VIRUS - ANTIVIRUS INDONESIA

Sudah lama ga pernah posting-posting tentang virus. Dalam kesempatan ini ingin berbagi pengalaman bagaimana memprotek flashdisk dari virus copy of shortcut to (1).lnk, (2), (3) dan (4) dan folder recycler. Selain Protek Flashdisk cara ini juga bisa digunakan pada Memory atau media penyimpanan lainnya. Yang pasti.. "JANGAN JADIKAN MEDIA PENYIMPANAN FILE SEBAGAI MEDIA PENYEBAR VIRUS" Ingin tau bagaimana caranya?? Lihat Gambarnya ya..
 
 Buat 4 folder baru dengan nama "Copy of Shortcut to (1).LNK" dan seterusnya hingga (4) seperti gambar.. Buat file zip atau rar dan beri nama "RECYCLER", hilangkan ".zip" atau ".rar". untuk contoh seperti pada gambar.. Terakhir protek flashdisk atau media penyimpan dengan Smadav Lock "proteksi Flasdisk" yang nanti akan muncul file baru bernama autorun.inf dan smad-lock (Brangkas smadav).. Sangat mudah bukan.. tapi manfaatnya full.. :) Salam virus lover.. :))

virus recycle.exe ini sama dengan virus recycle.exe yang sudah av-soft posting sebelumnya. Dalam postingan virus sebelumnya "Virus 9CBBD0.exe / Recycle.exe" avsoft tidak mengetahui jika ternyata recycle.exe adalah virus yang mampu melakukan penamaan secara acak pada nama folder dan nama induknya. Antivirus AVG mengenal virus yang menggunakan icon folder ini dengan nama Trojan House Generic2_c.OKU.

Meskipun Recycle.exe merupakan virus yang mampu melakukan pengacakan terhadap penamaan folder dan nama induknya, recycle.exe cukup mudah dikenal. Dengan melihat setiap hasil penginfeksiannya pada flashdisk yang melakukan copy file induk dengan nama recycle.exe dengan atrribut Super Hidden, Read-Only dan duplikat semua folder yang ada dan mengnyembunyikannya.

Pada komputer yang telah terinfeksi oleh virus yang bertubuh 1.407.651 bytes atau sekitar 1.34 MB ini dapat dengan mudah kita kenal dengan cara melihat pada startup atau langsung ke folder tersebut pada C:\document and setting\"user name"\start Menu\Program\Startup atau dengan cara klik run ketik "start menu" tanpa tanda petik, open folder program dan open folder startup. Dapat dilihat pula dari proses taksmanager namun lebih tepat dengan melihat langsung pada startup. Lihat pada gambar dibawah ini :



Untuk membasmi virus recycle.exe tanpa antivirus silahkan ikuti langkah langkah yang ada pada postingan sebelumnya tentang virus recycle.exe.

Bagi yang ingin download virus recycle.exe, avsoft telah menyediakannya silahkan klik disini "Download virus".

Virus auto.exe merupakan virus luar yang mungkin lebih terkenal dengan trojan. Auto.exe sudah banyak dikenal oleh antivirus luar seperti AVG (trojan horse Backdoor.Agent.JVF), AntiVir/Avira (TR/Crypt.FKM.Gen), Avast (Win32:Trojan-gen), BitDefender (Trojan.Popwin.DO), F-Secure (Trojan.Popwin.DO), McAfee (W32/Winko.worm), Norman (Hupigon.gen66), Panda (Trj/Downloader.PQM), Symantec (W32.Popwin), Kaspersky (Backdoor.Win32.Popwin.aot) dan NOD32 (a variant of Win32/TrojanDownloader.Flux).

Saat pertama kali menginfeksi Auto.exe akan mengcopy dirinya ke semua drive yang aktif dan membuat sebuah file autorun.inf seperti pada drive C:\auto.exe C:\autorun.inf, D:\auto.exe dan D:\autorun.inf. Virus yang bertubuh sekitar 16,839 bytes akan mengubah nilai registry pada show all file hidden menjadi bernilai 0 yang membuat kita tak dapat show hidden file.

