Penulis Topik: All info about virus and malware in here !!!!  (Dibaca 6103 kali)

Offline afukalaze

  • Pro3
  • **
  • Tulisan: 6
  • Reputation: 38
    • Lihat Profil
All info about virus and malware in here !!!!
« pada: Juni 12, 2009, 01:15:58 PM »
 Masukin semua info Tentang Virus and Malware disini...ingat hanya posting info...bukan bertanya tantang solusi pemberantasan hama Virus di komputer anda... >=) >=) (by mini dwarf)





About :autorun.inf by afulkaze
Mungkin sebagian besar kita sudah mengetahui apa itu Autorun.inf, tetapi saya yakin masih banyak juga yang belum tahu atau masih kurang tepat memahami tentang file autorun.inf ini. Hal ini terbukti masih sering kita dengan orang bertanya tentang virus Autorun.Inf, bagaimana cara menghapusnya dan lain-lainnya.
 

Kali ini akan dibahas sedikit lebih dalam mengenai Autorun.inf, semoga yang sudah tahu semakin tahu dan yang belum tahu mulai sedikit paham tentang autorun.inf, baik struktur yang ada didalamnya, manfaat, bahaya dan cara mematikan autorun.inf.


Autorun atau autoplay merupakan fasilitas di sistem operasi yang berfungsi menjalankan file secara otomatis ketika media seperti CD-ROM, DVD-ROM, Flash disk dan lainnya di masukkan/pasang di komputer. Sehingga ketika berbagai media tersebut dimasukkan, tanpa kita menjalankan apapun, ada program yang akan otomatis berjalan sendiri. Fitur ini biasa dimanfaatkan dalam CD Driver yang disertakan ketika membeli motherboard / VGA. Tetapi saat ini tidak dipungkiri malah dimanfaatkan sebagai media penyebar virus, terutama melalui flashdisk. Apalagi dengan penggunaan flashdisk yang sudah seperti jamur di musim hujan..

Sedangkan file Autorun.inf sendiri merupakan file yang berisi instruksi tertentu, tentang apa yang otomatis dijalankan ketika media seperti flashdisk/CD dimasukkan ke komputer. Instruksi ini dapat berupa perintah untuk menjalankan file exe.

STRUKTUR AUTORUN.INF

Autorun.inf hanya berupa text file biasa dan bisa dibuka dengan text editor seperti notepad. Ada baris-baris kode yang umum dijumpai didalamnya. Sebenarnya ada beberapa bagian (Key) yang bisa ditulis di autorun, yaitu [Autorun], [Content], [ExclusiveContentPaths], [IgnoreContentPaths], dan [DeviceInstall]. Disini hanya akan dibahas beberapa struktur [Autorun] saja, karena memang ini yang sering kita lihat ( selengkapnya bisa di baca disini )

Open

Perintah ini akan otomatis menjalankan file exe yang ada. Misalnya sebagai berikut
Open=setup.exe ( akan menjalankan file setup.exe yang berada satu direktory dengan autorun /root direktory)

Open=virus\inivirus.exe (akan menjalankan file inivius.exe yang ada di folder virus)

action
Untuk menampilkan nama/pesan ketika muncul Autoplay dialog.

shellexecute

Hampir sama dengan perintah Open, tetapi bisa juga untuk selain file exe, termasuk link website dan bisa ditambah dengan parameter sesudah nama file. Contoh :

shellexecute=http://ebsoft.web.id
action=Kunjungi ebsoft.web.id




icon

Untuk memberi icon di media yang dipakai (yang berisi autorun.inf). Bisa menggunakan file .ico, .exe .dll maupun .bmp. Contohnya :

icon=MyProg.exe,1
icon=myicon.ico


label

untuk memberi label (nama) pada media yang digunakan (nama drive CD-ROM atau flashdisk yang berisi autorun.inf tersebut.

label=Flashdisk Hebat



shell

Untuk menampilkan menu ketika klik kanan drive yang bersangkutan. Misalnya contoh berikut :

shell\menu baru=buka file contoh
shell\menu-baru\command=notepad "file-contoh.txt"
shell=menu baru

dengan kode diatas, maka ketika kita klik kanan drive-nya akan muncul menu “buka file contoh”. jika baris pertama dihilangkan maka menunya “menu baru”. dan ketika menu tersebut di klik akan dijalankan notepad dengan membuka file “file-contoh.txt”. Jadi ketika baris kode tersebut saling berhubungan. Jika baris 1 da 3 sama-sama digunakan maka baris 3 akan diabaikan.

