Serial number

V2C47-MK7JD-3R89F-D2KXW-VPK3J (SERIAL GENUINE UNTUK XP SP1 & XP SP2)

WRY2X-KXT8M-243WY-KQKC7-73D36 (SERIAL ORIGINAL UNTUK XP SP3)

Virus yang membuat komputer anda banjir Shortcut

Di tengah gencarnya virus-virus Confiker melanda dunia persilatan jaringan, maka ada sebuah virus lokal yang tidak mau kalah untuk unjuk gigi. Virus ini penulis dapatkan secara tidak sengaja, ketika sedang beranjang sana di sebuah tempat kerja sahabat dekat, dia mengeluh kok banyak banget sih shortcut di komputernya.

Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.

Norman Virus Control mendeteksi virus ini sebagai Worm:PIF/Starter.A (lihat gambar 1) :

Gambar 1, Norman Security Suite mendeteksi virus Shortcut sebagai Worm:PIF/Starter.A

Ciri-ciri dari virus tersebut adalah :

1. Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
2. File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
3. Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2 (lihat gambar 2)

Gambar 2, Aksi virus Shortcut memalsukan folder

4. Mematikan fungsi dari file Registry (lihat gambar 3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistrytools"=dword:00000001

Gambar 3, Pesan yang ditampilkan jika mengakses Registry Edit 

5. Menambahkan value di registry :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office  

Update for Windows XP.sys\""

Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi

dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka

akan didapat message error seperti di bawah ini (lihat gambar 4)

Gambar 4, Pesan error yang ditampilkan saat logon karena gagal loading script.

Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

1. Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.

2. Sebelumnya matikan dulu proses SYSTEM RESTORE.

3. Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)

Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

4. Delete file induknya yang ada di C:\Documents and Settings\<user>\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

5. Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah

Ketik C:\del Microsoft.inf /s   = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f  = perintah akan mendelete file autorun.inf  (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama. (lihat gambar 5)

Gambar 5, Perintah mendelete file lnk yang diciptakan virus. 

6. Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya. (lihat gambar 6)

Gambar 6, Shortcut yang dibuat virus akan menyerupai icon folder, tetapi memiliki Size 1 KB dan Type "Shortcut"

7. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate

HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer

instal ulang windows xp tanpa format

instal ulang windows xp tanpa format ( bukan REPAIR)...

Mengaktifkan kembali Task Manager yang ter-disable

Saya masih ingat beberapa waktu lalu seorang teman saya menanyakan kenapa Task Manager pada Windows XP nya tidak dapat dibuka dan menampilkan sebuah messagebox dengan tulisan "Task Manager has been disable by your administrator". Lalu saya menjawab, komputernya telah terinfeksi virus yang menyebabkan Task Manager nya tidak dapat dibuka.   Dia pun menanyakan bagaimana cara mengaktifkan Task Managernya kembali, dan saya memberikan dua solusi untuk mengaktifkan Task Manager tersebut dengan cara manual atau dengan menggunakan file registry yang dapat langsung digunakan. Sebelum mengikuti cara manual yang saya berikan, saya menyarakan agar komputernya di scan terlebih dengan menggunakan AntiVirus yang mempunyai update-an terbaru. Hal ini dapat mencegah virus tersebut men-disable Task Manager nya kembali. Jika virus sudah terjaring barulah menjalankan solusi berikut ini.      Gambar 1.1. Task Manager yang terdisable.      Gambar 1.2. MessageBox Task Manager.     Enable Task Manager via Group Policy dan RegEdit Berikut ini adalah cara manual mengaktifkan kembali Task Manager melalui Group Policy. Cara ini dapat digunakan pada Windows XP Professional Edition. - Klik start -> run atau Windows + R     Gambar 1.3. Run gpedit.msc   - Pada kotak dialog Run, ketik gpedit.msc kemudian Ok - Setelah kotak Group Policy muncul masuklah ke folder berikut ini -> User Configuration -> Administrative Template -> System -> ctrl + alt + del option     Gambar 1.4. Group Policy.   - Klik ganda pada Remove Task Manager dan ubah settingannya menjadi Not Configurated - dan terakhir klik Ok     Gambar 1.5. Task Manager Properties.   Sedangkan untuk Windows selain Windows XP Professional berikut ini men-enable Task Manager via RegEdit : - klik start -> run atau Windows + R - Setelah masuk ke Registry Editor masuklah ke folder HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> System.     Gambar 1.6. Registry Editor. - Pada folder system Anda akan menemukan DisableTaskMgr dengan value 0x00000001 (1), hapuslah registry tersebut agar Task Manager dapat dibuka kembali.     Gambar 1.7. Menghapus DisableTaskMgr.   Jika cara diatas dirasa merepotkan, anda dapat mendowload file berekstensi .REG untuk memperbaiki Task Manager yang ter-disable. Anda hanya mendouble klik file tersebut untuk men-enable Task Manager kembali. Download file Registry disini

Tips dan Trik Mengganti Nama Icon Recycle Bin

Untuk mengubah nama icon desktop Recycle Bin, Anda dapat melakukan hal berikut ini :

1. Buka Run

2. Ketikkan “regedit” (tanpa tanda kutip)

3. Kemudian Anda dapat mencari HKEY_CLASSES_ROOT

4. Tekan tanda “+”

5. Carilah “CLSID” dan click tanda “+”

6. Carilah “{645FF040-5081-101B-9F08-00AA002F954E}”

7. Lalu Anda dapat mengganti nama “Recycle Bin” dengan meng-click dua kali di bagian “Default”, dengan nama yang Anda inginkan (tanpa tanda kutip)

8. Lalu tekan “Ok”, dan restart computer.