Penanganan flash disk terkena Virus lokal Amburadul Hokage Killer
File-file gambar yang ada di flash disk semuanya bertipe application/exe. Semua file gambar yang ber-extension jpg, bmp, png, tiff, gif terkena dampaknya.Beberapa waktu lalu saya ke warnet biasa “mangkal”. Seperti biasanya begitu komputer warnet nyala, langsung saja flashdisk saya colokkan. Browser saya buka, pertama ketika browser akan terbuka disitu terdapat 3 pilihan radio button.
- previous/last page (membuka halaman2 terdahulu).
- Blank page (browser akan membuka halaman kosong)
- homepage (browser akan membuka halaman homepage si empunya browser)
rupanya kalo melihat dari popup itu, komputer ini baru saja dimatikan paksa sehingga ketika dihidupkan lagi muncul pilihan semacam itu. Secara default, radio button akan terseleksi pada pilihan last page atau membuka halaman2 terdahulu. karena terburu dan tidak berpikir panjang langsung saja saya enter yang merujuk pada previous page. ehmm… ternyata halaman-halaman yang terbuka mengarah pada situs-situs porno. Saya tanya pada penjaga warnet, rupanya pengguna komputer sebelum saya pakai ini adalah beberapa ABG (anak baru gedhe red) yang rasa ingin tahunya tentang dunia seks sangat besar. Malas melihat begituan, halaman-halaman tersebut saya close satu per satu. dari sinilah awal flashdisk saya terkena virus lokal amburadul. Belakangan saya ketahui bahwa virus amburadul tersebut melakukan Ddos ke sejumlah alamat website yang sudah ditentukan dengan melakukan Ping request terhadap beberapa web antara lain www.duniasex.com, www.data0.net, www.rasasayang.com. Selama berselancar saya tidak menyadari bahwa flashdisk sudah terkontaminasi virus. Begitu selesai apa yang saya cari, pulanglah
Sesampai dirumah flashdisk kembali saya tancapkan di komputer rumah. Sampai disini saya mulai merasa ada keanehan pada flashdisk tersebut. File-file gambar yang ada di flashdisk semuanya bertipe application/exe. Semua file gambar yang ber-extension jpg, bmp, png, tiff, gif terkena dampaknya. Ada beberapa file gambar bertipe .exe bukan fileku rupanya juga tercopy di flashdisk-ku. File tersebut antara lain:
- Ce_Pen9God4.exe
- J34ñNy_Mö3tZ_CuTE.exe
- M0D3L_P4ray_ 2008.exe
- MalAm MinGGuan.exe
- NonKroNG DJem8ataN K4H4yan.exe
- Ph0to Ber5ama.exe
- PiKnIk dT4ngKilin9.exe
- RAja Nge5ex.exe
- TrenD 9aya RAm8ut 2008.exe
ketika salah satu dari file bentukan virus diatas diklik maka secara otomatis dia akan menggandakan diri dan membentuk folder baru dibawah C:\Windows\system32\~A~m~B~u~R~a~D~u~L~- csrcc.exe
- smss.exe
- lsass.exe
- services.exe
- winlogon.exe
- Paraysutki_VM_Community.sys
- msvbvm60.dll
Karena tidak tahu, file-file tersebut langsung saja saya delete, tapi kemudian muncul lagi, saya delete lagi, dan muncul lagi. Kalo dilihat dari bahasanya jelas virus ini berasal dari Indonesia. Salah satunya disitu tertulis “jembatan Kahayan” seperti kita ketahui jembatan kahayan adalah jembatan yang membela sungai Kahayan di kota Palangkaraya, Kalimantan tengah. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Pinter sekali anak ini… apa tujuan dia membuat virus?.. untuk mengingatkan eksistensi mereka? Bayangkan, anti virus sekelas Norton pun ketika saya buat scan flashdisk, sampai habispun tidak terdeteksi. Dan ketika saya buka browser, judul pada browser semua berubah dan sama. “Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War”
Pusing saya dibuatnya. Sampai akhirnya saya bertanya kepada teman yang lebih mengerti. Virus jenis ini ternyata hanya bisa terdeteksi oleh Anti virus lokal.
Cara membersihkannya:
- gunakan tools “currprocess”. Silahkan download disini
- Matikan file yang ikon jpg ber-ekstensi exe. Lihat gambar
- Copy paste script dibawah ini
[Version]
Signature=”$Chicago$”
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestorelalu simpan di notepad dengan nama repair.inf, setelah jadi klik kanan filenya dan pilih instal
- tampilkan file yang tersembunyi dengan cara buka windows explorer -> tool -> folder option -> pilih view pada tab -> pilih show hidden files and folders pada radio button
- Kemudian klik cari atau search pada toolbar di explorer -> all files and folder -> pada all or part of the file name ketik
*’.exe, *.exe’, *.jpg’, *.bmp’, *.gif’, *.png’, *.tiff’
lalu klik tombol search dan delete semua file yang ditemukan. File-file asli anda yang asli akan tampil kembali, ternyata oleh pembuat virus file-file gambar anda disembunyikan dan diganti dengan file dengan nama sama dengan ekstensi .exe. contohnya anda mempunyai file gambar asli bernama duyung.gif maka virus ini membuat duplikat dengan nama duyung.gif`.exe dan file gambar anda yang asli tidak terlihat - Terakhir delete semua folder dan file dibawah C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
csrcc.exe
smss.exe
lsass.exe
services.exe
winlogon.exe
Paraysutki_VM_Community.sys
msvbvm60.dll
dan dibawah folder
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
Dan scan lagi komputer anda secara optimal dengan anti virus yang ter-update
Salam….
Berlangganan Artikel gratis
Categories: komputer | 
Tags: Internet, komputer, virus | 
1 Comment »
Namaku Lukito Wiyono. Berasal dari Kota Pahlawan Surabaya. Kota yang panas, yang penuh sesak oleh manusia, kota yang khas dengan teriakan supporter Boneknya, kota yang (selalu) membuat kecewa setiap perantauan yang datang. Kota yang menjanjikan fatamorgana kehidupan, kemewahan dan keangkuhan gedung-gedung pencakar. Dengan makanan Semanggi Suroboyo-nya, dengan rujak cingur-nya, dengan lontong balap-nya membuat aku enggan meninggalkanmu.
Slm knl di dunia mayaaa yaa massssssss………?!!! smggg di perbanyaaaak artikell2 tentang Protect virus tanpa software. thnksssssssss