Selanjutnya ketika fasilitas Autorun di hilangkan / di non aktifkan, maka program di open dan shellexecute tidak akan berjalan secara otomatis. Tetapi label, icon dan menu klik kanan tetap akan tampil. Agar lebih aman, maka kita bisa me-nonaktifkan fasilitas Autorun ini. bagaimana caranya ? Berikut penjelasannya :

Berbagai cara Me-nonaktifkan fasilitas Autorun di Windows

Menekan dan menahan tombol Shift ketika kita memasang/memasukkan Flashdisk/CD-ROM ( tidak berjalan di windows Vista).
Me-nonaktifkan melalui Registry
Memanfaatkan fasilitas gpedit.msc
Me-nonaktifkan Autorun melalui Registry

Buka Registry Editor, Start Menu > Run, ketikkan Regedit
Buka Key berikut : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Jika ada Key NoDriveTypeAutoRun, maka double klik dan isi nilainya dengan salah satu nilai berikut :
Decimal Hexadecimal Efek yang dihasilkan
181  b5  Autorun tidak berjalan sama ekali untuk semua media
149 95 Autorun hanya aktif untuk CD-ROM / DVD-ROM  
177 b1  Autorun hanya aktif untuk flash drive (flashdisk dan sejenisnya)
145 91 Autorun aktif untuk semua media

Jika Key NoDriveTypeAutoRun tidak ada maka buak dengan cara klik kanan, pilih New > Binary Value. Kemudian beri nama NoDriveTypeAutoRun, dan isi nilainya ( double klik) dengan nilai diatas.
Langkah diatas hanya berefek di User yang bersangkutan. Agar berefek di semua pengguna komputer, lakukan hal yang sama untuk Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Jika masih menggunakan Win 9x/ME maka caranya sedikit berbeda. Selengkapnya bisa dibaca artikel disini. Lebih jauh tentang caranya bisa dibaca juga artikel berikut : Mencegah virus menular melalui Flashdisk

Memanfaatkan fasilitas gpedit.msc

Ini bisa dilakukan untuk pengguna Windows 2000, Server 2003 dan Windows XP Professional, langkah-langkahnya sebagai berikut :

Dari Start Menu > Run, ketikkan gpedit.msc lalu klik OK.
Pilih Computer Configuration > Administrative Template dan klik System
Di panel Settings, klik kanan Turn off Autoplay dan klik Properties ( di windows 2000, namanya Disable Autoplay)
Klik Enabled kemudian pilih All drives di box Turn off Autoplay untuk mematikan fasilitas autorun di semua drive.
Klik OK, dan tutup window dialog tersebut.
Restart Komputer.
Untuk Pengguna Windows Vista, caranya sebagai berikut :

Dari Start Menu ketikkan Gpedit.msc di box Start Search lalu tekan enter ( mungkin akan di tampilkan perintah untuk memasukkan password administrator)
Di bagian Computer Configuration pilih Administrative Templates lalu pilih lagi Windows Components klik Autoplay Policies
Di panel Details, double klik Turn off Autoplay
Klik Enabled dan pilih All drives di box Turn off Autoplay untuk me-nonaktifkan Autorun di semua drive.
Restart Komputer.
Jika cara diatas tidak berhasil menon aktfkan autorun, maka kemungkinan perlu download update sesuai dengan versi windows yang digunakan. Detailnya sebagai berikut :

Windows XP SP2 dan SP3 (KB950582)
Windows Server 2003 Itanium-based Systems (KB950582)
Windows Server 2003 x64 Edition (KB950582)
Windows Server 2003 (KB950582)
Windows XP x64 Edition (KB950582)
Windows 2000 (KB950582)
Referensi :
http://en.wikipedia.org/wiki/Autorun.inf
http://support.microsoft.com/kb/953252/en-us
http://www.dailycupoftech.com/usb-drive-autoruninf-tweaking/
http://msdn.microsoft.com/en-us/library/bb776823.aspx

« Edit Terakhir: Juni 15, 2009, 10:00:56 AM oleh Mini Dwarf »

Offline afukalaze

  • Pro3
  • **
  • Tulisan: 6
  • Reputation: 38
    • Lihat Profil
top 10 virus oktober 2008
« Jawab #1 pada: Juni 12, 2009, 01:20:40 PM »
10 Top Virus Oktober 2008       
Written by Administrator     sumber : http://virusindonesia.com/2008/10/07/top-10-virus-oktober-2008/#more-310