Untuk membasminya anda cukup instal antivirus yang av-soft sebutkan diatas atau jika anda ingin melakukan secara manual, anda bisa mengikuti langkah - langkah berikut :
Lakukan Pencarian file dengan aplikasi pencarian milik windows. Pilih All file and folders. Isi dengan kata auto.exe dan Klik more advanced options lalu centang Search hidden files and folders dan lakukan search(klik Search). Anda akan mendapatkan file virus berpropertise hidden, hapuslah dengan memilih semua file virus tersebut dengan menekan tombol Shift dan del (delete) secara bersamaan.
Jika anda berhasil maka anda telah membasminya namun masih terdapat file virus lainnya yaitu autorun.inf yang harus anda hapus. Untuk memudahkan penghapusan file autorun.inf sebaiknya anda perbaiki registry terlebih dulu. Anda cukup mendownload repair.inf via 4shared Repair registry virus auto.exe. Setelah mengunduhnya ekstak file repair.inf pada komputer anda dan klik kanan, pilih instal. Selesai. Jika telah melakukan hal mulailah pencarian autorun.inf pada setiap drive dengan mencentang show hidden file pada folder option. Hapus file autorun.inf yang berada pada semua drive. Jika anda telah berhasil menghapusnya maka anda telah berhasil membasminya.

Bagi anda yang menginginkan virus auto.exe, av-soft.blogspot telah menyediakannya, Silahkan download virus auto.exe disini.

Virus recycle.exe melakukan penduplikatan folder pada drive flashdisk dan menyembunyikan folder asli dengan attribut read only dan super hidden hampir sama dengan virus brontok/rontokbro dan virus hakaglan(Rvhost.exe). Selain menduplikat folder, virus recycle.exe membuat file autorun.inf dan recycle.exe.
Virus recycle ini menyimpan tubuhnya pada folder system32(c:\WINDOWS\System32\D1F420\9CBBD0.exe). Virus recycle/9CBBD0.exe tidak begitu banyak mengubah registry, hanya membuat HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 9CBBD0 agar dapat dijalankan pada saat windows starup dan mengubah registry HKCU, Control Panel\Desktop, ScreenSaveActive menjadi bernilai 0 serta membuat file shortcut pada folder startup.


Virus recycle.exe mudah dibasmi karena tidak melakukan banyak perubahan pada registry dan melakukan pertahanan hidup. Untuk membasminya anda cukup menggunakan taskmanager bawaan windows dengan mematikan proses virus tersebut(end process)lihat gambar dibwah ini :

Setelah membasminya silahkan anda hapus file yang ada pada folder startup seperti pada gambar yang diatas dan menghapus file induk virus pada folder C:\WINDOWS\System32\D1F420\9CBBD0.exe.

Jika anda telah melakukan cara - cara diatas silahkan anda hapus beberapa registry yg telah dibuat dan diubahnya. Atau anda gunakan repair.inf yang telah av-soft sedikan disini repair registry virus recycle.exe via 4shared. Ekstrak file tersebut pada komputer anda dan klik kanan pilih instal. selesai.

Jika anda membutuhkan file virus tersebut silahkan download virus recycle.exe disini. Gunakan file virus tersebut hanya untuk kebaikan dan kemajuan Ilmu Teknologi Indonesia.

Jika komputer anda penuh dengan shortcut folder dan terdapat file Baca AQ.rtf atau My name is Yuyun.rtf hal ini berarti komputer anda terkena virus Yuyun Vbs/harry potter atau dikenal oleh avira sebagai virus vbs/yuyun. Yuyun vbs / harry potter adalah sebuah virus yang menginfeksi komputer dengan membuat shortcut pada semua folder yang ada dengan nama yang sama dengan folder-folder tersebut. selain itu yuyun vbs ini akan menaruh beberapa file lainnya yaitu Thumb.db, autorun.inf, microsoft.lnk, auto.exe yang berisi scipt autorun.inf, V.doc, Yuyun.Q, 3 file berformat *.tmp dengan nama acak dan New Folder.lnk atau Harry Potter and... .lnk.
Saat yuyun vbs pertama kali menginfeksi maka yang akan dilakukannya adalah membuat file pada my document dengan nama database.mdb, autorun.inf, Thumb.db yang hampir sama dengan Thumbs.db disini yang benar adalah Thumbs.db, membuat file autorun.inf dan thumb.db pada drive cd/dvd dan membuat serta mengubah beberapa registry.

Pada setiap tanggal 1 atau saat virus ini menginfeksi saat tanggal 1, yuyun vbs atau yuyun_cantik ini akan membuat shortcut pada desktop dengan nama yuyun_cantix. File tersebut tidak dapat anda hapus terkecuali anda menghapus terlebih dahulu registry yang dibuat olehnya. Yuyun virus ini akan mencoba memerintahkan printer untuk print file V.doc pada setiap tanggal 1. Selain file tersebut yuyun cantik ini akan membuat file *.rtf dengan nama Baca AQ.rtf dan My name is Yuyun.rtf pada semua folder.

