| 
Virus SHALAT ?
0 comments
Virus/worm/malware yang baik hati, soalnya setiap waktu solat si virus ini munculin dialog box: “Sudahkah anda solat?” (kalo dijawab belum, disuruh solat n PC-nya shut-down sndiri XD). Tapi yang namanya virus ya tetep virus… mesti dibasmi!! PC gw terinfeksi virus ini entah gimana caranya; virus ini manfaatin fasilitas autorun, padahal fitur autoplay PC udah lama di ’turn-off’kan.
Virus ini katanya sih udah lama beredar, sejak bulan Ramadhan kemarin dan udah berhasil dideteksi oleh om Norman sebagai VBWorm.NVX (later, AntiVir juga udah bisa ngilangin). Tapi karena (katanya lagi) Norman skrg ga bisa diupdate via internet (dan gw males nginstall antivirus yang berat), gw pun mengupdate PCMAV yang biasanya sih ampuh untuk membasmi virus lokal. Tapi ternyata kali ini PCMAV juga ga berdaya. Maka satu-satunya cara yang tersisa bagi gw adalah, menghapus manual (to be honest, this is my favorite way too, abis lebih seru n puas aja ^^). Langkah pertama ya, cari cara ngapusnya 
Maka gw pun surfing ke vaksin.com dan beberapa blog/artikel yang ngomongin tentang virus ini. Dapet sih dapet, tapi bgitu mo gw coba, eh… ko’ ada yang beda sih… Virus yang di PC gw keliatannya merupakan varian baru yang serupa tapi ga sama… T_T Walo bgitu, gw tetep nyoba ngelaksanain instruksi vaksin.com (berkali-kali), dan seperti yang udah bisa ditebak, ya ga mempan lahh, virusnya tetep muncul lagi pas direstart… x_x;;
Mengingat sifatnya yang ga jahat, ya udah gw biarin aja tu om virus, tapi stiap kali pake PC, proses virusnya gw matiin sih, soalnya ga pengen dicap penyebar virus.
Dan gw pun hampir lupa dengan virus ini… sampai tadi malam… gw iseng2 pengen nge-customize folder gw, nah pas browsing icon, eh… di folder system32 nemu sebuah file yang ‘aneh’, ga punya icon (sama dengan file “explorer.exe” yang merupakan file induk si virus) dan setelah gw cek lagi, file size n modified date-nya juga sama dengan si file induk. Hehe, gotcha!!! Gw pun bereksperimen, dan voila~: virusnya beneran ilang, tanpa jejak… hehehe…
So, here I am, pengen sharing cara ngilangin manualnya, sapa tau ada yang dapet problem yang sama seperti gw (dan juga males nginstall antivirus ).
As i said (n known), virus ini ada dua varian. Dua-duanya sama2 ‘berwujud’ explorer.exe, perbedaan utamanya: varian pertama ukurannya 56 KB, sedangkan varian kedua 64 KB.
The First Variant
(*nyontek dari vaksin.com…*)
Virus ini menyebar dengan sederhana. Membuat duplikasi diri ke Flash Disk dengan nama explorer.exe dengan icon Folder yang ada kaca pembesarnya. Size-nya sebesar 56 Kb. Jika file virus dibuka maka windows akan membuka jendela My Documents.
Setelah dijalankan maka virus akan membuat beberapa file induk di :
~ C:\explorer.exe (file ini akan dibuat disetiap drive)
~ C:\WINDOWS\windowsapp.exe
~ C:\Documents and Settings\%user%\My Documents\explorer.exe
~ C:\Windows\Yoosa.a
Lalu untuk membuat file induk aktif setiap windows dinyalakan (startup) dan aktif pada modus “Safe Mode with Command Prompt” virus akan memanipulasi Registry di alamat
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4LLI
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\ CurrentControlSet\Services\4LLI
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ CurrentControlSet\Services\4LLI
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ CurrentControlSet\Services\4LLI
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Masing-masing alamat akan dibuat sebuah String dengan nama windowsapp dan dengan value :
C:\WINDOWS\windowsapp.exe
Lalu apa kerusakannya? Jawabannya adalah TIDAK ADA!!!!!!!!
