Berikut salah satu ciri-ciri Komputer Yang Terjangkit Virus :
1. Komputer Anda berjalan lebih lambat dari biasanya.
2. Menu Run, Search disembunyikan oleh virus.
3. CTRL+ALT+DEL tidak bisa digunakan.
4. Regedit dan MSCONFIG di disabled
5. Folder asli pada komputer anda disembunyikan dan diganti dengan file virus.
6. Menu Tools -> Folder Options di Windows EXplorer hilang.
7. Komputer sering berhenti atau tidak merespon.
8. Komputer tiba-tiba restart atau crash dan ini terjadi beberapa menit sekali.
9. Aplikasi komputer tidak berjalan dengan semestinya dan sering error.
10. Muncul File dengan Icon Folder tetapi mempunyai file type .exe
11. Hardisk atau disk drive tidak bisa diakses.
12. Aktivitas print tidak bekerja dengan semestinya.
13. Sering terjadi pesan error yang aneh dan tidak biasanya.
14. Sering terlihat menu atau dialog box yang rusak.
15. Terdapat Duplikasi nama folder di dalam folder tersebut.
16. Komputer selalu mengeluarkan pesan dari mana virus ini berasal.
Minggu, 28 Juni 2009
CARA MENGATASI VIRUS BULU BEBEK
CARA YANG TERBAIK, TERMUDAH MENGATASINYA DAN MENGHAPUS VIRUS INI HINGGA KE AKAR AKARNYA GUNAKAN PVMAV 1.7 S/D 1.9 (dijamin) JANGAN SAMPAI DI INSTAL ULANG OK!........
CARA RIBET :
HASIL PENEMUAN DARI PAMAN GOOGLE SEPERTI DIBAWAH INI!..............
CARA PERTAMA :
Rupanya Donal Bebek tidak mau kalah dengan Kenshin, Doraemon dan Naruto. Setelah melihat “saingannya” dari Jepang beraksi, kini muncul virus lokal yang mungkin terinspirasi Donal Bebek. Virus ini dapat dikenali dengan ciri khasnya mengandung nama Bulu Bebek. Penyebaran Bulu Bebek ini sebulan terakhir cukup merata dan diperkirakan ribuan komputer di seluruh Indonesia “dikerjai” oleh si Donal Bebek ini. Virus ini berusaha untuk menyembunyikan folder/subfolder dan membut file duplikat dengan tujuan untuk mengelabui user.
Bulubebek dibuat menggunakan Visual Basic dengan ukuran file sebesar 53 KB (lihat gambar 1) yang terdiri dari 2 jenis file yakni .EXE dan .INI. Dengan update terbaru Norman Virus Control dan Norman Security Suite telah mendeteksi virus ini sebagai VbWorm.QXE (lihat gambar 2)
Gambar 1, File induk virus
Gambar 2, Hasil deteksi Norman Security Suite
File Induk
Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE
• C:\Windows\Script.exe
• C:\Windows\LSASS.exe
• C:\Documents and Settings\%user%\autorun.inf
• C:\Documents and Settings\%user%\bulubebek.ini
• C:\bulubebek.ini
• c:\autorun.inf
Auto start registry
Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
o Shell = explorer.exe script.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Shell = explorer.exe script.exe
Blok Fungsi Windows
Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
- CheckedValue=2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- CheckedValue= 0
- DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- CheckedValue= 2
- DefaultValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue= 1
- DefaultValue = 1
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 0
- DefaultValue = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
• AutoRun = exit
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
• AutoRun = exit
Ia juga akan mencoba blok eksekusi file “Microsoft Visual Studio Spy Debugging Tools” yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
debugger = TAI BEBEK
Gambar 3, Pesan Error saat menjalankan file Spyxx.exe
Penyebaran otomatis
Flash Disk adalah salah satu media yang akan digunakan untuk menyebarkan dirinya dengan memanfaatkan celah autorun Windows yakni dengan membuat file autorun.inf dan bulubebek.ini (lihat gambar 4)
Gambar 4, Script yang terdapat pada file autorun.inf
Hidden folder dan membuat duplikat folder
Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)
• Menggunakan icon Folder
• Ukuran file 53 KB
• Ekstensi EXE
• Type File “Application
Gambar 5, File duplikat yang dibuat oleh VBWorm.QXE / bulubebek
Membersihkan virus Bulubebek
1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)
2. Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)
3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”. (lihat gambar 6)
Gambar 6, Mematikan proses virus yang aktif dimemory
4. Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
o Klik kanan repair.inf
o Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
5. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan. (lihat gambar 7)
Gambar 7, Menampilkan file yang disembunyikan
Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.
Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)
Menggunakan icon Folder
Ukuran file 53 KB
Ekstensi EXE
Type File “Application
Gambar 8, Mencari dan menghapus file duplikat Bulubebek
6. Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB
Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)
• Klik “Start”
• Klik “Run”
• Ketik “CMD”, kemudian tekan tombol “Enter”
• Pindahkan posisi kursor ke drive Flash Disk
• Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”
Gambar 9, Menampilkan file yang disembunyikan
7. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.
