Forum Smadav
October 21, 2014, 07:30:09 AM *
Welcome, Guest. Please login or register.
Did you miss your activation email?

Login with username, password and session length
News: Smadav adalah antivirus untuk proteksi tambahan komputer Anda, proteksi 100% USB Flashdisk, dan pembersihan tuntas virus yang menyebarluas.
 
   Home   Help Search Shop Members Login Register  
Pages: [1] 2 3 ... 5   Go Down
  Send this topic  |  Print  
Author Topic: virus .vbe  (Read 24690 times)
nietzche



Reputation Power: 42

Offline Offline

Posts: 4
$34 SmadPoint

Send Money to nietzche

View Profile
« on: November 03, 2011, 11:25:45 AM »

kepada para kaka sekalianbaru baru ini document saya mengilang dan berubah besar nya menjadi 8 kb dan berubah ektensi nya dari .doc menjadi .vbe mohon bantuan.....

0
« Last Edit: November 04, 2011, 05:26:45 PM by nietzche » Balas
PraskaOkeyy
Guest
« Reply #1 on: November 03, 2011, 02:54:51 PM »

hsLQKL  <a href="http://jynpxxqwckbi.com/">jynpxxqwckbi</a>, qyqkcjvfveqf, [link=http://rhxlboepmqyd.com/]rhxlboepmqyd[/link], http://mbkginwqnakj.com/

0
« Last Edit: June 23, 2012, 01:17:30 AM by PraskaOkeyy » Balas
MiloMen™
Trusted Advisor

*****

Reputation Power: 14095
MiloMen™ MiloMen™ MiloMen™ MiloMen™ MiloMen™ MiloMen™ MiloMen™ MiloMen™ MiloMen™
Offline Offline

Gender: Male
Posts: 3.291
$14077 SmadPoint

Send Money to MiloMen™


View Profile WWW
« Reply #2 on: November 04, 2011, 02:24:52 PM »

kepada para kaka sekalianbaru baru ini document saya mengilang dan berubah besar nya menjadi 8 kb dan berubah ektensi nya dari .doc menjadi .vbe mohon bantuan.....
Harap melampirkan file virus yang anda maksud.

0
Balas

nietzche



Reputation Power: 42

Offline Offline

Posts: 4
$34 SmadPoint

Send Money to nietzche

View Profile
« Reply #3 on: November 04, 2011, 05:27:14 PM »

ni kaka moderator...file nya...

0
Balas
Ki@mhu



Reputation Power: 5231
Ki@mhu Ki@mhu Ki@mhu Ki@mhu Ki@mhu Ki@mhu Ki@mhu
Offline Offline

Gender: Male
Posts: 691
$4339 SmadPoint

Send Money to Ki@mhu

Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh


View Profile WWW
« Reply #4 on: November 04, 2011, 09:47:15 PM »

#Perbaikan#

Menurut hasil analisis, ketika dijalankan, virus ini akan:

- Membuat file hidden alice.sys di C:\WINDOWS\system32\drivers
- Memanggil wcsript.exe (C:\WINDOWS\system32) untuk menjalankan file alice.sys yang telah dibuatnya
- Membuat file Hidden alice.alc di Drive D, E, dan seterusnya.. (Jika sistemnya berada di C).
- Membuat autorun.inf di setiap drive (termasuk flashdisk) agar setiap Drive ini dibuka, autorun.inf juga menjalankan alice.alc yang telah dibuat, hal ini terlihat dari tulisan di dalamnya:
Spoiler for Hidden:
[autorun]
shellexecute=wscript.exe //e:vbscript.encode alice.alc
shell\open\command=wscript.exe //e:vbscript.encode alice.alc
shell\explore\command=wscript.exe //e:vbscript.encode alice.alc
Kedua file alice ini merupakan induk yang harus kita lumpuhkan dahulu, barulah anak2nya (vbe)
- Membuat semua file Ms. Word di setiap Drive menjadi Hidden tetapi tidak menghapusnya
- Membuat anak virus dengan ukuran 8 KB (tipe .vbe) dengan nama yang sama dengan nama dokumen yang disembunyikan agar user mudah terjebak dengan menjalankan anak virus ini. Apabila dijalankan, maka induknya akan terbentuk kembali walaupun sudah dihapus. Note: Sampai saat ini, Smadav belum bisa mendeteksi kedua induk maupun anaknya sebagai virus.
- Mengubah registry, sehingga:

> Icon file berekstensi VBE berubah menjadi icon file MS Word ataupun Wordpad (jika komp belum terinstall Ms. Word),
Mengubah tipe file .vbe dari VBScript Encoded Script File menjadi Microsoft Office Word Document ataupun WordPad Document (jika komp belum terinstall Ms. Word),
> System Restore dimatikan,
> Tidak bisa menampilkan file yang Hidden,
> Ekstensi semua file dihilangkan,
> Folder option, Run, Search, Task Manager, Regedit, Command Prompt dihilangkan/dinonaktifkan,
> Menghilangkan menu klik kanan Merge pada file bertipe .reg,
> Menghilangkan menu klik kanan install pada file bertipe .inf,
> Menghilangkan menu klik kanan Edit dan Open with command prompt pada file bertipe .vbe,
> Menghilangkan menu klik kanan Open With pada semua tipe file,
> Mengubah nama Pemilik Komputer menjadi "Alice",
> Menghapus nama Perusahaan pemilik Komputer

File induk alice.sys akan aktif jika user melakukan log on pada windows pada mode normal maupun safe mode. Untuk tujuan ini, dia mengubah value: HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Dari: C:\WINDOWS\system32\userinit.exe menjadi:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

Langkah berikut bisa membunuh virus ini:

Siapkan tools berikut ini:
-Unlocker --> Untuk menghapus file2 yang tidak bisa dihapus dengan menekan tombol delete. Install dulu software ini.
-Smadav
-ExplorerXP --> Untuk membuka, melihat, dan mengedit file2 yang hidden sewaktu komp kita sudah terserang virus (komp yang terserang tidak sanggup lagi melakukannya karena Registry telah dikacaukan). Icon file2 yang sudah diubah virus tetap tidak akan terpengaruh jika di-explore dengan software ini. Autorun.inf juga tidak akan berjalan bila membuka folder dengan software ini. Software ini juga harus diinstall.
-AppAdmin --> Untuk memblokir aplikasi berkestensi .com dan .exe (kita akan memblok wscript.exe di sini). Software ini bersifat portable, jadi tidak perlu diinstall.
-Download folder yang diupload di bawah.

Blok wscript.exe (C:/Windows/System32) dengan software AppAdmin (ekstensi exe ini tidak akan terlihat karena ulah virus pada Registry). Klik tombol block dan cari filenya. Setelah dicari, nama file yang diblok akan muncul di list yang disediakan. Untuk memastikan wcript.exe ini sudah diblok, coba jalankan saja wcript.exe ini dengan klik ganda. Apabila tidak bisa jalan, berarti proses blok telah berhasil (proses blok akan tetap berjalan walaupun agan telah menutup/exit AppAdmin). Apabila telah diblok, proses wscript.exe otomatis akan terhenti. Tetapi untuk lebih yakin, coba cek dengan process manager smadav. Jika masih ada, kill saja..

Hapus semua alice.alc dan alice.sys dengan Software explorerXP. Jika gagal dihapus, gunakan unlocker. Klik kanan pada file yang ingin dihapus dan klik "Unlocker". Jika file tidak sedang di-lock, hapus langsung dengan pilihan "delete". Jika sedang di-lock, pilih "unlock all" kemudian "delete". Hapus juga semua file autorun.inf yang dibuat si virus pada semua drive (C, D, E, dstnya). Bila perlu, aktifkan Smad-lock pada semua drive agar aman dari autorun virus2 yang lain kelak. Hapus juga file pada: C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys

Lakukan full scan dengan smadav (pilih juga scan >1500 registry) dan fix semua autorun, regsitry yang terinfeksi, file2 dokumen yang Hidden. Jangan membuka apa2 selagi menunggu scan selesai.

Log off komp dan log on kembali, Munculkan kembali file2 yang dihidden beserta ekstensinya di Folder Option.

Hapus semua file .vbe (8 KB) dengan fitur search windows. Jangan lupa mencantumkan kapasitas 8 KB ini untuk mempermudah pencarian.