Virus ini memang sepertinya hanya mempunyai 2 misi. Menguji kemampuan sang pembuatnya dan mengingatkan kepada user muslim untuk shalat 5 waktu. Setiap pukul pukul 13.00 (waktu Dzuhur) 16:00 (waktu Ashar), 18:30 (waktu Maghrib), 20:00 (waktu Isya) dan 5:30 (waktu Subuh) virus akan memunculkan pesan seperti gambar berikut :
Jika Anda menekan tombol “Bukan” maka tidak akan terjadi reaksi apa-apa. Tetapi jika Anda menekan tombol “Ya” maka akan keluar pesan selanjutnya seperti gambar berikut :
Nah, jika Anda menekan tombol “Belum” maka secara otomatis komputer akan shutdown (mati). Tetapi jika Anda menekan tombol “Ya” maka virus akan mengeluarkan pesan untuk Anda seperti gambar berikut :
Membersihkannya cukup mudah (langkah pembersihan ini adalah pembersihan yang dilakukan di WinXP, tetapi sebenarnya sama saja sih caranya jika ingin membersihkannya di komputer dengan OS di bawahnya atau diatasnya ).
1. Buka Task Manager (Ctrl + Alt + Del / Ctrl + Shift + Esc)
2. Lihat di Tab Process.
3. Klik kanan proses yang bernama Windowsapp.exe dan pilih End Process Tree.
4. Buka Folder Options dengan mengklik Tools > Folder Options pada Windows Explorer.
5. Pilih opsi ”Show hidden files and folders” dan hilangkan pilihan “Hide extension for known file types” dan “Hide protected operating system files (recommended)”
6. Hapus file induk di alamat berikut ini :
~ C:\explorer.exe (file ini akan dibuat disetiap drive)
~ C:\WINDOWS\windowsapp.exe
~ C:\Documents and Settings\%user%\My Documents\explorer.exe
~ C:\Windows\Yoosa.a
Ingat, file induk yang digunakan ber-icon windows explorer dengan size 56 Kb.
7. Copy Script ini ke Notepad :
[Version]
Signature=”$Chicago$”
Provider=Anything
[DefaultInstall]
DelReg=del
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, windowsapp
HKLM, SYSTEM\CurrentControlSet\Services\4LLI
HKLM, SYSTEM\ControlSet001\Services\4LLI
HKLM, SYSTEM\ControlSet002\Services\4LLI
HKLM, SYSTEM\ControlSet003\Services\4LLI
Klik File > Save As. Di Save as Type pilih All Files (*.*). Simpan dengan nama RegistryPray.inf (ingat ekstensi yang digunakan adalah inf).
Klik kanan file RegistryPray.inf dan pilih Install. Selesai.
The Second Variant
(*ikka’s version… wakakakak…*)
Virus ini juga menyebar dengan sederhana. Membuat duplikasi diri ke flash disk dengan nama explorer.exe, tapi tanpa ikon. Ukurannya 64 Kb. Jika file virus dibuka maka windows akan membuka jendela My Documents.
Setelah dijalankan maka virus akan membuat beberapa file induk di: (Perhatiin bedanya dengan varian pertama)
~ C:\explorer.exe (file ini akan dibuat disetiap drive)
~ C:\WINDOWS\windowsmp.exe
~ C:\WINDOWS\system32\init.exe (64 KB)
~ C:\WINDOWS\Yoos.b
Efeknya kurang lebih sama dengan varian pertama…
Bedanya, varian kedua ini kaya’nya lebih baik hati, kalo kita jawab belum solat, muncul satu tambahan dialog box: “Shalat dulu yah!”, huehehe, bisa diajak chatting nih XDD… Terus PCnya bukan shut-down, log-off aja (walo efeknya sama sih ).
