Hapus Virus Manual

Buat Antivirus Penyerang File Exe Secara Manual

Posted on 11/01/2009. Filed under: Hapus Virus Manual | Tag: |

Nih, aku dapet dari temen. Tapi sayang temanku gak bilang dia dapet sumber ini dari mana. Nah, untuk komputer kamu yang gak bisa jalanin file-file berekstensi exe. misal gak bisa ngebuka browser, setting networks, atau program-program lain yang berformat exe. Cara buat antivirusnya gampang kok nih:
Buka notepad. Udah itu copy tulisan di bawah ini ke notepad kamu (tulisan warna item aja
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSEScomfileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESexefileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESpiffileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SoftwareCLASSESscrfileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMControlSet002ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, userinit,0, C:WINDOWSSystem32userinit.exe ,
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableRegistryTools
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,NoFolderOptions
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun,T1702521TT4
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun,T70Z516
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMsconfig.exe
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsregedit.exe
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionscmd.exe
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionstaskmgr.exe
HKCU, SoftwareVB and VBA Program Settings
Setelah command2 di atas dicopy dinotepad, lalu save as dalam bentuk format *.inf misalnya antivirus.inf
Kemudian buat 1 lagi di notepad juga. Copy command2 (tulisan warna item aja) berikut:
[Version]
Signature=”$Chicago$”
Provider=Babenya Galak
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSEScomfileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESexefileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESpiffileshellopencommand,,,”””%1″” %*”
HKLM, SoftwareCLASSESregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SoftwareCLASSESscrfileshellopencommand,,,”””%1″” %*”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder, Bitmap,0, “C:WINDOWSSYSTEM32SHELL32.DLL,4″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder, Text,0, “@shell32.dll,-30498″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderClassicViewState, text,0, “@shell32.dll,-30506″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderControlPanelInMyComputer, text,0, “@shell32.dll,-30497″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderDesktopProcess, text,0, “@shell32.dll,-30507″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderDisableThumbCache, text,0, “@shell32.dll,-30517″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderFolderSizeTip, text,0, “@shell32.dll,-30514″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderFriendlyTree, text,0, “@shell32.dll,-30511″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden, Bitmap,0, “%SystemRoot%system32SHELL32.dll,4″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden, text,0, “@shell32.dll,-30499″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, text,0, “@shell32.dll,-30499″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN, text,0, “@shell32.dll,-30501″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, CheckedValue,0×00010001,1
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, DefaultValue,0×00010001,2
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt, text,0,”@shell32.dll,-30503″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt, type,0, “CheckBox”
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderNetCrawler, text,0, “@shell32.dll,-30509″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderPersistBrowsers, text,0, “@shell32.dll,-30513″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderShowCompColor, text,0, “@shell32.dll,-30512″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderShowFullPath, text,0, “@shell32.dll,-30504″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderShowFullPathAddress, text,0, “@shell32.dll,-30505″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderShowInfoTip, text,0, “@shell32.dll,-30502″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSimpleSharing, text,0, “@shell32.dll,-30518″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden, text,0, “@shell32.dll,-30508″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderThickets, Bitmap ,0, “C:WINDOWSsystem32SHELL32.DLL,4″
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderThicketsAUTO, text,0, “Show and manage the pair as a single file”
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderThicketsNOHIDE, text,0, “Show both parts but manage as a single file”
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderThicketsNONE, text,0, “Show both parts and manage them individually”
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderWebViewBarricade, text,0, “@shell32.dll,-30510″
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableRegistriTools
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableCMD
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableTaskMgr
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,NoFolderOptions
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, Intelprc
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, Network
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, SystemWindows
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem, legalnoticecaption
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem,legalnoticetext
Sama kayak yang nomor 2, save as dalam bentuk *.inf misalnya antivirus2.inf
Akhirnya kamu mendapatkan 2 ikon yang bakal membunuh virus yang nyerang aplikasi exe.
Cara kerja:
1. Klik kanan pada ikon yang berextensi *.inf tadi
2. Cari Install dengan klik kanan pada icon ekstensi *.inf
3. Klik Install
4. Lakukan kedua2 nya (File tadi)
5. Mudah2an virus tadi keot dan kamu bisa ngerjain aplikasi exe lagi.