Friday, 10 October 2008 
Ada dua virus baru yang masuk dalam peringkat sepuluh besar kali ini yakni Zifoe dan Tiara-Alimah. Virus Zifoe masih menggunakan teknik sederhana dengan menirukan dirinya sebagai sebuah folder. Sementara untuk virus Tiara-Alimah, ia dapat menginfeksi file .DOC Anda. Maka dari itu, selalu waspada dari serangan virus, dan jangan mudah tertipu olehnya. Berikut daftar selengkapnya:
1. GadiHot
Jika Anda masih ingat dengan virus Tati, GadiHot menggunakan teknik yang sama dalam pembuatannya. Virus Tati dibuat menggunakan program semacam automation scripting, yang di compile hingga menjadi sebuah executable. Virus yang memiliki icon mirip dengan folder ini saat menginfeksi akan membuat beberapa file induk pada direktori Windows dan direktori di bawahnya dengan nama file seperti servicess.exe. Sistem320.exe. Seperti halnya virus yang meniru folder, pasti ia akan membuat folder gadungan. Salah satunya, virus ini akan membuat sebuah file dengan nama GadisHot.SCR dan New Folder.SCR pada root drive. Selain itu, ia pun akan membuat file autorun.inf di setiap drive yang ia temui. Pada root drive C, juga dapat ditemukan sebuah file dengan nama READY TO READ.txt yang merupakan file pesan dari sang virus.

2. Windx-Maxtrox
Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi, Maxtrox.

3. Virgear
Ia hadir dengan icon yang mirip dengan file multimedia milik WinAmp. Varian B memiliki ukuran file 49.152 bytes, tanpa di-pack. Sementara itu, varian C yang kami temukan, memiliki ukuran file sebesar 19.968 bytes, dan di-pack menggunakan UPX. Seperti yang lalu, ia akan menggantikan seluruh file multimedia yang ia temukan seperti MP3, 3GP, AVI, WMV, ASF, MPG, MPEG, MP4, pada komputer korban dengan dirinya sendiri, dengan menggunakan nama yang hampir sama, hanya ditambahkan extension .EXE di akhirnya. Virus ini juga akan mengubah setingan di registry untuk mendukung kelangsungan hidupnya, seperti menyembunyikan Folder Options, mem-blok Regedit, System Restore, dan lainnya. Diketahui, Virgear juga mencoba untuk mem-blok antivirus dan virus lain. Untuk itu, rename (ubah nama) dari PCMAV-CLN.exe sebelum Anda menggunakannya, misalkan menjadi 123456.exe. Dan, pada komputer terinfeksi, ia akan menampilkan kalimat “++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++” pada caption Internet Explorer.

4. Koplax
Virus berukuran sebesar 31.232 bytes ini menggunakan icon mirip seperti file multimedia, tepatnya milik Media Player Classic. Ia dibuat menggunakan Visual Basic, dan di-pack menggunakan ASPack. Jika komputer terinfeksi virus ini, akan banyak sekali duplikat file virus yang dapat Anda temukan di setiap sudut direktori harddisk maupun flashdisk Anda. Selain itu, akan terdapat beberapa pesan dari si pembuat virus yang salah satunya terdapat pada root drive dengan nama “A Letter 4 Ghe@.txt”.

5. HelloBaby
Saat menyebar, ia akan membuat file Desktop.ini dan autorun.inf dengan attribut hidden dan system. File tersebut akan disebarnya ke setiap drive yang ia temukan pada komputer terinfeksi. Ia juga akan berusaha untuk menyebarkan dirinya pada jaringan setempat dengan sebelumnya telah mematikan fasilitas firewall milik Windows. Pada komputer terinfeksi, akan terdapat beberapa file induk virus. Diantaranya, pada direktori System32, akan ada file dengan nama wmiprvse.exe dan mgrShell.exe, lalu file inti ini akan men-drop file lainnya dari dalam tubuhnya pada direktori Temp dengan nama ctfmon.exe dan pada direktori Windows dengan nama svchost.exe. Dan untuk mempercepat aksi penyebarannya, virus ini pun men-set registry NoDriveTypeAutoRun agar mendukung autorun pada floppy disk.

6. Zifoe
Satu lagi virus lokal yang memanfaatkan icon folder sebagai media penyamarannya. Zifoe, begitulah PCMAV mengenal virus ini. Ia dibuat menggunakan Visual Basic dengan ukuran tubuh sebesar 40.960 bytes, tanpa di-pack. Virus ini akan membuat beberapa tiruan folder. Pada komputer terinfeksi, akan terdapat direktori baru yang ia beri nama indomuzic yang berisi pesan dari si pembuat virus, yakni tentang saya.txt.

7. Tiara-Alimah
 Virus yang satu ini memiliki icon mirip dengan dokumen Microsoft Word. Ia memiliki ukuran sekitar 107KB, dalam kondisi di-pack menggunakan tElock. Virus ini diketahui dapat menginfeksi dokumen Word atau .DOC. Dan file .DOC yang telah ia infeksi akan memiliki extension .SCR yang sebenarnya merupakan file executable.