Cara ngebersihinnya:
>> Matiin proses virusnya, caranya:
Masuk ke Task Manager (Ctrl+Alt+Del ato Ctrl+Shit+Esc), masuk ke tab Processes, klik kanan “windowsmp.exe”, klik “End Process Tree”.
>> Munculkan hidden files dan ekstensi file (kalo belom), caranya:
Di toolbar Windows Explorer, klik Tools > Folder Options. Klik tab View, centang opsi “Show hidden files and folders” dan uncheck opsi “Hide extension for known file types” dan “Hide protected operating system files (recommended)”. Klik Apply > OK.
>> Terusss… hapus secara manual file-file induk di alamat berikut:
~ C:\explorer.exe (file ini akan dibuat disetiap drive)
~ C:\WINDOWS\windowsmp.exe
~ C:\WINDOWS\system32\init.exe (64 KB)
~ C:\Windows\Yoos.b
>> Hapus registry bikinan si virus (I don’t know how to make a script, jadi hapusnya manual aja yaaa… <^^;;), caranya:
Masuk ke Registry Editor (Start > Run > ketik “regedit” > OK), trus hapus/delete folder registry di alamat berikut: (cara hapusnya, klik kanan folder terus Delete)
~ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4LLI
~ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\ CurrentControlSet\Services\4LLI
~ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ CurrentControlSet\Services\4LLI
~ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ CurrentControlSet\Services\4LLI
Hapus registry windowsmp dalam folder:
~HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
>> SELESAI!!! ^^
Udah dehh, dengan cara ini PC gw ga dijangkiti lagi oleh virus ini, tapi file biang virusnya udah gw arsipin sih, buat kenang-kenangan… XDD Ada yang berminat??
Oh iya, untuk menghindari virus yang akhir-akhir ini banyak memanfaatkan fasilitas autoplay/autorun untuk removable drives, gw saranin sih fitur ini dimatiin aja. Gimana caranya? Gini nih…
~ Masuk ke Group Policy (Start > Run > ketik “gpedit.msc” > OK).
~ Masuk ke alamat: User Configuration\Administrative Templates\System
~ Dobel-klik “Turn off Autoplay”, pilih “Enabled” dan di opsi “Turn off Autoplay on:”, pilih All drivers, klik OK.
Source :
http://chelsq.multiply.com/journal/item/44
Popularity: 28% [?]
Related post
Unique visitors to post: 3
« matahari akan terus bersinar selama 36 jam (1.5 hari) ? Next Post
SEO Quake »
Comments
- badul on Serial Number Dreamweaver 8 :
jazakallah khoir... - Puang on SIMPEG :
Maaf, mengaktifkan bagaimana maksudnya ? kalau untuk meng... - muhammad idrus on SIMPEG :
bagaimana cara mengaktifkan simpeg soalx tdk info y jelas ... - Puang on Serial Number Dreamweaver 8 :
sama-sama pak... ;)... - lucky on Serial Number Dreamweaver 8 :
thanks pak atas share yg anda berikan...
Categories
- Handphone (5 posts)
- GPRS (4 posts)
- My Services (7 posts)
- Domainname (1 posts)
- eCurrency (1 posts)
- SEO (1 posts)
- Sistem Informasi (1 posts)
- Web Design (1 posts)
- News (21 posts)
- Global News (9 posts)
- Religy News (3 posts)
- Pelatihan (1 posts)
- Personal (3 posts)
- Sistem Informasi (3 posts)
- Teknologi (2 posts)
- Tutorial (48 posts)
- Antivirus (3 posts)
- Email (4 posts)
- Hardware (1 posts)
- Linux (16 posts)
- Networking Tutorial (5 posts)
- PHP Scripting (2 posts)
- SEO (6 posts)
- Server (4 posts)
- Windows (3 posts)
- Uncategorized (25 posts)