Aj Tau
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
PH : 021 345 6850
Fx : 021 345 6851
CARA KEDUA :
Cara mengatasi virus bulu bebek
Oktober 19, 2008 — myblogerlangga
Tools yang dibutuhkan:
-Processxp. http://technet.microsoft.com/en-us/s…/bb896653.aspx
-The Killer Machine. http://www.indowebster.com/TheKillerMachinezip.html
-Ansav antivirus. http://www.ansav.com/index.php?optio…d=25&Itemid=55
Langkah-langkahnya:
-Matikan system restore
-Jalankan ProcessXp untuk melihat process induk virusnya
-Jalankan The killer machine untuk menghapus induknya
-Jalankan search untuk mencari anak” virusnya. file .exe bericon folder dengan ukuran 53KB.
-Jalankan registry Fx ansav untuk repair registry.
Peringatan…
Program the killer di beberapa PC menyebabkan free atau hang. gunakan task manager untuk endtask processnya
Atau restart PC anda.
CARA RIBET :
HASIL PENEMUAN DARI PAMAN GOOGLE SEPERTI DIBAWAH INI!..............
CARA PERTAMA :
Rupanya Donal Bebek tidak mau kalah dengan Kenshin, Doraemon dan Naruto. Setelah melihat “saingannya” dari Jepang beraksi, kini muncul virus lokal yang mungkin terinspirasi Donal Bebek. Virus ini dapat dikenali dengan ciri khasnya mengandung nama Bulu Bebek. Penyebaran Bulu Bebek ini sebulan terakhir cukup merata dan diperkirakan ribuan komputer di seluruh Indonesia “dikerjai” oleh si Donal Bebek ini. Virus ini berusaha untuk menyembunyikan folder/subfolder dan membut file duplikat dengan tujuan untuk mengelabui user.
Bulubebek dibuat menggunakan Visual Basic dengan ukuran file sebesar 53 KB (lihat gambar 1) yang terdiri dari 2 jenis file yakni .EXE dan .INI. Dengan update terbaru Norman Virus Control dan Norman Security Suite telah mendeteksi virus ini sebagai VbWorm.QXE (lihat gambar 2)
Gambar 1, File induk virus
Gambar 2, Hasil deteksi Norman Security Suite
File Induk
Pada saat virus ini aktif ia akan membuat sejumlah file yang akan dijalankan pertama kali pada saat komputer dinyalakan serta membuat file autorun.inf agar virus tersebut dapat aktif secara otomatis setiap kali user akses folder. Berikut beberapa file induk yang akan dibuat oleh VBWorm.QXE
• C:\Windows\Script.exe
• C:\Windows\LSASS.exe
• C:\Documents and Settings\%user%\autorun.inf
• C:\Documents and Settings\%user%\bulubebek.ini
• C:\bulubebek.ini
• c:\autorun.inf
Auto start registry
Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:
• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
o Shell = explorer.exe script.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
o Shell = explorer.exe script.exe
Blok Fungsi Windows
Sebagai bentuk pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager, Folder Option atau CMD. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
- CheckedValue=2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
- CheckedValue= 0
- DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
- CheckedValue= 2
- DefaultValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
- CheckedValue= 0
- DefaultValue = 0
- UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 2
- DefaultValue = 2
- UncheckedValue = 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
- CheckedValue= 1
- DefaultValue = 1
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
- CheckedValue= 0
- DefaultValue = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- Hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
• AutoRun = exit
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
• AutoRun = exit
Ia juga akan mencoba blok eksekusi file “Microsoft Visual Studio Spy Debugging Tools” yang mempunyai nama file SPYXX.exe dengan menampilkan pesan berikut saat file tersebut di eksekusi dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 3)
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
debugger = TAI BEBEK
Gambar 3, Pesan Error saat menjalankan file Spyxx.exe
Penyebaran otomatis
Flash Disk adalah salah satu media yang akan digunakan untuk menyebarkan dirinya dengan memanfaatkan celah autorun Windows yakni dengan membuat file autorun.inf dan bulubebek.ini (lihat gambar 4)
Gambar 4, Script yang terdapat pada file autorun.inf
Hidden folder dan membuat duplikat folder
Tidak seperti virus lain yang jahat menginjeksi atau menghancurkan file komputer korbannya, pembuat Bulu Bebek ini kelihatannya tidak memiliki niat jahat menghancurkan data komputer korbannya. Bulubebek akan mencoba untuk menyembunyikan folder/subfolder pada flash disk, untuk mengelabui user ia akan membuat file duplikat disetiap folder/subfolder sesuai dengan nama older/subfolder tersebut. File duplikat ini mempunyai ciri-ciri : (lihat gambar 5)
• Menggunakan icon Folder
• Ukuran file 53 KB
• Ekstensi EXE
• Type File “Application
Gambar 5, File duplikat yang dibuat oleh VBWorm.QXE / bulubebek
Membersihkan virus Bulubebek
1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan (jika terhubung ke LAN)
2. Disable “System Restore” untuk sementara selama proses pembersihan berlangsung (jika menggunakan Windows ME/XP)
3. Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunayi icon “Folder”. (lihat gambar 6)
Gambar 6, Mematikan proses virus yang aktif dimemory
4. Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
o Klik kanan repair.inf
o Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
5. Cari dan hapus file duplikat yang dibuat oleh virus. Untuk mempercepat proses pencarian sebaiknya gunakan fungsi “Search Windows” dengan terlebih dahulu menampilkan file yang disembunyikan. (lihat gambar 7)
Gambar 7, Menampilkan file yang disembunyikan
Jika Folder Option belum muncul sebaiknya LogOff komputer terlebih dahulu kemudian tampilkan file yang tersebunyi.