8. Autorunme
Virus yang bukan produksi programer lokal ini memiliki ukuran sebesar 26.835 bytes, dan diperkirakan di-pack menggunakan PECompact. Ia tidak memiliki icon, hanya menggunakan icon standar applications dari Windows. Saat menginfeksi, ia mencoba untuk menanamkan file induknya pada direktori C:\Windows\System dengan nama msvc32s.exe dan dengan attribut hidden dan system, serta membuat autorun baru di registry dengan nama “Windows msvc Control Centers”. Virus yang dapat menyebar melalui media penyimpan data seperti flash disk ini juga dapat menyebar melalui aplikasi Instant Messaging. Pada flash disk, ia akan membuat folder tiruan Recycle Bin yang berisi file dengan nama autorunme.exe, lalu mengarahkan autorun.inf untuk menjalankan file virus tersebut. Jadi, saat user mencolokan flash disk tersebut lalu mengakses drive yang dimaksud, virus tersebut akan aktif.

9. Microso
Virus ini hadir dengan 3 buah file, yakni MicroSoft.pif, MicroSoft.bat, dan MicroSoft.vbs. Ketiga file tersebut saling terkait. Namun, ada satu file yang merupakan induk dari ketiganya, yakni MicroSoft.pif. Ia memiliki ukuran file sebesar 18.432 bytes. Virus luar ini saat beraksi akan mengeluarkan beberapa file .DLL dari dalam tubuhnya yakni Jview.dll dan AcXtrnel.dll yang akan mencoba aktif dengan menginjeksikan pada explorer.exe atau dijalankan melalui Rundll32.exe.

10. Allya.vbs
Virus jenis VBScript ini memiliki ukuran file sebesar 6030 bytes. Saat menginfeksi, dia akan menanamkan file induknya pada direktori Windows dengan nama Thumbs.vbs. Dan dia akan membuat autorun di registry pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avctrl. Virus ini juga akan mencoba meng-copy-kan dirinya pada drive flashdisk dengan nama file Thumbs.vbs dan autorun.inf. Jika user mencoba melihat isi file VBS virus, di bagian atas hanya akan terlihat tulisan “‘MICROSOFT WINDOWS SYSTEM DRIVER”, yang disertai banyak enter. Namun jika di-scroll terus ke bawah, baru akan terlihat kode virus sebenarnya.

 

sumber : http://virusindonesia.com/2008/10/07/top-10-virus-oktober-2008/#more-310
 

Offline afukalaze

  • Pro3
  • **
  • Tulisan: 6
  • Reputation: 38
    • Lihat Profil
Semua info buat disini...
« Jawab #2 pada: Juni 12, 2009, 01:23:18 PM »
just info : \m/

Kenapa judulnya FILE PENGGANGGU?bukan ‘Virus’ atau ‘Worm‘ sepengetahuan dan pengalaman Cyd!beberapa Antivirus kenamaan, diantaranya seperti Symantec Corp Edition, Norton, dll tidak mendeteksi hal tsb [thumbs.vbs] sebagai virus ataupun worm, dan sampai artikel ini dibuat Cyd! belum menemukan ‘Nama’ atau ‘Julukan’ bagi si pengganggu ini.

Jika PC Anda terinfeksi oleh file ini, jangan panik karena tidak akan merusak, menghapus file dokumen ataupun merusak sistem. Biasanya efek samping jika terinfeksi file ini, setiap partisi yang ada di PC kita akan terkunci [tidak akan bisa didouble klik maupun diklik kanan ‘explore’ satu2nya jalan adalah lewat Windows Explorer.

Ok langsung HOWTOnya, PC anda harus dalam kondisi 3 step dibawah ini

Pastikan System Restore pada PC Anda menjadi Turn off

Klik kanan My Computer – pilih Properties – cari Tab System Restore – checklist Turn off system restore for all drive.

Matikan Autoruns pada semua drive.

Klik Start – pilih Run – pada kolom Run ketik gpedit.msc – klik User Configuration – klik Administrative Templates – klik System – cari Turn off Autoplay – cheklist bagian Enable – pilih All Drive pada opsi Turn off Autoplay on…

* U/ melakukan hal diatas posisi user di PC Anda harus Administrator atau setara Administrator

Aktifkan Show hidden files and folders

Double klik My Computer – pilih Tools – Folder options – View – checklist bagian Show hidden files and folders.

Ok broer saatnya beraksi…

Pada keyboard tekan Ctrl – Alt – Del – pilih Task Manager – pilih Tab Processes – cari & klik proses wscript.exe – klik End Process.

Klik Start – pilih Run – pada kolom Run – ketik msconfig – pilih Tab Startup – cari dan uncheck Thumbs – klik Ok – pilih Exit Without Restart.

