kemarin malam cukup dibikin kesel ama virus Miyabi dan Ayam-kampus! setelah membuka hardisk external yg baru saja dikembalikan oleh teman and katanya udah ditambahin film bokep baru!hehehehehehe.. pas gw buka di root file terdapat film bokep favorite gw yang dibintangi oleh Maria Ozawa Miyabi file yang bernama Miyabi-New Episode(NO SENSOR) yang iconya windows media player! ehhhhhh baru diclick ternyata komputer gw dibikin hang ama tu film miyabi sialan..!!, baru tak cek ehhhhhhhh ternyata extension filenya .exe aq udah mulai curiga dan setelah aq buka regedit ehhhh yg keluar malah notepad!anjing komputer gw kena virus!tukang virus malah kena virus!!,wakakakakaka……… ini virus emang lumayan hebat ni virus bisa mengelabui aq..!!, hehehehehe….. salute buat yg bikin virus!!!!!, kerena Aq sempet suka juga miyabi makanya aq buru2 buka file Miyabi-New Episode(NO SENSOR) kerana dari setahu qu miyabi blom pernah sekalipun nemu film miyabi yang NO SENSOR!!!!
setelah browsing2 ternyata ni virus namanya virus W32/AutoRun.WE
ni penjelasan mengenai virus tersebut dari vaksin
Mungkin virus ini sedang menyebar dengan cepatnya. Seperti biasa Flash Disk merupakan alat penyebar yang sangat efekti. Coba anda perhatikan di dalam flash disk anda kalau ada file ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).exe dan autorun.inf, pasti komputer anda sudah terjangkit virus ini.
Apa yang diperbuat oleh virus ini, secara singkat dapat dijabarkan sebagai berikut :
- Muncul pesan “System File Protection” setiap kali komputer dinyalakan.
- Jika menekan tombol enter maka akan muncul pesan “sensor”
- blok taskmgr/regedit/msconfig/Cmd/sysedit (baik di C:Windows atau C:WIndowssystem32 maupun di C:Windowssystem32dllchace)
dengan membuka program notepad (bila dijalankan), file asli tesebut akan dipindahkan di dalam folder C:pUkcaB_LACSAR, untuk mengelabui user, virus ini akan copy file notepad.exe ke dalam masing2 direktori dengan nama yang sama seperti file yang sudah dipindahkan tersebut. Selain itu ia akan ubah file tersebut mejadi file notepad kemudian akan dibackup ke folder C:pUkcaB_LACSAR dengan mengganti ext. EXE dengan RASCAL (file ini akan disembunyikan)
- Mematikan win exploer jika baca caption/jika user akses folder dengan nama : windows,registry,tuneup,anti,avg,virus,processes,process,utility,tool,hacker,cracker,-scanner,
vir,hijack,hex,editor,snif,run,free,japan,porn,*
-kalau kita memencet tombol ALT+F4 maka komputer akan hang, dan pada layar akan dipenuhi tulisan rascal
Perubahan pada regedit:
——————–
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- NET-SERVICES = C:WINDOWSsystem32rascal32.exe /register
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
- DisableRegistryTools
- DisableTaskMgr
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
- load = C:WINDOWSsystem32rascal32.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
- windows = C:WINDOWSmsvbvm60.exe /register
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
- ProductName = RASCAL.A
- RegisteredOrganization = junior Bali VM
- RegisteredOwner =�؆H��G���BO�
- ProductId = [28/08/2007]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
- SHELL = explorer.exe C:WINDOWSsystem32rascal32.exe
- system = C:WINDOWSmsvbvm60.exe
- userinit = userinit.exe,C:Documents and SettingsElvinaTemplatesuserinit.exe,
- SFCScan = 0 (menyebabkan selalu muncul pesan error “System file Protection”)
- SFCDISABLE = -99
HKEY_LOCAL_MACHINESYSTEMCurrentControl001ControlSafeBoot
- AlternateShell = cmd.exe
HKEY_LOCAL_MACHINESYSTEMCurrentControl002ControlSafeBoot
- AlternateShell = cmd.exe
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
- AlternateShell = “”
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBoot
- AlternateShell = “”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
- AlternateShell = “”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregLoad
- command = C:WINDOWSsystem32rascal32.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregNET-SERVICES
- COMMAND = C:WINDOWSsystem32rascal32.exe /register
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregWindows
- command = C:WINDOWSmsvbvm60.exe /register
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
- hidden = 2
- HideFileExt = 1
- ShowSuperHidden = 0
Penambahan File:
—————-
c:ayam-kampus.exe
c:Miyabi-New Episode(NO SENSOR).exe
C:Windowssystem32rascal32.exe
C:Windowsmsvbvm60.exe
c:Miyabi-New Episode(NO SENSOR).exe (di setiap drives termasuk UFD)
C:Documents and Settings<nama user>My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
C:Documents and Settings<nama user>Templates
- userinit.exe
c:windowssystem32oemlogo.bmp
c:windowssystem32oeminfo.ini
C:Windowssystem32configsystemprofileTemplatesuserinit.exe
C:WINDOWSsystem32configsystemprofileMy Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
C:Documents and Settings<nama user>My Documents
- JapanPorn.exe
- Miyabi-New Episode(NO SENSOR).exe
Menyebar melalui UFD
————————
- Autorun.inf (menjalankan file ayam-kampus.exe)
- Ayam-kampus.exe
- Miyabi-New Episode(NO SENSOR).exe
Cara membersihkan:
——————–
- Matikan proses virus yang aktif dimemori, gunakan tools proceexp yang sudah dimodifikasi
- Hapus registry yang dibuat virus
- Hapus file induk virus gunakan search windows dengan mencari dan menghapus file dengan ciri2:
- icon multimedia player
- ext. exe
- ukuran 70 KB (71108)
- hapus juga file berikut:
- c:windowssystem32oemlogo.bmp
- c:windowssystem32oeminfo.ini
- Untuk mengembalikan fungsi regedit/msconfig/taskmanager dan cmd yang diubah jadi notepad. Ubah ekstensi file dari RASCAL menjadi EXE pada folder C:pUkcaB_LACSAR, kemudian
copy ke masing-masing folder berikut:
- REGEDIT.EXE = c:Windows (Win XP/2003)
- cmd.exe, command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe = C:Windowssystem32 (NT/2000)
- msconfig.exe = C:WINDOWSpchealthhelpctrbinaries
- pembersihan optimal gunakan av yang up-to-date
Untuk perbaikan registry, anda copykan script di bawah ini dalam bentuk file INF
[Version] Chicago
Signature=”$
Provider=Vaksincom
[DefaultInstall] del
AddReg=UnhookRegKey
DelReg=
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellopencommand,,,”"”%1″” %*”
HKLM, SoftwareCLASSEScomfileshellopencommand,,,”"”%1″” %*”
HKLM, SoftwareCLASSESexefileshellopencommand,,,”"”%1″” %*”
HKLM, SoftwareCLASSESpiffileshellopencommand,,,”"”%1″” %*”
HKLM, SoftwareCLASSESregfileshellopencommand,,,”regedit.exe “%1″”
HKLM, SoftwareCLASSESscrfileshellopencommand,,,”"”%1″” %*”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersion, ProductName,0, “Windows”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersion, RegisteredOrganization,0, “Organization”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersion, RegisteredOwner,0, “Owner”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersion, ProductId,0, “ID”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, system,0,
HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMControlSet002ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMControlSet003ControlSafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, “cmd.exe”
[ del
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun,NET-SERVICES
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun,Servicex
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun,windows
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableRegistryTools
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableTaskMgr
HKLM, SYSTEMCurrentControl001
HKLM, SYSTEMCurrentControl002
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWinlogon, shell
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, FCScan
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, SFCDISABLE
Kayak’na terlalu panjang iiaa..??,,
Tp tak apa-apalah yg penting Semoga membantu aja n sambil bagi” pengalaman ja deh...!!,Hee.. (^^,)..!!.
-Lin9gA-