Setelah file duplikat ditemukan, hapus file yang mempunyai ciri-ciri : (lihat gambar 8)
Menggunakan icon Folder
Ukuran file 53 KB
Ekstensi EXE
Type File “Application
Gambar 8, Mencari dan menghapus file duplikat Bulubebek
6. Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan anda dapat menggunakan bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB
Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)
• Klik “Start”
• Klik “Run”
• Ketik “CMD”, kemudian tekan tombol “Enter”
• Pindahkan posisi kursor ke drive Flash Disk
• Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol “enter”
Gambar 9, Menampilkan file yang disembunyikan
7. Untuk pembersihan optimal dan mencegah infeksi ulang scan, dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini.
Aj Tau
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
PH : 021 345 6850
Fx : 021 345 6851
CARA KEDUA :
Cara mengatasi virus bulu bebek
Oktober 19, 2008 — myblogerlangga
Tools yang dibutuhkan:
-Processxp. http://technet.microsoft.com/en-us/s…/bb896653.aspx
-The Killer Machine. http://www.indowebster.com/TheKillerMachinezip.html
-Ansav antivirus. http://www.ansav.com/index.php?optio…d=25&Itemid=55
Langkah-langkahnya:
-Matikan system restore
-Jalankan ProcessXp untuk melihat process induk virusnya
-Jalankan The killer machine untuk menghapus induknya
-Jalankan search untuk mencari anak” virusnya. file .exe bericon folder dengan ukuran 53KB.
-Jalankan registry Fx ansav untuk repair registry.
Peringatan…
Program the killer di beberapa PC menyebabkan free atau hang. gunakan task manager untuk endtask processnya
Atau restart PC anda.
Cara Menghilangkan virus shortcut / Virus PIF Starter
Berikut adalah langkah-langkah menghilangkan virus shortcut :
.fullpost{display:inline;}
1. Matikan system restore computer kita terlebih dahulu
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows
3. Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama
6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada ‘More advanced options’ pastikan option ‘Search system folders’ dan ‘Search hidden files and folders’ keduanya telah dicentang.
“Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon ‘folder’, berukuran 1 kb dan bertipe ’shortcut’. Sedangkan folder yang benar harusnya tidak memiliki ’size’ dan tipenya adalah ‘File Folder’. “
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program ‘notepad’ kemudian simpan dengan nama ‘Repair.inf’. Jalankan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Baiklah akhirnya saya cuma bisa berdoa semoga cara ini bener2 bisa menghilangkan tuntas virus shortcut tersebut, dan komputer anda bisa kembali normal sehingga anda bisa kembali bekerja dengan nyaman tentunya. Special buat “De na” harus baca nih artikel, virusnya masih ada di komputer kan hehhehe. Semoga virus ini segera hilang, selamat mencoba dan Teruslah mencoba dan selalu mencoba, karena orang yang gagal adalah orang yang berhenti mencoba.
.fullpost{display:inline;}
1. Matikan system restore computer kita terlebih dahulu
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows
3. Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama
6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada ‘More advanced options’ pastikan option ‘Search system folders’ dan ‘Search hidden files and folders’ keduanya telah dicentang.
“Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon ‘folder’, berukuran 1 kb dan bertipe ’shortcut’. Sedangkan folder yang benar harusnya tidak memiliki ’size’ dan tipenya adalah ‘File Folder’. “
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program ‘notepad’ kemudian simpan dengan nama ‘Repair.inf’. Jalankan file tersebut dengan cara:
Klik kanan repair.inf
Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Baiklah akhirnya saya cuma bisa berdoa semoga cara ini bener2 bisa menghilangkan tuntas virus shortcut tersebut, dan komputer anda bisa kembali normal sehingga anda bisa kembali bekerja dengan nyaman tentunya. Special buat “De na” harus baca nih artikel, virusnya masih ada di komputer kan hehhehe. Semoga virus ini segera hilang, selamat mencoba dan Teruslah mencoba dan selalu mencoba, karena orang yang gagal adalah orang yang berhenti mencoba.
Langganan:
Postingan (Atom)