Cek satu persatu partisi yang ada di PC kita, misalkan PC Cyd! Ada 3 partisi yakni C:\, D:\, E:\ . Pertama di C:\ DELETE *Delete secara permanen file Thumbs.vbs & autorun.inf, kedua di C:\WINDOWS delete file Thumbs.vbs selanjut partisi2x berikutnya, seperti D:\ & E:\

Restart PC Anda, cek kembali langkah2x pada 4 – 5 – 6 apakah masih timbul file si pengganggu tsb kalau tidak ada, Hidup Cyd! :) kalau file tsb masih ngotot ada ulangi langkah 4 – 5 – 6

Anda tetap harus waspada terhadap media yang ada hubungannya dengan ‘memori’ atau ‘storage‘, seperti flashdisk, HP, kamera digital, dll, karena 2 hal yang disebutkan terakhir HP & kamera digital sudah menggunakan storage yang umum digunakan di PC & itu menjadi sumber penyebaran virus maupun worm. Selalu Update Antivirus yang Anda miliki.

Mungkin Anda akan menemukan problem yang tidak sama, karena variant2x dari file pengganggu ini terus mengUpgrade dirinya, namun secara umum langkah2x pembersihannya tidak akan jauh berbeda.


Offline afukalaze

  • Pro3
  • **
  • Tulisan: 6
  • Reputation: 38
    • Lihat Profil
service.exe
« Jawab #3 pada: Juni 12, 2009, 01:29:11 PM »
to knowledge

Services.exe(W32.Trafox.), Worms pintar nan merepotkan
Ada satu worms yang ngendon di C:\Windows\System32\2B170239 (tergantung komputer yang dijangkitnya) , nama file wormsnya Services.exe. Malware ini (Trafox) selain menggandakan diri juga meng-infeksi file-file .EXE, juga mampu menjadi parasit dalam tubuh program lainnya.

Malware ini tergolong sudah maju dibanding sebelumnya karena sudah menggunakan beberapa teknik yang tergolong maju seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector.

informasi string berikut pada tubuh raw via dump menggunakan Ansav Advanced :









W32.TR4F0X.A






- Say War To #VM Community (Jowoboot)


- Kill all AV


- Destroy all fuckin company.






[ IVS * INDONESIAN WORMS SOCIETY ]





String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML.

Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)”, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat worms baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro




Ciri-cirinya sebagai berikut.

Akan menyamar sebagai Services.exe pada proses manager. Task manager tidak dapat menghentikan prosesnya karena mempunyai nama sesuai dengan critical proses.

Ukuran file sekitar 17-18kb.

menuliskan perintah eksekusi pada startup dikedua Root Key registry, bila kita buka startup pada msconfig kemudian menghapus services.exe maka akan muncul kembali.

Akan menghapus antiworms anda, saat worms merasa terancam maka antiworms yang anda jalankan akan dihapus. Saat anda mencoba menginstall maka file master antiworms anda akan ikut dihapus juga.

Akan menginfeksi file berekstensi *.exe yang dijalankan. Menempel pada file tersebut dan merubah date modified serta menambah ukuran file sekitar 20kb. Beberapa file yang terinfeksi masih dapat dijalankan tapi beberapa file menjadi error. Bila kita mengeksekusi file tersebut sama saja kita mengeksekusi / mengaktifkan worms kembali.

AVG sudah mendeteksi file worms aslinya “Services.exe”, tapi tidak dapat mendeteksi worms yang menginfeksi file *.exe lainnya.

AVG mengenalinya sebagai Trojan Horse Generic8.EGR.

BitDefender mengenalnya sebagai W32.Trafox.A dan dapat mendeteksi worms yang meninfeksi file *.exe dengan menghapus berikut file inangnya. :(

Sampai update akhir desember 2007 AVG belum mampu memisahkan worms dengan file inangnya, ini penting karena beberapa file master driver saya terinfeksi.

Autorun pada media yang dijangkitinya(flashdisk). Dengan menuliskan windows host script pada file autorun.ini ia akan mengeksekusi file dekstop.exe yang merupakan file worms awal bencana.










Untuk mengatasi penyebarannya dapat dilakukan dengan cara :

Matikan prosesnya, dengan menggunakan fasiilitas proses manager pada beberapa program utility (TuneUp Utilities2006, Tweak Accelerator XP) kita dapat mematikan seluruh proses meski bernama sama dengan critical proses. Dengan melihat pemilik proses(Author) jika “system” maka services.exe asli windows(“s” kecil). Jika pemiliknya nama user komputer (“S” besar) maka inilah proses sang worms. Segera kill proses tersebut.