Gunakan folder yang diupload dibawah. Kopi pastekan folder tadi sehingga menjadi dua folder tambahan lagi. Ubah namanya menjadi alice.sys dan folder satu lagi menjadi alice.alc dan tempatkan folder ini di dalam lokasi yang persis sama dengan file induk yang baru dihapus (C:, C:\WINDOWS\system32\drivers, D:, dan seterusnya). Ini untuk mencegah terbentuknya kembali induk virus tadi (karena nama folder sama dengan nama virus) sehingga komp agan tidak akan sanggup diinfeksi lagi. (Coba aja tes jalankan dengan virus yang sama, hasilnya: tidak terinfeksi sama sekali..  Smiley).

Ubah kembali nama pemilik PC dengan regedit di key ini: HKLM\software\microsoft\Windows NT\CurrentVersion\RegisteredOwner

Dan juga ubah kembali nama perusahaan pemilik PC: HKLM\software\microsoft\Windows NT\CurrentVersion\RegisteredOrganization

Jika masih punya waktu  Grin, Scan ulang kembali dengan Smadav untuk memastikan autorun.inf, registry yang terinfeksi, dan file yang di-hidden tidak ada lagi.

Buka kembali blokiran terhadap wscript.exe tadi (Centang nama filenya di list AppAdmin dak klik unblock selected) karena dia bukan virus, hanya saja virus vbe ini memanfaatkannya setiap akan melancarkan aksinya.. Tetapi ingat! Jangan coba2 membuka blokiran wscript.exe setelah agan2 benar2 yakin tuh anak virus .vbe sudah dihapus semuanya karena jika terjadi insiden klik ganda pada satu anak virus saja, maka wscript.exe akan kembali diaktifkan untuk menginfeksi lagi nantinya.. Cool

Sekian.. Smiley

+4
« Last Edit: December 13, 2011, 03:35:48 PM by Ki@mhu » Balas

ignouse



Reputation Power: 8

Offline Offline

Posts: 1
$8 SmadPoint

Send Money to ignouse

View Profile
« Reply #5 on: November 25, 2011, 08:53:14 AM »

om. kompi ku jg kna nich .vbe, smua file word di ubah/dihidden jd ekstensi .vbe
(kompi warnet, kebetulan yg kedeteksi kompi server, kompi yg lain blum smpet).
Task manager, run ilang, di window explore klo klik kanan ga muncul Open with
Udh coba di scan pake SMADAV, tp ga kna induknya, cma nunjukkin :
- 3 virus suspect (autorun.inf di driver)
- regristry yg terinfeksi
- file2 yg ke hidden

Di scan pake KIS 7 (uptodate) kagak kna jg, dh coba d apus scara manual (search  .vbe di smua driver, trus di delet semua file vbe-nya), ternyata balik lg smua file vbe.
Aq mau ngelampirin smadav.log tp hasilnya nihil (ga da virus, cos td dh d scan bbrp kali)

Aq kna virus ini dh bbrp kali, 2 minggu yg lalu malahan kompi aq inul, ternyata kmaren kna lg.
setelah baca panduan dr moderator (pengen nerapin) tp kok malah bingung,,, terutama tuk kata2 Gunakan folder yang diupload dibawah. Kopi pastekan folder tadi sehingga menjadi dua folder. Kebetulan td dh d donlod eh kok ga bisa d buka ya?? (fileny dlm rar bukn?)
mohon lebih di perjelas lg tahap2 kerja menghausny.

Thaks om atas bantuannya,,,

0
Balas
Oim Devans



Reputation Power: 3793
Oim Devans Oim Devans Oim Devans Oim Devans Oim Devans Oim Devans Oim Devans
Offline Offline

Gender: Male
Posts: 370
$3481 SmadPoint

Send Money to Oim Devans

X2 Team Admin


View Profile WWW
« Reply #6 on: November 25, 2011, 02:07:24 PM »

itu virus CRC32 apa MD5 ?

0
Balas

--//Belajar Dan Terus Belajar Sesuatu agar Menjadi yang inginkan\\--
Alif de Hunter!



Reputation Power: 2542
Alif de Hunter! Alif de Hunter! Alif de Hunter! Alif de Hunter! Alif de Hunter! Alif de Hunter!
Offline Offline

Gender: Male
Posts: 324
$2398 SmadPoint

Send Money to Alif de Hunter!

Practice Makes Perfect!


