Hos Rico

Senin, November 10, 2008

Menghapus virus W32/AutoRun.WE atau Ayam Kampus.exe atau Miyabi-New Episode(NO SENSOR)

Mungkin virus ini sedang menyebar dengan cepatnya. Seperti biasa Flash Disk merupakan alat penyebar yang sangat efekti. Coba anda perhatikan di dalam flash disk anda kalau ada file ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).exe dan autorun.inf, pasti komputer anda sudah terjangkit virus ini.


Apa yang diperbuat oleh virus ini, secara singkat dapat dijabarkan sebagai berikut :
- Muncul pesan “System File Protection” setiap kali komputer dinyalakan.
- Jika menekan tombol enter maka akan muncul pesan “sensor”
- blok taskmgr/regedit/msconfig/Cmd/sysedit (baik di C:\Windows atau C:\WIndows\system32 maupun di C:\Windows\system32\dllchace)

dengan membuka program notepad (bila dijalankan), file asli tesebut akan dipindahkan di dalam folder C:\pUkcaB_LACSAR, untuk mengelabui user, virus ini akan copy file notepad.exe ke dalam masing2 direktori dengan nama yang sama seperti file yang sudah dipindahkan tersebut. Selain itu ia akan ubah file tersebut mejadi file notepad kemudian akan dibackup ke folder C:\pUkcaB_LACSAR dengan mengganti ext. EXE dengan RASCAL (file ini akan disembunyikan)

- Mematikan win exploer jika baca caption/jika user akses folder dengan nama : windows,registry,tuneup,anti,avg,virus,processes,process,utility,tool,hacker,cracker,-scanner,
vir,hijack,hex,editor,snif,run,free,japan,porn,*
-kalau kita memencet tombol ALT+F4 maka komputer akan hang, dan pada layar akan dipenuhi tulisan rascal

Perubahan pada regedit:
——————–
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NET-SERVICES = C:\WINDOWS\system32\rascal32.exe /register

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
- DisableTaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
- load = C:\WINDOWS\system32\rascal32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- windows = C:\WINDOWS\msvbvm60.exe /register

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- ProductName = RASCAL.A
- RegisteredOrganization = junior Bali VM
- RegisteredOwner =??H??G???BO?
- ProductId = [28/08/2007]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- SHELL = explorer.exe C:\WINDOWS\system32\rascal32.exe
- system = C:\WINDOWS\msvbvm60.exe
- userinit = userinit.exe,C:\Documents and Settings\Elvina\Templates\userinit.exe,
- SFCScan = 0 (menyebabkan selalu muncul pesan error “System file Protection”)
- SFCDISABLE = -99

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl001\Control\SafeBoot
- AlternateShell = cmd.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl002\Control\SafeBoot
- AlternateShell = cmd.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = “”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell = “”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load
- command = C:\WINDOWS\system32\rascal32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NET-SERVICES
- COMMAND = C:\WINDOWS\system32\rascal32.exe /register

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows
- command = C:\WINDOWS\msvbvm60.exe /register

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 0

Penambahan File:
—————-
c:\ayam-kampus.exe
c:\Miyabi-New Episode(NO SENSOR).exe
C:\Windows\system32\rascal32.exe
C:\Windows\msvbvm60.exe
c:\Miyabi-New Episode(NO SENSOR).exe (di setiap drives termasuk UFD)
C:\Documents and Settings\\My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
C:\Documents and Settings\\Templates
- userinit.exe
c:\windows\system32\oemlogo.bmp
c:\windows\system32\oeminfo.ini
C:\Windows\system32\config\systemprofile\Templates\userinit.exe
C:\WINDOWS\system32\config\systemprofile\My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
C:\Documents and Settings\\My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe

Menyebar melalui UFD
————————
- Autorun.inf (menjalankan file ayam-kampus.exe)
- Ayam-kampus.exe
- Miyabi-New Episode(NO SENSOR).exe

Cara membersihkan:
——————–
- Matikan proses virus yang aktif dimemori, gunakan tools proceexp yang sudah dimodifikasi
- Hapus registry yang dibuat virus
- Hapus file induk virus gunakan search windows dengan mencari dan menghapus file dengan ciri2:
- icon multimedia player
- ext. exe
- ukuran 70 KB (71108)

- hapus juga file berikut:
- c:\windows\system32\oemlogo.bmp
- c:\windows\system32\oeminfo.ini

- Untuk mengembalikan fungsi regedit/msconfig/taskmanager dan cmd yang diubah jadi notepad. Ubah ekstensi file dari RASCAL menjadi EXE pada folder C:\pUkcaB_LACSAR, kemudian
copy ke masing-masing folder berikut:
- REGEDIT.EXE = c:\Windows (Win XP/2003)
- cmd.exe, command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe = C:\Windows\system32 (NT/2000)
- msconfig.exe = C:\WINDOWS\pchealth\helpctr\binaries

- pembersihan optimal gunakan av yang up-to-date

Untuk perbaikan registry, anda copykan script di bawah ini dalam bentuk file INF

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductId,0, “ID”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,NET-SERVICES
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Servicex
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,windows
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SYSTEM\CurrentControl001
HKLM, SYSTEM\CurrentControl002
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, FCScan
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, SFCDISABLE

Semoga bermanfaat

Label:

posted by Hos Rico at 23.23

0 Comments:

Posting Komentar

<< Home