Kemudian cari dan hapus file Services.exe yang ada pada

C:\Windows\System32\2B170239(2B170239 bs berbeda tiap PC)

C:\Windows\

directory

Jangan lupa untuk mengeset folder options agar hidden files dan system files ditampilkan pada windows explorer.

Hapus item Services.exe pada startup program, kemudian restart komputer anda.

Ada baiknya anda menginstall ulang antiworms anda dan melakukan upadate terbaru, jangan lupa aktifkan selalu resident shield karena dapat memblokir worms jika terjadi pengaktifan secara tidak sengaja atau autorun pada flasdisk. Gunakan master yang steril, dari CD misalnya untuk menghidari jika master pada hardisk telah terinfeksi.

Kemungkinan besar file-file ekstensi *.exe pada hard disk anda telah terinfeksi. Maka patut dicurigai bila terjadi modified pada date time files tersebut sesuai tanggal mulai terinfeksi padahal files tersebut usianya cukup lama. Hapus saja jika anda merasa file tersebut tidak penting. Bila file tersebut penting maka anda harus bersabar mencari program atau anti worms yang dapat memisahkan worms dengan file inangnya.


Offline afukalaze

  • Pro3
  • **
  • Tulisan: 6
  • Reputation: 38
    • Lihat Profil
khooker file information
« Jawab #4 pada: Juni 12, 2009, 01:36:23 PM »
from external information Paul Collins.
The process SiS Compatible Super VGA Keyboard Daemon or SiS 300/305 Super VGA Keyboard Daemon belongs to the software SIS (R) Compatible Super VGA keyboard daemon for Windows 2000/XP or SIS (R) Compatible Super VGA keyboard daemon or khooker.exe or SIS (R) 300/305 keyboard daemon for Windows by Silicon Integrated Systems Corporation (www.sis.com).

Description: File khooker.exe is located in the folder C:\Windows\System32. Known file sizes on Windows XP are 290,816 bytes (66% of all occurrence), 294,912 bytes, 286,720 bytes, 282,624 bytes, 270,595 bytes, 266,499 bytes, 25,600 bytes.
File khooker.exe is not a Windows core file. The program has no visible window. Program is loaded during the Windows boot process (see Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). It is an unknown file in the Windows folder. khooker.exe is able to record inputs. Therefore the technical security rating is 59% dangerous, however also read the users reviews.

Recommended: Identify khooker.exe related errors

If khooker.exe is located in a subfolder of "C:\Program Files" then the security rating is 50% dangerous. File size is 274,435 bytes. The program is not visible. The process is loaded during the Windows boot process (see Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). The file is not a Windows system file. khooker.exe is able to record inputs.

External information from Paul Collins:


"SiS KHooker" is not required to run at start up. SiS Keyboard Daemon. System Tray utility which gets installed by the drivers of the latter day SiS VGA cards. Can cause errors at startup and isn't required
Important: Some malware camouflage themselves as khooker.exe, particularly if they are located in c:\windows or c:\windows\system32 folder. Thus check the khooker.exe process on your pc whether it is pest. We recommend Security Task Manager for verifying your computer's security. It is one of the Top Download Picks of 2005 of The Washington Post and PC World.

 :-bd

Offline Deny MiniDwarf

  • Pro500
  • ******
  • Tulisan: 2.061
  • Reputation: 65534
  • Jenis kelamin: Pria
    • Lihat Profil
Re: khooker file information
« Jawab #5 pada: Juni 13, 2009, 10:17:45 AM »
apaan nih?kasih penjelasan donk...gak semua yang baca ngerti..... ~x( ~x( ~x( ~x(
Sorry but you are not allowed to view spoiler contents.

Offline ★ harboot ★

  • Smadav Experts
  • Pro500
  • ******
  • Tulisan: 5.178
  • Reputation: 65499
  • Jenis kelamin: Pria
  • harboot.com
    • Lihat Profil
    • http://hendryadrian.com
Virus Sandra Dewi
« Jawab #6 pada: Juni 14, 2009, 08:46:01 PM »
(baru sadar, kita gak punya kategori Virus)
(Topic ini taruh dimana ya? maap klo lg bego)
(sdg sakit, jd otak error)

Siapa sih yang tidak tertarik kalau ada kiriman informasi yang miring soal artis yang lagi ngetop. Apalagi ditambah embel-embel "bugil". Kira-kira apa yang Anda lakukan kalau di dalam USB flash teman ada file dengan nama Sandra Dewi Bugil?

Jangan sekali-sekali mencoba melihatnya karena itu adalah virus komputer yang mencatut nama Sandra Dewi saja. Langsung delete saja kalau antivirus Abnda sudah mendeteksinya. Fyuh, makanya jangan mudah tertipu surga dunia. Virus ini menyebar menggunakan removable drive/usb sebagai sarananya.

