» » Cara Mengetahui Serta Mengatasi Virus Miyabi & Ayam Kampus

Cara Mengetahui Serta Mengatasi Virus Miyabi & Ayam Kampus

Virus Miyabi dan Ayam Kampus (bukan nama file tempat film gituan) ini merupakan nama sebuah virus yang bisa dibilang berbahaya buat komputer kita dan seperti biasa "Flash Disk" merupakan alat penyebar yang sangat efektif. 
 (Penting: Sebelum FD di colok ke komputer kamu apalagi FD habis di gunakan dari warnet,ada baiknya di cek FD tersebut dengan AV yang Up To Date "caranya klik kanan pada driver tempat FD berasal lalu scan menggunakan AV sebelum isi folder di FD dibuka").
Coba kamu perhatikan di dalam flash disk kalau ada file namanya ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).
[exe dan autorun.inf, pasti komputer kamu sudah terjangkit virus ini].
Apa yang diperbuat oleh virus ini, secara singkat dapat dijabarkan sebagai berikut :
- Muncul pesan “System File Protection” setiap kali komputer dinyalakan.
- Jika menekan tombol enter maka akan muncul pesan “sensor”
- blok taskmgr/regedit/msconfig/Cmd/sysedit (baik di C:\Windows atau C:\WIndows\system32 maupun di C:\Windows\system32\dllchace) dengan membuka program notepad (bila dijalankan), file asli tesebut akan dipindahkan di dalam folder C:\pUkcaB_LACSAR, untuk mengelabui user, virus ini akan copy file notepad.exe ke dalam masing2 direktori dengan nama yang sama seperti file yang sudah dipindahkan tersebut.
Selain itu ia akan ubah file tersebut menjadi file notepad kemudian akan dibackup ke folder C:\pUkcaB_LACSAR dengan mengganti ext. EXE dengan RASCAL (file ini akan
disembunyikan)
- Mematikan win exploer jika baca caption/jika user akses folder dengan nama : windows,registry,tuneup,anti,avg,virus,processes,process,utility,tool,hacker,cracker,-scanner,vir,hijack,hex,editor,snif,run,free,japan,porn,*-kalau kita memencet tombol
ALT+F4 maka komputer akan hang, dan pada layar akan dipenuhi tulisan rascal

*Perubahan pada regedit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- NET-SERVICES = C:\WINDOWS\system32\rascal32.exe /register
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System- DisableRegistryTools- DisableTaskMgr HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
- load = C:\WINDOWS\system32\rascal32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
windows = C:\WINDOWS\msvbvm60.exe /register
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion- ProductName = RASCAL.A- RegisteredOrganization = junior Bali VM
- RegisteredOwner =?HGBO- ProductId = [28/08/2007]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon- SHELL = explorer.exe C:\WINDOWS\system32\rascal32.exe- system =
C:\WINDOWS\msvbvm60.exe- userinit = userinit.exe,C:\Documents and Settings\Elvina\Templates\userinit.exe,- SFCScan = 0 (menyebabkan selalu muncul
pesan error “System file Protection”)- SFCDISABLE = -99
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl001\Control\SafeBoot
- AlternateShell = cmd.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl002\Control\SafeBoot
- AlternateShell = cmd.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot- AlternateShell = “”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot- AlternateShell = “”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot- AlternateShell
= “” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
\Load- command = C:\WINDOWS\system32\rascal32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
\NET-SERVICES- COMMAND = C:\WINDOWS\system32\rascal32.exe /register
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows- command = C:\WINDOWS\msvbvm60.exe /register
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced- hidden = 2- HideFileExt = 1- ShowSuperHidden = 0

*Penambahan File: 
- c:\ayam-kampus.exec:\Miyabi-New Episode(NO SENSOR).exeC:\Windows\system32\rascal32.exeC:\Windows\msvbvm60.exec:
\Miyabi-New Episode(NO SENSOR).exe (di setiap drives termasuk UFD)C:\Documents and Settings\\My Documents- JapanPorn.exe- Miyabi-New Episode(NO SENSOR).exeC:\Documents and Settings\\Templates- userinit.exec:\windows\system32\oemlogo.bmpc:\windows\system32\oeminfo.iniC:\Windows\system32\config\systemprofile\Templates\userinit.exeC:\WINDOWS\system32\config\systemprofile\My Documents- JapanPorn.exe- Miyabi-New Episode(NO SENSOR).exeC:\Documents and Settings\\My Documents- JapanPorn.exe- Miyabi-New Episode(NO SENSOR).exe

*Menyebar Melalui UFD:
- Autorun.inf (menjalankan file ayam-kampus.exe)- Ayam-kampus.exe- Miyabi-New Episode(NO SENSOR).exe

*Cara Membersihkan:
- Matikan proses virus yang aktif dimemori, gunakan tools proceexp yang sudah dimodifikasi- Hapus registry yang dibuat virus- Hapus file induk virus gunakan search windows dengan mencari dan menghapus file dengan ciri2:- icon multimedia player- ext. exe- ukuran 70 KB (71108)
- Hapus juga file berikut: - c:\windows\system32\oemlogo.bmp - c:\windows\system32\oeminfo.ini
- Untuk mengembalikan fungsi regedit/msconfig/taskmanager dan cmd yang diubah jadi notepad. Ubah ekstensi file dari RASCAL menjadi EXE pada folder C:\pUkcaB_LACSAR, kemudian copy ke masing-masing folder berikut:
[REGEDIT.EXE = c:\Windows (Win XP/2003)- cmd.exe, command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe = C:\Windows\system32 (NT/2000)- msconfig.exe = C:\WINDOWS\pchealth\helpctr
\binaries]
[Pembersihan optimal gunakan AV yang up-to-date]
Untuk perbaikan registry, anda copykan script di bawah ini dalam bentuk file INF
[Version]Signature=”$Chicago$”Provider=Vaksincom
[DefaultInstall]AddReg=UnhookRegKeyDelReg=del
[UnhookRegKey]HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1?” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1?” %*”HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1?” %*”HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1?” %*”HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1?”HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1?” %*”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductId,0, “ID”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon, system,0,HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,
0, “cmd.exe”HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
“cmd.exe” [del]HKCU, Software\Microsoft\Windows\CurrentVersion\Run,NET-SERVICESHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Servicex
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,windowsHKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SYSTEM\CurrentControl001HKLM, SYSTEM\CurrentControl002HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shellHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, FCScanHKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, SFCDISABLE.


Semoga bisa membantu ^_^
 
-= If You Like My Article Please Keep This Blog Alive And Support Us Just Click One Of The Ads Below Thanks =-
Posted by igunz at 3:28 AM
Labels: ,
Saturday

0 comments:

Post a Comment

You Must Know What We're Know & Share With No Limit For Others That Is All For My Friends. And Thanks For Visiting Our Site.

  • description
  • description
  • description
  • description

Video Gallery