View Profile WWW
« Reply #7 on: November 25, 2011, 02:37:15 PM »

itu virus CRC32 apa MD5 ?

kamsud ente  Huh?

0
Balas

CMIIW
                     

                     | DOWNLOAD FREE AND FULL GAMES |
acongg



Reputation Power: 2384
acongg acongg acongg acongg acongg acongg
Offline Offline

Gender: Male
Posts: 494
$2236 SmadPoint

Send Money to acongg

si anak bandel


View Profile
« Reply #8 on: November 25, 2011, 02:45:44 PM »

boleh juga nih bro ki@mhu analisa virusnya Cheesy ,tuh buat analist virus lokal lainnya tiru tuh ki@mhu,pada bisa ga ente  Grin

0
Balas

Ane sih anaknya asik-asik aja bro... Biar jelek tapi eksis!! PEDE aja lagi!
Ki@mhu



Reputation Power: 5231
Ki@mhu Ki@mhu Ki@mhu Ki@mhu Ki@mhu Ki@mhu Ki@mhu
Offline Offline

Gender: Male
Posts: 691
$4339 SmadPoint

Send Money to Ki@mhu

Bodoh + Belajar = Pintar; Pintar - Belajar = Bodoh


View Profile WWW
« Reply #9 on: November 25, 2011, 04:43:53 PM »

om. kompi ku jg kna nich .vbe, smua file word di ubah/dihidden jd ekstensi .vbe
(kompi warnet, kebetulan yg kedeteksi kompi server, kompi yg lain blum smpet).
Task manager, run ilang, di window explore klo klik kanan ga muncul Open with
Udh coba di scan pake SMADAV, tp ga kna induknya, cma nunjukkin :
- 3 virus suspect (autorun.inf di driver)
- regristry yg terinfeksi
- file2 yg ke hidden

Di scan pake KIS 7 (uptodate) kagak kna jg, dh coba d apus scara manual (search  .vbe di smua driver, trus di delet semua file vbe-nya), ternyata balik lg smua file vbe.
Aq mau ngelampirin smadav.log tp hasilnya nihil (ga da virus, cos td dh d scan bbrp kali)

Aq kna virus ini dh bbrp kali, 2 minggu yg lalu malahan kompi aq inul, ternyata kmaren kna lg.
setelah baca panduan dr moderator (pengen nerapin) tp kok malah bingung,,, terutama tuk kata2 Gunakan folder yang diupload dibawah. Kopi pastekan folder tadi sehingga menjadi dua folder. Kebetulan td dh d donlod eh kok ga bisa d buka ya?? (fileny dlm rar bukn?)
mohon lebih di perjelas lg tahap2 kerja menghausny.

Thaks om atas bantuannya,,,
Ane bukan bukan moderator nih.. Cuma sesama smadaver aja.. Smiley
Sebelumnya mohon maaf utk folder itu setelah saya coba download tadi mmg gak bisa dibuka. Tadi barusan ane upload ulang semoga da bisa.

Maksudnya jika ingin mulai me-rename folder ini, sebaiknya jangan langsung dari folder aslinya (simpan saja sebagai pertinggal) tetapi copy terus pastekan lagi biar keluar lagi folder serupa utk mulai direname dipindahkan ke tempat virus.

Sebenarnya cara ini tidak mutlak harus dilakukan, cuman kemampuan analisis ane msh loyo.. Jadi utk pencegahan aja agar virusnya tidak muncul lagi. Smiley


boleh juga nih bro ki@mhu analisa virusnya Cheesy ,tuh buat analist virus lokal lainnya tiru tuh ki@mhu,pada bisa ga ente  Grin
Makasih atas pujiannya gan..
Tapi kemampuan ane masih belum seberapa. Ane cuman pake bantuan sandboxie aja dan mencontek hasilnyaa..  Grin

Analyst virus lainnya pasti lebih teliti lagi hasil analisisnya karena mereka langsung menaruh virus itu di komp LAB dan mencoba menyembuhkannya bukan analisis ecek2 kayak ane ini... Grin

0
Balas

Pages: [1] 2 3 ... 5   Go Up
  Send this topic  |  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.18 | SMF © 2013, Simple Machines Valid XHTML 1.0! Valid CSS!
Page created in 0.347 seconds with 21 queries. (Pretty URLs adds 0.101s, 2q)