Norman Security Suite mendeteksi varian virus Sandra Dewi ini dengan nama W32/Obfuscated.B!genr. Dari script virus yang dibuat, si pembuat virus ini juga ikut membawa dan memunculkan nama STMIK PPKIA, salah satu kampus komputer di Kalimantan Timur.

Ciri-ciri dari file virus ini, di antaranya:

· Memiliki ukuran file sebesar "132 kb".
· Mempunyai type file "Application".
· Berextension file "exe".
· Memiliki icon gambar (JPEG image).

Virus Sandra Dewi dibuat dengan menggunakan bahasa pemrograman visual basic. Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus di antaranya :

· C:-Sandra Dewi Bugil.exe (pada semua root drive)
· C:-Documents and Settings-%user%-Start Menu-Programs-Startup-Sandra Dewi Bugil.exe
· C:-WINDOWS-Sandra Dewi Bugil.exe
· C:-WINDOWS-system32- Sandra Dewi Bugil.exe
· Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Virus Sandra Dewi juga menampilkan sebuah pesan sebelum login (gambar 1).

"Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang, pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya. Seiring dengan berkembangnya Teknologi informasi, media yang digunakannya untuk mendapatkan cintanya adalah VIRUS"

Blok fungsi Windows

Secara umum virus tidak merusak sistem namun mengganggu. Virus akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok di antaranya sebagai berikut :

· Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
· Registry Editor (dilakukan untuk mencegah akses perbaikan registry)
· Search/Find (dilakukan untuk mencegah dari pembersihan virus)
· Command Prompt (dilakukan untuk mencegah dari proses kill virus)
· Task Manager (dilakukan untuk mencegah proses monitoring virus)
· Control Panel (dilakukan untuk mencegah akses kontrol dari OS komputer)
· MsConfig/System Configuration Utility (dilakukan untuk mencegah akses pada startup)

Selain itu, virus juga mencoba melakukan usaha blok terhadap beberapa fungsi Windows yang lain di antaranya :

· Disable klik kanan pada desktop.
· Disable "All Programs" pada Start Menu.
· Disable menu Log Off/Turn Off pada Start Menu.

Dengan usaha ini, virus mencoba agar pengguna komputer kesulitan dalam menjalankan program tertentu, dan bahkan kesulitan untuk me-restart, log-off maupun shutdown komputer.

Pada System Properties, virus akan merubah RegisteredOwner menjadi Dewi Bugil dan RegisteredOrganization menjadi Sandra.(gambar 2)

Virus akan merubah header Internet Explorer (IE) saat akan menjalankan aplikasi Internet Explorer, dengan tambahan ::CREATION::BUDI::DARMA::.(gambar 3)

Untuk memastikan agar file dapat berjalan dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan langsung aktif jika kita sudah masuk windows. File virus yang aktif pada startup yaitu C:-Documents and Settings-%user%-Start Menu-Programs-Startup-Sandra Dewi Bugil.exe

File virus yang aktif ini menjalankan program Splash, program ini tidak dapat di geser ataupun di tutup kecuali pada tombol Keluar. Jika tombol Keluar di klik, maka akan muncul pop-up: "KONFIRMASI kirim email kepada budi_9***@yahoo.com"

Apapun yg di klik, baik tombol Yes maupun No akan membuat shutdown komputer kita dengan memunculkan jendela System Shutdown dalam waktu 1 menit. Untuk melakukan blok fungsi Windows, "Command Prompt" Windows, dan pesan login, virus akan membuat beberapa string registry.

Sumber: Vaksincom
http://tekno.kompas.com/read/xml/2009/06/14/08454146/Jangan.Tertarik.Lihat.Sandra.Dewi.Bugil

Offline Zai

  • Admin
  • Pro500
  • *******
  • Tulisan: 2.892
  • Reputation: 58629
  • Jenis kelamin: Pria
    • Lihat Profil
    • Zainuddin Nafarin Blog
Re: Virus Sandra Dewi
« Jawab #7 pada: Juni 15, 2009, 12:06:27 AM »
Pake Smadav aja buat ngebersihin SandraDewi, cuma 1x klik ;)
4 main functions of Smadav :
(1) Additional protection for your PC, 100% compatible with other Antivirus!
(2) Best USB Antivirus, no more infection from USB!
(3) Best for offline use and low resource Antivirus
(4) Manual cleaner & tools to fight malwares

Offline Zai

  • Admin
  • Pro500
  • *******
  • Tulisan: 2.892
  • Reputation: 58629
  • Jenis kelamin: Pria
    • Lihat Profil
    • Zainuddin Nafarin Blog
Re: Virus Sandra Dewi
« Jawab #8 pada: Juni 15, 2009, 03:31:04 AM »
1 Klik Smadav membersihkan Virus Sandra Dewi