Isi Baca AQ.rtf, My name is Yuyun.rtf dan V.doc

Beberapa resgitry yang dibuat dan diubah olehnya adalah sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-Explorer
HKEY_CLASSES_ROOT\lnkfile
-IsShortcut
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-DisableRegistrytools
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-HonorAutoRunSetting
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
-Recent

Setelah berhasil membuat beberapa file dan registry yuyun vbs akan mulai menginfeksi komputer korbannya dengan membuat shortcut dan menaruh file-feli virusnya. Yuyun vbs akan menjalankan beberapa file virusnya saat pertama kali komputer dihidupkan yaitu database.mdb yang terdapat pada my document dan :Microsoft Office Update For Windows XP.sys yang terdapat pada C:\WINDOWS\:Microsoft Office Update For Windows XP.sys. Pada kasus yang av-soft alami saat analisa virus ini, file :Microsoft Office Update For Windows XP.sys tidak ditemukan mungkin karena av-soft terlalu cepat menganalisa.
Yuyun vbs bukan merupakan virus baru sehingga hampir semua antivirus baik lokal maupun non lokal telah mampu membasminya. Namun disini av-soft mengenalkan bagaimana cara membasmi virus tanpa antivirus.
Hal yang pertama adalah mematikan proses virus tersebut. Dikarenakan virus ini merupakan virus vbs yang memerlukan wscript.exe sebagai jalan satu satunya untuk dapat hidup maka kita harus mematikan proses wscript.exe pada taskmanager. Taksmanager tidak dibuat disable oleh virus ini sehingga kita cukup mudah mematikan proses tersebut. Atau anda dapat menggunakan CProcess pengganti taskmanager

Kedua adalah memperbaiki registry, baik yang dibuat maupun yang diubah oleh yuyun vbs ini. Silahkan anda copy paste script dibawah ini pada notepad dan simpan pada komputer dengan nama "repair.inf" tanpa tanda petik. Setelah menyimpannya klik kanan pada file tersebut dan pilih instal. Atau anda bisa langsung download repair registry virus yuyun vbs di av-soft.4shared.

[Version]
Signature="$Chicago$"
Provider=av-soft.blosgspot

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, """%1"" %*"
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, "regedit.exe "%1"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCR, lnkfile, IsShortcut
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders,Recent,0x00020000,"%USERPROFILE%\Recent"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, HonorAutoRunSetting
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate
HKLM, Software\Classes\CLSID\{11111111-2222-3333-4444-555555555555}


Cara ketiga dan merupakan cara terakhir adalah dengan menghapus semua file virus yang terdapat pada komputer anda.Hapus file database.mdb dan yang tersuper hidden yang berada pada my document dan :Microsoft Office Update For Windows XP.sys yang terdapat pada C:\WINDOWS\:Microsoft Office Update For Windows XP.sys. Gunakan fitur Search windows pada komputer anda. Mulailah mencari dengan kata thumb.db, autorun.inf, microsoft.lnk, New Folder.lnk, New Harry Potter and....Ink, Auto.exe, V.doc, Yuyun.Q, Baca AQ.rtf, My Name is Yuyun.rtf, file berformat *.tmp yang berada pada folder yang sama dengan V.doc, Yuyun.Q dan auto.exe dan yang perlu anda berhati-hati menghapus adalah pada saat anda harus mencari file dengan format *.lnk yang merupakan hasil infeksi virus tersebut yang sama dengan nama folder pada komputer anda. Pada file virus yang berformat *.tmp sebaiknya anda hapus semua karena file-file tersebut tidaklah penting. Dan jangan lupa untuk menghapus Shortcut yuyun_cantix pada desktop(jika ada). Perhatikan Gambar berikut untuk memudahkan pencarian file-file tersembunyi :

Jika anda ke merasa kesulitan dalam mencari file yang tersembunyi anda dapat menggunakan aplikasi hidden file tool, download disini.

Av-soft menyediakan virus untuk dapat anda download semata-mata untuk dijadikan sebagai bahan pelajaran dan atau sebagai database antivirus lokal maupun non lokal. Silahkan download virus yuyun vbs ini disini. dan Download Source Code virus tersebut disini.