Baca Pos Lengkap | Make a Comment ( 1 so far )

Cara menghapus virus W32/Mybro

Posted on 02/01/2009. Filed under: Hapus Virus Manual | Tag: |

1-virus
1. Jika menggunakan windows XP Matikan [System Restore] untuk sementara selama proses pembersihan
2. Sebaiknya lakukan pembersihan melalui “safe mode”
3. Matikan proses dari virus W32/mybro, Anda dapat menggunakan tools pengganti Task manager seperti [Security task manager], tools tersebut dapat didownload di website http://www.neuber.com/taskmanager/ matikan proses berikut [ingat !! cari file yang mempunyai bentuk folder].

o Winlogon

o Services

o Lsass

o Smss

o Csrss

4. Hapus registry yang pernah dibuat oleh W32/Mybro, copy script berikut di notepad kemudian simpan menjadi repair.inf, jalankan file tersebut

o Klik kanan repair.inf

o Klik [install]

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, SoftwareCLASSESbatfileshellopencommand,,,”””% 1″” %*”

HKLM, SoftwareCLASSEScomfileshellopencommand,,,”””% 1″” %*”

HKLM, SoftwareCLASSESexefileshellopencommand,,,”””% 1″” %*”

HKLM, SoftwareCLASSESpiffileshellopencommand,,,”””% 1″” %*”

HKLM, SoftwareCLASSESregfileshellopencommand,,,”reg edit.exe “%1″”

HKLM, SoftwareCLASSESscrfileshellopencommand,,,”””% 1″” %*”

HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, “cmd.exe”

[del]

HKCU, SoftwareMicrosoftWindowsCurrentVersionPolicies System,DisableRegistryTools

HKCU, SoftwareMicrosoftWindowsCurrentVersionPolicies System,DisableCMD

HKCU, SoftwareMicrosoftWindowsCurrentVersionPolicies Explorer,NoFolderOptions

HKCU, SoftwareMicrosoftWindowsCurrentVersionPolicies System,DisableTaskMgr

HKCU, SoftwareMicrosoftWindowsCurrentVersionPolicies Explorerrun

HKCU, SoftwareMicrosoftWindowsCurrentVersionRun,Tok-Cirrhatus-3444Admc

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun,Bron-Spizaetus-2733VIRM

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer,ShowSuperHidden

HKLM, SOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorerrun

5. Hapus file Empty.pif pada direktori

o C:Documents and SettingssuportStart MenuProgramsStartup

6. Hapus file yang pernah dibuat oleh virus, sebelumnya pastikan anda telah menampilkan semua file yang disembunyikan, jika folder option belum muncul juga coba restart komputer terlebih dahulu kemudian booting ke mode “safe mode”, setelah itu hapus file berikut:

o

C:Windows
+

_default17832
+

Cinderawasih-4178327
+

Komodo-6178322
o

C:WindowsAd22098
+

Smss.exe
o

C:WindowsSystem32S8787
+

Csrss.exe
+

Lsass.exe
+

Services.exe
+

Winlogon.exe
+

Smss.exe
+

Zh592115084y.exe
+

C.bron.tok.txt, berisi text

Brontok.C

By:Jowobot

+

Spread.mail.bro, berisi alamat email yang telah diperoleh dari komputer yang terinfeksi
+

Spread.sent.Bro, berisi alamat email yang berhasil dikirimkan
o

C:Documents and Settings%user%Local SettingsApplication Data
+

Jalak-932115015-bali.com
+

Winlogon.exe [berbentuk notepad]
o

Dv6211500x, berisi file:
+

Yesbron.com
o

C:Windowssystem32
+

C_17832k.com
o

C:Documents and SettingssuportStart MenuProgramsStartup
+

Empty.pif
o

C:
+

Baca Bro !!!.txt

Anda harus perhatikan juga ukuran file yang terinfeksi tersebut, karena jika file yang terinfeksi [file induk] mempunyai ukuran 51 KB W32/Mybro selain membuat file induk diatas juga akan membuat beberapa file induk tambahan diantaranya:

*

C:WindowsSystem32n8127
o

Csrss.exe
o

Lsass.exe
o

Services.exe
o

Winlogon.exe
o

C.Bron.Tok.txt
o

Spread.mail.bro
o

Spread.sent.bro
o

Sv711917030r.exe
o

Smss.exe
*

C:WindowsSY20118
o

Smss.exe
7. Hapus file [task scheduled] yang dibuat oleh W32/Mybro
*

Klik [start]
*

Klik [Settings]
*

Klik [control panel]
*

Klik 2 kali menu [Scheduled task]
*

Hapus file AT1 dan AT2
8. Hapus string [daftar website yang diblok] yang dibuat oleh W32/Mybro pada file HOST yang berada dilokasi

C:WindowsSystem32DriversETC

9. Ubah kembali file MSVBVM60.dll.xxx [dimana xxx menunjukan angka] menjadi nama file MSVBVM60.dll pada direktori C:Windowssystem32
10. Coba cari dan hapus file duplikat yang dibuat oleh virus, dengan ciri-ciri

• Ukuran 48 KB atau 51 KB

• Icin yang digunakan berbentuk FOLDER

• Ekstensi file EXE

• Type file “Application”

Catatan:

Dari hasil pengujian virus ini tidak membuat file duplikat pada local disk

Baca Pos Lengkap | Make a Comment ( None so far )

Virus worm W32.Sircam.Worm@mm

Posted on 29/12/2008. Filed under: Hapus Virus Manual | Tag: |

Virus worm W32.Sircam.Worm@mm atau
W32/SirCam@mm
(dikenal sebagai Backdoor.SirCam)
Apa itu ?

Ditemukan 18 juli kemarin, Merupakan Virus Worm yang berbahaya, virus ini menyebar melalui email yang terdapat di address book windows. Email yg terifeksi bisa datang dari teman anda dan selalu disertai file attachment, dg nama file bisa apasaja tapi dg 2 extensions yang berbeda.

CIRI-CIRI Virus ini :
Menyebar melalui e-Mail.
E-MAIL SUBJECT : acak, dan selalu sama dengan nama file yang dilampirkan.
E-MAIL MESSAGE : semi-acak, (dalam bahasa Inggris atau Spanyol) Salah satu contoh sbb.

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks

ATTACHMENT FILE : Menyertakan file attachment, dengan nama file bisa apasaja tapi selalu dengan 2 extensions yang berbeda. Misalnya :

namafile.zip.pif

namafile.doc.lnk

VIRUS ini mengakibatkan :
1. Mengirimkan file dokumen pribadi yang terdapat di dalam komputer (tanpa sepengetahuan anda)
2. Dalam kemungkinan 5%: akan menghapus semua file dan direktori dalam C:. Hal ini hanya terjadi pada sistem yang menggunakan sistem penanggalanD/M/Y (seperti di Indonesia).
3. Dalam kemungkinan 3%: akan memenuhi seluruh sisa harddisk dengan text pada file c:recycledsircam.sys setiap kali menyalakan komputer.

Remove!!
Ada dua cara, yaitu cara manual, atau dengan menggunakan software, silakan download disini (Bila anda tidak terbiasa dg cara manual, sebaiknya menggunakan software tsb saja tapi baca dulu dengan teliti langkah-langkah nya)

Cara manual:
Langkah yang harus dilakukan adalah merubah registry terlebih dahulu, sebab
jika virus/worm dihapus sebelum registry dirubah maka file yang berektensi
exe tidak akan ada yang jalan

Jalankan regedit
Hapus string yang ada di registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServiceDriver32

juga di
HKLMSOFTWAREClassesexefileShellOpenCommand

Kemudian virus tersebut akan merubah file rundll32.exe yang asli menjadi
run32.exe dan virus itu sendiri menyamar menjadi file rundll32.exe, oleh
karena itu maka hapus file rundll32.exe kemudian rename file run32.exe
menjadi rundll32.exe

Hapus baris program di Autoexec.bat yang menjalankan file SCam.exe

Hapus semua file Cached Internet (Temporary Internet Files) dan Cookies
Files (C:windowscookies)

Kosongkan Folder Recyclebin

Hapus string di registry:
HKEY_CLASSES_ROOTexefileShellOpenCommand

Restart Komputer dan coba Login seperti biasa

Selamat Mencoba, semoga berhasil

sumber dihimpun dari : mailinglist, McAfee.com, symantec dan lain-lain.

Baca Pos Lengkap | Make a Comment ( None so far )

Liked it here?
Why not try sites on the blogroll...

Ikuti

Get every new post delivered to your Inbox.