcs.exe

• ctmontv.exe

• explorer.exe

• fuckjacks.exe

• iexpl0re.exe

• iexpl0re.exe

• iexplore.exe

• internat.exe

• logo_1.exe

• logo1_.exe

• lsass.exe

• lying.exe

• msdccrt.exe

• msvce32.exe

• ncscv32.exe

• nvscv32.exe

• realschd.exe

• rpcs.exe

• run1132.exe

• rundl132.exe

• smss.exe

• spo0lsv.exe

• spoclsv.exe

• ssopure.exe

• svhost32.exe

• svch0st.exe

• sxs.exe

• sysbmw.exe

• sysload3.exe

• tempicon.exe

• upxdnd.exe

• wdfmgr32.exe

• wsvbs.exe

• dllwm.dll

• dllhosts.dll

• notepad.dll

• rpcs.dll

• rdihost.dll

• rdfhost.dll

• reshost.dll

• lgsym.dll

• rund11.dll

• midddsccrt.dll

• wsvbs.dll

• cmdb.dll

• richdll.dll

• wininfo.rxk

• windhcp.dll

• upxdhnd.dll

Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:

• SPUBDRV

• ISDRV1

• RKREVEAL

• PROCEXP

• SAFEMON

• RKHDRV10

• NPF

• IRIS

• NPPTNT

• DUMP_WMIMMC

• SPLITTER

• EAGLENT

Media penyebaran

Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula.

Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:

• admin

• 1

• 111

• 123

• Aaa

• 12345

• 123456789

• 654321

• !@#$

• qsdf

• asdfgh

• !@#$%

• !@#$%^

• !@#$%^&

• !@#$%^&*

• !@#$%^&*(

• !@#$%^&*()

• qwer

• admin123

• love

• test123

• owner

• mypass123

• root

• letmein

• qwerty

• abc123

• password

• monkey

• password1

Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.

Mampu mengupdate diri seperti antivirus

W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus

• Hooksys

• KWatch3

• KregEx

• KLPF

• NaiAvFilter1

• NAVAP

• AVGNTMGR

• AvgTdi

• nod32drv

• PavProtect

• TMFilter

• BDFsDrv

• VETFDDNT

dan mencoba untuk download malware lain dari url yang telah di tentukan seperti:

• pic.imrw0rldwide.com

• soft.imrw0rldwide.com

• tj.imrw0rldwide.com

Injeksi File EXE

Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC).

Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut:

• \LOCAL SETTINGS\TEMP

• \QQ

• \Windows

• \Winnt

Serta beberapa file yang mempunyai salah satu nama dibawah ini:

• launcher.exe

• repair.exe

• wow.exe

• wooolcfg.exe

• woool.exe

• ztconfig.exe

• patchupdate.exe

• trojankiller.exe

• xy2player.exe

• flyff.exe

• xy2.exe

• au_unins_web.exe

• cabal.exe

• cabalmain9x.exe

• cabalmain.exe

• meteor.exe

• patcher.exe

• mjonline.exe

• config.exe

• zuonline.exe

• userpic.exe

• main.exe

• dk2.exe

• autoupdate.exe

• dbfsupdate.exe

• asktao.exe

• sealspeed.exe

• xlqy2.exe

• game.exe

• wb-service.exe

• nbt-dragonraja2006.exe

• dragonraja.exe

• mhclient-connect.exe

• hs.exe

• mts.exe

• gc.exe

• zfs.exe

• neuz.exe

• maplestory.exe

• nsstarter.exe

• nmcosrv.exe

• ca.exe

• nmservice.exe

• kartrider.exe

• audition.exe

• zhengtu.exe

Cara membersihkan W32/Alman

• Putuskan komputer yang ingin dibersihkan dari jaringan.

• Matikan “System Restore” selama proses pembersihan berlangsung.

• Disarankan lakukan pembersihan pada mode “safe mode”.

• Matikan service virus yang aktif dimemory dengan cara:

• Klik [Start] [Run].

• Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK]

• Cari services virus dengan nama “NVIDIA Compatible Windows Miniport Driver” atau “RioDrvs Usb Driver”

• Kemudian klik menu Action > Properties.

• Klik tombol Stop.

• Pada bagian Startup Type pilih Manual.

