kemarin malam cukup dibikin kesel ama virus Miyabi dan Ayam-kampus! setelah membuka hardisk external yg baru saja dikembalikan oleh teman and katanya udah ditambahin film bokep baru!hehehehehehe…………pas gw buka di root file terdapat film bokep favorite gw yang dibintangi oleh Maria Ozawa Miyabi file yang bernama Miyabi-New Episode(NO SENSOR) yang iconya windows media player! ehhhhhh baru diclick ternyata komputer gw dibikin hang ama tu film miyabi sialan!!!!!!!…..baru tak cek ehhhhhhhh ternyata extension filenya .exe gw udah mulai curiga dan setelah gw buka regedit ehhhh yg keluar malah notepad!anjing komputer gw kena virus!tukang virus malah kena virus!wakakakakaka……… ini virus emang lumayan hebat ni virus bisa mengelabui gw!hehehehehe…..salute buat yg bikin virus!!!!!kerena gw fans beratnya miyabi makanya gw buru2 buka file Miyabi-New Episode(NO SENSOR) kerana dari dulu gw ngefans ama miyabi blom pernah sekalipun gw nemu film miyabi yang NO SENSOR!!!!

setelah browsing2 ternyata ni virus namanya virus W32/AutoRun.WE

ni penjelasan mengenai virus tersebut dari vaksin

Mungkin virus ini sedang menyebar dengan cepatnya. Seperti biasa Flash Disk merupakan alat penyebar yang sangat efekti. Coba anda perhatikan di dalam flash disk anda kalau ada file ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).exe dan autorun.inf, pasti komputer anda sudah terjangkit virus ini.

Apa yang diperbuat oleh virus ini, secara singkat dapat dijabarkan sebagai berikut :
- Muncul pesan “System File Protection” setiap kali komputer dinyalakan.
- Jika menekan tombol enter maka akan muncul pesan “sensor”
- blok taskmgr/regedit/msconfig/Cmd/sysedit (baik di C:\Windows atau C:\WIndows\system32 maupun di C:\Windows\system32\dllchace)

dengan membuka program notepad (bila dijalankan), file asli tesebut akan dipindahkan di dalam folder C:\pUkcaB_LACSAR, untuk mengelabui user, virus ini akan copy file notepad.exe ke dalam masing2 direktori dengan nama yang sama seperti file yang sudah dipindahkan tersebut. Selain itu ia akan ubah file tersebut mejadi file notepad kemudian akan dibackup ke folder C:\pUkcaB_LACSAR dengan mengganti ext. EXE dengan RASCAL (file ini akan disembunyikan)

- Mematikan win exploer jika baca caption/jika user akses folder dengan nama : windows,registry,tuneup,anti,avg,virus,processes,process,utility,tool,hacker,cracker,-scanner,
vir,hijack,hex,editor,snif,run,free,japan,porn,*
-kalau kita memencet tombol ALT+F4 maka komputer akan hang, dan pada layar akan dipenuhi tulisan rascal

Perubahan pada regedit:
——————–
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NET-SERVICES = C:\WINDOWS\system32\rascal32.exe /register

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
- DisableTaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
- load = C:\WINDOWS\system32\rascal32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- windows = C:\WINDOWS\msvbvm60.exe /register

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- ProductName = RASCAL.A
- RegisteredOrganization = junior Bali VM
- RegisteredOwner =??H??G???BO?
- ProductId = [28/08/2007]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- SHELL = explorer.exe C:\WINDOWS\system32\rascal32.exe
- system = C:\WINDOWS\msvbvm60.exe
- userinit = userinit.exe,C:\Documents and Settings\Elvina\Templates\userinit.exe,
- SFCScan = 0 (menyebabkan selalu muncul pesan error “System file Protection”)
- SFCDISABLE = -99

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl001\Control\SafeBoot
- AlternateShell = cmd.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl002\Control\SafeBoot
- AlternateShell = cmd.exe

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = “”

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell = “”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = “”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load
- command = C:\WINDOWS\system32\rascal32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NET-SERVICES
- COMMAND = C:\WINDOWS\system32\rascal32.exe /register

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows
- command = C:\WINDOWS\msvbvm60.exe /register

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 0

Penambahan File:
—————-
c:\ayam-kampus.exe
c:\Miyabi-New Episode(NO SENSOR).exe
C:\Windows\system32\rascal32.exe
C:\Windows\msvbvm60.exe
c:\Miyabi-New Episode(NO SENSOR).exe (di setiap drives termasuk UFD)
C:\Documents and Settings\<nama user>\My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
C:\Documents and Settings\<nama user>\Templates
- userinit.exe
c:\windows\system32\oemlogo.bmp
c:\windows\system32\oeminfo.ini
C:\Windows\system32\config\systemprofile\Templates\userinit.exe
C:\WINDOWS\system32\config\systemprofile\My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
C:\Documents and Settings\<nama user>\My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe

Menyebar melalui UFD
————————
- Autorun.inf (menjalankan file ayam-kampus.exe)
- Ayam-kampus.exe
- Miyabi-New Episode(NO SENSOR).exe

Cara membersihkan:
——————–
- Matikan proses virus yang aktif dimemori, gunakan tools proceexp yang sudah dimodifikasi
- Hapus registry yang dibuat virus
- Hapus file induk virus gunakan search windows dengan mencari dan menghapus file dengan ciri2:
- icon multimedia player
- ext. exe
- ukuran 70 KB (71108)

- hapus juga file berikut:
- c:\windows\system32\oemlogo.bmp
- c:\windows\system32\oeminfo.ini

- Untuk mengembalikan fungsi regedit/msconfig/taskmanager dan cmd yang diubah jadi notepad. Ubah ekstensi file dari RASCAL menjadi EXE pada folder C:\pUkcaB_LACSAR, kemudian
copy ke masing-masing folder berikut:
- REGEDIT.EXE = c:\Windows (Win XP/2003)
- cmd.exe, command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe = C:\Windows\system32 (NT/2000)
- msconfig.exe = C:\WINDOWS\pchealth\helpctr\binaries

- pembersihan optimal gunakan av yang up-to-date

Untuk perbaikan registry, anda copykan script di bawah ini dalam bentuk file INF

[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductId,0, “ID”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,NET-SERVICES
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Servicex
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,windows
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, SYSTEM\CurrentControl001
HKLM, SYSTEM\CurrentControl002
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, FCScan
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, SFCDISABLE

Semoga membantu

Posted by chymenk | No Comments »

?Rupanya tak hanya Ari Lasso yang tertarik berduet dengan Bunga Citra Lestari (BCL), para pembuat virus pun menginginkannya. Kalau Ari Lasso berduet dengan BCL menghasilkan lagu yang indah, para pembuat virus berduet dengan BCL untuk menyebarkan virus maut.

Saat ini sudah beredar virus Bonek, atau yang lebih dikenal dengan nama Love-Chaca. Virus ini memalsukan diri sebagai file gambar JPEG dengan nama “Bikini Bunga Citra Lestari”. Vaksincom, melalui Norman Virus Control, mendeteksi virus Bonek Love Chaca ini sebagai W32/SillyFDC.F.

Dalam keterangan tertulis yang diterima detikINET, Jumat (11/1/2008), virus ini sulit untuk dimatikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Selain itu, virus ini dapat menghapus file executable (.exe) yang dianggap dapat membahayakan dirinya, khususnya bagi yang sudah terinfeksi dan berusaha untuk mematikan proses virus tersebut.

Virus ini menyebar melalui media USB Flash, dengan mengandalkan system autoplay windows. Menurut Vaksincom, file virus ini berukuran sekitar 122 KB dengan tipe file application (.exe). Jika dijalankan, maka virus akan membuat sebuah file yaitu “school is hell.doc” pada folder My Documents.

Untuk mempertahankan dirinya, Love Chaca juga akan membuat beberapa file virus yang akan dijalankan setiap kali komputer dinyalakan atau komputer di-restart.

Men-Disable Fungsi Windows

Seperti umumnya virus-virus lokal, Love Chaca juga akan menonaktifkan beberapa fungsi windows seperti Hidden Drive USB, Disable Find, Disable Run, Disable Registry Editor, Disable Task Manager, Disable Command Prompt, Disable Control Panel, Disable Explorer Context Menu dan Disable Taskbar Context Menu.

Love Chaca juga akan mengalihkan fungsi program menjadi Notepad. Virus ini juga akan mengalihkan beberapa fungsi dari program aplikasi dan windows termasuk Registry Editor dan Task Manager.

Salah satu yang diubah oleh Love Chaca juga termasuk tampilan folder option dan properties dari sistem. Jika terinfeksi, maka system properties akan ditambahkan gambar berupa gambar seorang laki-laki memakai jas dan topi yang wajahnya ditutupi buah.

Virus ini pun akan mencoba memblokir beberapa situs keamanan ternama, diantaranya vaksin.com, avast.com, mcafee.com, grisoft.com, symantec.com, secunia.com, f-secure.com, kaspersky.com, friendster.com, yahoo.com, google.com, google.co.id.

Bahkan, saat korban akan membuka browser Internet Explorer, maka akan muncul peringatan seolah-olah komputer kita akan di format. ( dwn / dwn )

source : Dewi Widya Ningrum - detikinet

Posted by chymenk | 1 Comment »