Re: [atekbl]- W32/VBWorm.MPT 31 Januari 2007

Wed, 31 Jan 2007 21:10:26 -0800 

M.A dany wrote:

TEMAN" GIMANA NIHHH NGILANGIN SI PENDEKAR,, DI KANTOR G BANYAK YG KENA..
BUN TOLOOOOOONG BUN,,,,,,kayaknya lu mesti turun gunung dehhh KARNA CUMA ELU SATU"NYA PENDEKAR DARI ATEK YG MASIH BERHATI MULIA UNTUK MEMBASMI SEGALA KEMUNGKARAN,,,, TAPI JABLAYNYA JANGAN DI BASMI JUGA YAAAA 

*//*
*Madani Kunye*
*PT.BRINGIN GIGANTARA*

Buat pendekar kunye mendingan lo Tapa dulu di bawah pohon bringin :-)
Karena informasi dari om Teguh sepotong, ini gw lengkapin Jurus maut.

setelah mempelajari jurus ini mudah-mudahan pendekar kunye bisa 
bertarung 24 jam.



Jurus Jablay nanti kita pelajari tanggal 23-25 bulan ini.  tempat dan 
lokasi silakan liat di arsip.


Jangan lupa mandi dulu sebelum di praktekin :-)

=================================

*Virus yang berusaha menjadi Robin Hood tapi kebablasan*


VBWorm.MPT memang akan "berusaha" untuk menghalau perkembangan sejumlah 
virus lokal yang mencoba untuk aktif di komputer korban akan tetapi 
masih menyisakan beberapa aksi lain dari virus lokal tersebut yang tidak 
di blok oleh VBWorm.MPT sehingga virus tersebut masih aktif di komputer 
hal ini dibuktikan dengan masih aktifnya proses dari virus lokal 
tersebut di memori komputer dimana proses dari virus ini tidak  
dimatikan oleh VBWorm.MPT dan satu hal yang pasti tidak semua virus 
lokal dapat dihalau oleh VBWorm.MPT. VBWorm.MPT juga akan berusaha untuk 
mengembalikan beberapa [tidak semua] value dari string registry yang 
dibuat oleh virus lokal lain yang aktif di komputer korban inilah yang 
menjadi salah satu kelebihannya walaupun memang tidak semua string 
tersebut dapat dikembalikan tapi paling tidak ada beberapa fungsi 
windows yang biasa diblok oleh virus masih dapat digunakan [contohnya 
jika terdapat virus yang mencoba untuk blok menu *Run* dengan membuat 
string *NORUN* dengan value *1* maka VBWorm.MPT akan merubah value 1 
dari string tersebut menjadi *0* sehingga menu run masih dapat 
digunakan] tetapi setelah diselidiki lebih jauh ternyata VBWorm.MPT 
mempunyai "niat jahat" untuk menguasai komputer tersebut, dengan 
mengadopsi aksi yang dilakukan oleh Moonlight atau lightmoon, VBWorm.MPT 
akan menyembunyikan semua folder yang ada di Disket / Flash Disk dan 
mencoba untuk membuat file duplikat disetiap folder sesuai dengan nama 
"sub folder" yang ada di Folder tersebut  dengan ciri-ciri:




-          Menggunakan icon "Folder"

-          Ukuran 34 KB

-          Ekstensi EXE

-          Type file "Application"





Sebagai upaya untuk menyebarkan dirinya, VBWorm.MPT masih menggunakan 
Disket dan Flash Disk dengan membuat file /New Folder.exe/ dengan icon 
"Folder" dan mempunyai ukuran 34 KB




*Cara mengatasi VBWorm.MPT*

1.       Putuskan hubungan komputer yang akan dibersihkan dari jaringan


2.       Matikan "System Restore" selama proses pembersihan [jika anda 
menggunakan Windows ME/XP]



3.       Matikan proses virus yang aktif dimemori. Untuk mematikan 
proses virus ini anda dapat menggunakan tools "currprocess" [*1] 
kemudian matikan proses virus yang mempunyai nama :


§         Blank.doc

§         Empty.jpg

§         Hole.ZIP

§         msvbvm60.dll

§         Zero.txt

§         Unoccupied.reg (lihat gambar 5)


/
/

/ /


4.       Hapus file induk yang dibuat oleh virus dengan terlebih dahulu 
option "Show hidden files and folders" dan menghilangkan pilihan "Hide 
extension for known file types" dan "Hide protected operating system 
files (recommended)" pada /Folder Option/, perhatikan gambar 6 dibawah ini:






Kemudian hapus file induk berikut:



-          C:\(Read Me)Pendekar Blank

-          C:\WINDOWS\system32\dllChache

§         blank.doc

§         Empty.jpg

§         Hole.ZIP

§         msvbvm60.dll

§         Zero.txt

§         Unoccupied.reg



-          C:\AUT0EXEC.BAT

-          C:\msvbvm60.dll

-          C:\WINDOWS\system32

§         dllchache.exe

§         M5VBVM60.EXE

§         rund1132.exe

§         Regedit32.com

§         Shell32.com




Jangan lupa untuk menghapus file duplikat yang telah dibuat oleh virus 
pada Disket/Flash Disk anda dengan ciri-ciri:




§         Menggunakan icon "Folder"

§         Ukuran 34 KB

§         Ekstensi EXE

§         Type file "Application"




5.       Hapus string registry yang sudah dibuat oleh virus dengan 
menyalin script dibawah ini pada program Notepad dan simpan dengan nama 
repair.inf kemudian jalanak file tersebut dengan cara:


§         Klik kanan repair.inf

§         Klik Iinstall



[Version]

Signature="$Chicago$"

Provider=Vaksincom Blankon



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"


HKLM, 
SOFTWARE\Classes\txtfile\shell\open\command,,,"C:\windows\system32\NOTEPAD.exe 
"%1""



HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, 
"Explorer.exe"


HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure32

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Secure64

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Blank AntiViri


HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell    





6.       Untuk pembersihan optimal dan mencegah infeksi ulang gunakan 
antivirus yang sudah dapat mengenali virus ini dengan baik.



7.       Tampilkan kembali folder C:\Windows\system32 dan 
folder/subfolder yang ada di Fash Disk yang telah disembunyikan dengan 
menulis perintah berikut pada Dos Prompt )lihat gambar 7)





§         ATTRIB --s --h System32  -- > untuk menampilkan folder 
System32 di direktori C:\Windows



§         ATTRIB --s --h /s /d  -- > untuk menampilkan folder/subfolder 
yang ada di Flash Disk





/Gambar 7 Menampilkan folder yang disembunyikan VBWorm.MPT/


8.       Aktifkan kembali "System Restore" pada Windows XP setelah semua 
virus dibersihkan.

========================================================

Jazakallahu khairan (semoga Allah membalas kebaikan kepadamu)


[*1] 
http://www.google.co.id/search?q=currprocess&ie=utf-8&oe=utf-8&rls=org.mozilla:en-US:official&client=firefox-a


--
------------------------------------------------------------------------
http://aboen.or.id - BSD051246
gtalk   : aboenx
ym      : aboenc
------------------------------------------------------------------------























					Kirim email ke