Memperbaiki regedit, cmd, task manager dan system restore

Serangan virus yang masuk dalam system komputer dapat mengakibatkan banyak hal. Selain merusak atau menghapus data, virus juga mematikan beberapa fungsi khusus seperti regedit, msconfig, command prompt, task manager dan system restore. Mengapa fungsi mereka dimatikan, karena dengan adanya fitur tersebut dapat membahayakan perjalanan virus.

Jika fungsi-fungsi di atas telah dimatikan oleh virus, untuk mengembalikanya kembali membutuhkan langkah yang cukup rumit. Bahkan beberapa admin dan teknisi sering melakukan proses instal ulang system jika mengalami hal tersebut.



Re-Enable adalah sebuah tools/software protabel yang dapat melakukan perbaikan regedit, cmd, run, task manager, folder option dan system restore dengan sangat mudah. Anda tidak perlu lagi harus mengutak-atik registry atau menginstal ulang sistem operasi. Cukup buka Re-Enable kemudian klik enable. Maka fungsi-fungsi yang awalnya tidak berjalan, dapat berjalan kembali dengan cepat.

Download Re-Enable 1.0 Portable

Baca Lebih Lengkap ...

Virus lokal mengungkap kasus korupsi

Jangan kaget dengan judul diatas, walalupun begitu judul tersebut bukan bercanda lagi seperti yang biasa saya lakukan. Tetapi benar-benar kisah nyata asli dan tanpa rekayasa.

Apa maksudnya? Baca sampai selesai!.

Beberapa hari lalu saya mendapatkan flashdisk saya terinfeksi oleh worm lokal, sudah biasa dan bahkan bisa dikatakan wajib, kalau baru dari warnet, pasti dapat oleh-oleh virus/worm lokal. Sesampai saya di rumah saya mencoba untuk men-scan flashdisk saya dengan menggunakan ANSAV dan, sudah bisa ditebak beberapa ekor virus sudah bersarang di flashdisk saya (oleh-oleh wajib dari warnet). Virus tersebut terdeteksi oleh ANSAV sebagai “suspected” yang artinya ANSAV tidak memiliki database untuk virus ini tetapi berhasil terdeteksi oleh engine heuristic-nya. Setelah prosentase scan sudah menunjukkan angka 100% dengan pandangan males saya mulai menggerakkan mouse ke arah tombol “Delete”, eh seperti tersambar es tangan saya tiba-tiba kaku dan tidak bisa mengeklik tombol kiri mouse. Apa gerangan yang terjadi? Ternyata saya menemukan beberapa kejanggalan pada virus yang baru terdeteksi tersebut. Tampak pada kolom “Size(b)” saya mendapati ukuran file yang berbeza-beza. Lalu apanya yang aneh dengan ukuran file yang berbeda-beda? Jelas aneh, satu virus yang sama tetapi dengan ukuran yang berbeda-beda. Dugaan saya sementara virus menambah beberapa byte(s) sampah pada akhir file yang biasa disebut dengan overlay data (data yang tidak termasuk dalam header file executable) apabila dugaan sementara saya tersebut memang benar berarti aman meng-klik tombol “Delete”, tetapi apabila dugaan saya meleset dan ternyata overlay data tersebut bukan sampah yang artinya adalah sebuah data atau dokumen? Tentu akan sangat riskan dan bahkan bisa berakibat fatal untuk menghapusnya.

Akhirnya saya mengurungkan niatnya untuk gegabah menge-klik tombol kanan mouse, dan dengan serta merta saya langsung menyiapkan beberapa peralatan perang reverser, bukan tombak, pistol dan granat melainkan program disassembler dan program debugger. Dengan bantuan peralatan analisa tersebut akhirnya bisa diketahui ternyata memang benar dengan apa yang saya khawatirkan, virus tersebut menambahkan beberapa byte(s) overlay pada akhir file yang berupa dokumen word. Ya, virus ini memakan file dokumen word dalam tubuhnya. Sehingga apabila virusnya dihapus maka file dokumen-nya juga akan ikut kehapus, trik yang cerdik sekaligus bodoh bagi pembuat virus tersebut. Cerdik karena virus akan mati bersama dokumen apabila dibunuh tetapi bodoh karena dengan begitu akan menambah kadar dosa bagi pembuatnya .

Dari kasus diatas akhirnya saya memperbaharui kinerja ANSAV agar bisa mengembalikan dokumen word yang dimakan oleh virus tersebut, sehingga ANSAV akan secara otomatis mengembalikan dokumen yang dimakan oleh virus pada waktu proses cleaning. Kemampuan tersebut sudah bisa dilakukan pada ANSAV versi terbaru ANSAV versi 1.2.0 silahkan download sendiri.