• Klik OK

• Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SYSTEM\ControlSet001\Services\RioDrvs

HKLM, SYSTEM\ControlSet001\Services\cdralw

HKLM, SYSTEM\ControlSet001\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs

HKLM, SYSTEM\CurrentControlSet\Services\nvmini

HKLM, SYSTEM\CurrentControlSet\Services\cdralw

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw

HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini

• Hapus file yang di drop oleh virus di direktori:

  • C:\Windows\linkinfo.dll

  • C:\Windows\System32\drivers\lsDrv118.sys

  • C:\Windows\system32\\drivers\nvmini.sys

  • C:\Windows\System32\\drivers\cdralw.sys

  • C:\Windows\System32\drivers\riodrvs.sys

  • C:\Windows\System32\drivers\DKIs6.sys

Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk

Catatan:

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2):

• Buka Windows Explorer

• Klik menu “Tools” | Folder Option

• Klik tabulasi “View”

• Pilih opsi “Show hidden files and folders”

• Uncheck pilihan “Hide protected operating system files (recommended)”

• Klik “Apply”

• Klik “Ok”

Gambar 2, Menampilkan file yang tersembunyi

• Repair file yang sudah di injeksi oleh virus. Untuk clean file tersebut silahkan gunakan removal tools berikut :
  http://www.4shared.com/file/50751394/a0aa95b5/_2__Norman_Alman_Cleaner.html?dirPwdVerified=7a224f27

• Untuk pembersihan optimal install scan dengan antivirus yang dapat mengenali dan membasmi virus ini dengan baik.

Silahkan download antivirus Norman free trial 1 bulan di alamat berikut

http://www.norman.com/Download/Trial_versions/

so.. becarefull.. jgn langsung main buka Flash Disk dari auto play ataupun klik 2x d icon FD nya..

biasakan membuka melalui eksplorer.... and perhatial details nya...

W32/Agent.FUVR YM aneh ?

W32/Agent.FUVR

Yahoo Messenger bertingkah aneh ?? Waspadalah...Waspadalah

Lagi-lagi serangan virus mancanegara yang cukup menggemparkan para pengguna internet Indonesia. Virus ini mampu membuat komputer atau server anda megap-megap kehabisan nafas seperti ikan mas koki cari makanan karena ia akan berusaha dengan intens mendownload file dari situs web tertentu (kebanyakan di Cina) untuk mengupdate dirinya dan “hebatnya” virus ini juga aktif memanfaatkan YM (Yahoo Messenger). Jadi ibarat kata Bang Napi, jika YM anda tahu-tahu bertingkah aneh dalam beberapa hari ini .... Waspadalah..... Waspadalah.

Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :

• AcXtrnel.dll

File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”

• AcSpecf.dll

File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”

• AcPlugin.dll

File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.

• Jview.dll

Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.

Hati-hati jika Anda menjumpai sejumlah file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\). Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX (lihat gambar 1).

Gambar 1, File induk virus

Dengan update terbaru Norman Virus Control sudah dapat mengenali virus ini, termasuk file eksekusinya (lihat gambar 2) :

Gambar 2, Norman Virus Control mendeteksi virus ini sebagai W32/Agent.FUVR dan file dropper sebagai Autorun

Jika file di atas dijalankan, Microsoft.bat / Microsoft.vbs maka akan langsung mengaktifkan file Microsoft.pif yang tersembunyi / hidden (lihat gambar 3). Dan file microsoft.pif ini kemudian akan langsung dihapus. Tetapi sebagai gantinya, akan ada segambreng (banyak sekali) file library (dll) yang aktif di memori, file ini juga akan di aktifkan setiap kali user mengakses Internet Explorer. (lihat gambar 4)

Gambar 3, Script file Microsoft.bat yang menjalankan file virus Microsoft.pif

Gambar 4, Dll yang diaktifkan oleh virus

Drop File

Begitu virus ini aktif ia akan membuat beberapa file induk yakni :

• C:\Windows\AppPatch\Jview.dll

• C:\Windows\AppPatch\AcXtrnel.dll

• C:\Windows\AppPatch\AcPlugin.dll

• C:\Windows\appPatch\ AcSpecf.dll

Virus ini juga akan melakukan blocking pada beberapa aplikasi sekaligus mendaftarkan dirinya supaya dijalankan oleh Windows dengan membuat beberapa string pada registry editor berikut:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

  • "JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [ ]