Akhir-akhir ini virus lokal kembali mengganas, tapi tetap saja yang namanya virus lokal itu adalah tipe virus yang lemah, berbeda dengan virus impor yang jauh lebih canggih dan sulit dibersihkan. Jadi kalau kita terinfeksi virus lokal, jangan khawatir tidak bisa membersihkannya, karena Smadav mampu membersihkan tuntas SEMUA virus lokal, hampir semua pembersihannya hanya dengan 1 kali klik. Kita tidak perlu melakukan banyak langkah manual hanya untuk membersihkan virus lokal ini, coba lihat betapa banyaknya langkah yang harus kita lakukan jika masih menggunakan cara manual seperti pada artikel pembersihan virus Sandra Dewi yang diulas oleh Vaksin.com, Detik, atau Kompas.

Sebenarnya Virus Sandra Dewi ini sudah dikenali dan dapat dibersihkan tuntas dengan Smadav 2009 Rev. 1 yang dirilis Januari 2009 yang lalu, bahkan semua versi Smadav sebelumnya pun dapat mengenali dan membersihkan virus lokal lemah ini, inilah kelebihan metode pengenalan heuristik Smadav yang tidak tergantung pada update database virus, jadi bisa dikatakan Smadav adalah Antivirus Indonesia yang paling tidak memerlukan terlalu banyak update. Virus ini baru saja ramai dibicarakan di berbagai situs teknologi Indonesia. Diperkirakan sudah ada ribuan pengguna komputer Indonesia yang terinfeksi virus ini. Sebelum mencoba pembersihan 1-klik dengan Smadav, mari kita bahas terlebih dahulu apa saja keusilan virus ini di komputer korbannya.

Read More ...
4 main functions of Smadav :
(1) Additional protection for your PC, 100% compatible with other Antivirus!
(2) Best USB Antivirus, no more infection from USB!
(3) Best for offline use and low resource Antivirus
(4) Manual cleaner & tools to fight malwares

Offline Deny MiniDwarf

  • Pro500
  • ******
  • Tulisan: 2.061
  • Reputation: 65534
  • Jenis kelamin: Pria
    • Lihat Profil
Re: Semua info buat disini...
« Jawab #9 pada: Juni 15, 2009, 09:42:12 AM »
just info : \m/

Kenapa judulnya FILE PENGGANGGU?bukan ‘Virus’ atau ‘Worm‘ sepengetahuan dan pengalaman Cyd!beberapa Antivirus kenamaan, diantaranya seperti Symantec Corp Edition, Norton, dll tidak mendeteksi hal tsb [thumbs.vbs] sebagai virus ataupun worm, dan sampai artikel ini dibuat Cyd! belum menemukan ‘Nama’ atau ‘Julukan’ bagi si pengganggu ini.

Jika PC Anda terinfeksi oleh file ini, jangan panik karena tidak akan merusak, menghapus file dokumen ataupun merusak sistem. Biasanya efek samping jika terinfeksi file ini, setiap partisi yang ada di PC kita akan terkunci [tidak akan bisa didouble klik maupun diklik kanan ‘explore’ satu2nya jalan adalah lewat Windows Explorer.

Ok langsung HOWTOnya, PC anda harus dalam kondisi 3 step dibawah ini

Pastikan System Restore pada PC Anda menjadi Turn off

Klik kanan My Computer – pilih Properties – cari Tab System Restore – checklist Turn off system restore for all drive.

Matikan Autoruns pada semua drive.

Klik Start – pilih Run – pada kolom Run ketik gpedit.msc – klik User Configuration – klik Administrative Templates – klik System – cari Turn off Autoplay – cheklist bagian Enable – pilih All Drive pada opsi Turn off Autoplay on…

* U/ melakukan hal diatas posisi user di PC Anda harus Administrator atau setara Administrator

Aktifkan Show hidden files and folders

Double klik My Computer – pilih Tools – Folder options – View – checklist bagian Show hidden files and folders.

Ok broer saatnya beraksi…

Pada keyboard tekan Ctrl – Alt – Del – pilih Task Manager – pilih Tab Processes – cari & klik proses wscript.exe – klik End Process.



ada samplenya gak?upload donk...

thumbs.vbs?bukannya nih salah satu bagian dari yuyun.vbs?tenang aja bos...smadav dah pinter bgt...sejak lama dah bisa ngehapus virus *.vbs...walaupun gak ada didatabasenya...smadav gitu loh....wkwkwkwk.... ^-^ ^-^ ^-^
« Edit Terakhir: Juni 15, 2009, 09:44:55 AM oleh Mini Dwarf »
Sorry but you are not allowed to view spoiler contents.