Sampai sejauh ini rasanya tidak ada hubungannya dengan judul diatas dech. Ada kok. Saya sangat kaget ketika dokumen yang berhasil dikembalikan dari tubuh virus ternyata merupakan “Secret Document” yang sebenarnya tidak berhak saya ketahui. Saya tidak akan mengatakan dari mana dan milik siapa dokumen tersebut tetapi yang pasti dokumen tersebut berisi informasi-informasi penyalahgunaan keuangan negara. Saya sempat bergidik ketika membacanya, apalagi merupakan dokumen yang tabu bagi saya. Saya menduga virus telah memakan dokumen rahasia tersebut entah dari warnet, kantor, atau laptop pribadi para pejabat, yang mana virus tersebut terus membawanya sampai akhirnya mendarat sial di flashdisk saya ini. Saat ini dokumen tersebut sudah saya serahkan kepada pihak yang berwajib.

Ternyata virus lokal yang biasanya dianggap remeh kebanyakan orang, terutama orang yang tak pernah mempedulikan keberadaannya seperti para pejabat, bisa berakibat fatal. Bayangkan apabila dokumen rahasia tersebut milik sebuah perusahaan dan berhasil ditemukan oleh perusahaan lawan bisnisnya, apa yang akan terjadi? Keep it on mind!. ;)

Dari sini bisa kita lihat, ternyata virus lokal bisa ikut andil dalam gerakan anti korupsi :D, semoga dengan adanya kejadian ini bisa memperingan kadar dosa pembuat virus (vxer) tersebut, ya paling tidak 10% lah dari total dosa kerusakan yang diperbuat oleh virusnya :D.

Sumber : ANSAV

Baca Lebih Lengkap ...

Membasmi Virus Amburadul (Hokage Killer)

Bagi anda yang sering ke Kalimantan Tengah, kemungkinan besar tahu dengan Jembatan Kahayan, yaitu jembatan yang membelah Sungai Kahayan di Kota Palangkaraya, Kalimantan Tengah, Indonesia. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Lalu apa hubungannya?

Setelah sebelumnya muncul virus VBWorm.NUJ (http://vaksin.com/2007/1107/moontox-bro.htm), baru-baru ini telah ditemukan salah satu virus hasil modifikasi VM Palangkaraya (kemungkinan) ini dapat dilihat dari script dan file induk yang akan di usung oleh virus ini.

Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.

Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)

Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)

Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)

Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB)



Secara garis besar virus ini sama dengan kebanyakan virus lokal yang menyebar. Membuat file duplikat, blok beberapa fungsi windows seperti Regedit/MSconfig/Search/Folder Option atau Task Manager bahkan blok software security khususnya antivirus lokal seperti PC MAV, SMP dan ANSAV. Ia juga akan mencoba untuk mematikan proses virus Hokage/VBWorm.gen16 (http://vaksin.com/2008/0408/hokage/hokage.html) yang sama-sama berasal dari Kalimantan Tengah tepatnya di daerah Sampit, hal ini dapat dilihat dari script yang ada, dimana script ini berusaha untuk blok file induk yang dari virus Hokage/VBWorm.Gen16 ini.

Berikut beberapa ciri-ciri file yang yang akan di usung oleh Amburadul beserta variannya:

* Icon : Image (JPG)
* Ukuran file : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan 56 KB)
* Ekstensi file : EXE
* Type File : Application (lihat gambar 2)

Cara membersihkannya :

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE.

Mematikan proses virus W32/Agent.EQXM (dan varian)

1. Repair registry yang sudah di ubah oleh W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.

Jalankan file tersebut dengan cara:

* Klik kanan repair.inf
* Klik Install

[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

1. Disable “System Restore” selama proses pembersihan
2. Hapus file induk virus W32/Agent. EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
1. Buka Windows Explorer
2. Klik menu “Tools”
3. Klik “Folder Options”
4. Klik Tabulasi View
5. Pada kolom “Advanced settings”
* Pilih opsi “Show hidden files and folders”
* Unchek “Hide extensions for known file types”
* Uncheck “Hide protected operating system files

Kemudian hapus file berikut (di semua Drive termasuk Flash Disk kecuali untuk file yang ada di direktori C:\Windows\system32\~A~m~B~u~R~a~D~u~L~)
6. C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
o csrcc.exe
o smss.exe
o lsass.exe
o services.exe
o winlogon.exe
o Paraysutki_VM_Community.sys
o msvbvm60.dll
7. C:\Autorun.inf
8. C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
9. C:\Friendster Community.exe
10. C:\J3MbataN K4HaYan.exe
11. C:\MyImages.exe
12. C:\PaLMa.exe
13. C:\Images
3. Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:

* Klik “Start” menu
* Klik “Run”
* Ketik “CMD”
* Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d

Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

Selamat Mencoba …

Baca Lebih Lengkap ...