  • ThunderAdvise"= {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll [2008-06-10 17:58 45056]

• [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

  • AppInit_DLLs=ukrth.dll, hjmh.dll, gyjert.dll, tjdegtr.dll, fyhje.dll, hgnmjsdg.dll, jkhjsd.dll, hjtdrh.dll, hyjmt.dll, fydgky.dll, ytjkyer.dll, dgrgfs.dll, gfcfg.dll, frntrn.dll, qrhhb.dll, drghszd.dll, fngn.dll, gnfctt.dll, xgnfn.dll, xfgnhcgfm.dll, serger.dll, bnxnb.dll, fxgnfx.dll, jzijj.dll, xfgnfx.dll, serghjm.dll, thsddh.dll, xbcvxb.dll, zfdzb.dll, xdndn.dll, xdfntt.dll, hgfhk.dll, dnteh.dll, xfng.dll, njritc.dll, chmfcmh.dll, jwlah.dll, gmnait.dll, hfjg.dll, thurh.dll, mgmgmm.dll, oqrthc.dll, dhugtj.dll, jyjlt.dll, ijatnaw.dll, sehhter.dll, fhjfg.dll, zdbdb.dll, ydgn.dll, dbfb.dll, fjnbv.dll, uyjtd.dll, setrhes.dll, cdxbfxdb.dll, xfgnxfn.dll, gjkhj.dll, xdhdg.dll, rhs.dll, mrjhtjd.dll, zdbfbd.dll, fjyjy.dll, fxnfnh.dll, bjrvm.dll, ektvm.dll, rdthr.dll, yjrfe.dll, dscef.dll, crugd.dll, lariytrz.dll, hjaiq.dll, kduy.dll, hkfgh.dll, awef.dll, dfhsh.dll, ethsh.dll, stehs.dll, sthth.dll, wfhyt.dll, rgghjj.dll, ghjkdr.dll, hfther.dll, nhmxcjkl.dll

Mengupdate dirinya

Virus ini akan membuat koneksi internet atau jaringan menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :

• http://root.51113.com/root.gif

• http://hk.www404.cn:53/ads.js

• http://err.www404.cn:443/014.html

Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.

File gif dan exe tersebut akan disimpan di direktori berikut (lihat gambar 5) :

• C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter acak)

• C:\Documents and Settings\%user%\Local Settings\Temp

Gambar 5, Contoh alamat web dan file yang akan di didownload oleh Agent.FUVR

File gambar tersebut di deteksi oleh Norman Virus Control sebagai Trojan:W32/Suspicious_U.gen (lihat gambar 6)

Gambar 6, Norman dengan teknologi Sandboxnya dapat mendeteksi file yang di download sebagai Suspicious_U.gen

Selain itu virus ini juga akan mendownload beberapa file EXE/DLL/Sys yang akan di simpan di direktori C:\Windows\system32, file ini DLL inilah yang nantinya akan di aktifkan setiap kali user browse internet (lihat gambar 7).

• bcsxachu.sys

• sfsxachu.exe

• zywmgime.dll

• erjxakin.sys

• stjxakin.exe

• snfybbyt.sys

• tjfyabyt.exe

• apsgejba.dll

• kdaic.exe

• xsdjbbmp.sys

• zsdjabmp.exe

• lpmxajkl.exe

• rnmxajkl.sys

• aoqnabib.sys

• dfqnabib.exe

• swsxachu.dll

• rijxbkin.dll

• ypdjgbmp.dll

• nhmxcjkl.dll

• 

Gambar 7, Beberapa file yang akan dibuat oleh Agent.FUVR

Aktif bersama Yahoo Messenger

Virus ini juga akan aktif bersamaan dengan Yahoo Messenger dan pada beberapa kasus menimbulkan error pada Script file. (lihat gambar 8)

Gambar 8, Pesan error saat menjalankan program Yahoo Masseger

Bagaimana cara mengatasinya?

• Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan.

• Lakukan pembersihan pada mode “safe mode”.

• Patch OS anda dengan patch terakhir.

• Download tools Combofix di alamat berikut kemudian jalankan

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools berikut

http://majorgeeks.com/ATF_Cleaner_d4949.html

• Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

  • Klik kanan repair.inf

  • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView

• Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi virus ini dengan baik.

sumber info@vaksin.com

semoga membantu