ANALISA / MEMBASMI VIRUS HANJIAN

Berhubung tidak ada kerjaan dan lagi stress ya udah maen-maen sepuasnya . Kali ini yang jadi target virus dari temen hanjian. Asik juga neh virus, dia ngilangin drive C dan yang tidak kalah seru membuat kita buta :) hitam gelap gak karuan :) sehingga aku kesulitan nyimpen neh tutorial  (drive selain drive C di encrypt sehingga mau gak mau harus menyimpannya di drive C). Oke langsung saja :)

Apa yang membikin anda buta alias gak bisa ngeliat tulisan  neh virus mengubah nilai :
HKEY_CURRENT_USER\Control Panel\Colors\ActiveBorder
HKEY_CURRENT_USER\Control Panel\Colors\ActiveTitle
HKEY_CURRENT_USER\Control Panel\Colors\AppWorkSpace
HKEY_CURRENT_USER\Control Panel\Colors\Background
HKEY_CURRENT_USER\Control Panel\Colors\ButtonAlternateFace
HKEY_CURRENT_USER\Control Panel\Colors\ButtonDkShadow
HKEY_CURRENT_USER\Control Panel\Colors\ButtonFace
HKEY_CURRENT_USER\Control Panel\Colors\ButtonHilight
HKEY_CURRENT_USER\Control Panel\Colors\ButtonLight
HKEY_CURRENT_USER\Control Panel\Colors\ButtonShadow
HKEY_CURRENT_USER\Control Panel\Colors\GradientActiveTitle
HKEY_CURRENT_USER\Control Panel\Colors\GradientInactiveTitle
HKEY_CURRENT_USER\Control Panel\Colors\GrayText
HKEY_CURRENT_USER\Control Panel\Colors\Hilight
HKEY_CURRENT_USER\Control Panel\Colors\HotTrackingColor
HKEY_CURRENT_USER\Control Panel\Colors\InactiveBorder
HKEY_CURRENT_USER\Control Panel\Colors\InactiveTitle
HKEY_CURRENT_USER\Control Panel\Colors\InactiveTitleText
HKEY_CURRENT_USER\Control Panel\Colors\InfoWindow
HKEY_CURRENT_USER\Control Panel\Colors\Menu
HKEY_CURRENT_USER\Control Panel\Colors\MenuBar
HKEY_CURRENT_USER\Control Panel\Colors\MenuHilight
HKEY_CURRENT_USER\Control Panel\Colors\Scrollbar
HKEY_CURRENT_USER\Control Panel\Colors\TitleText
HKEY_CURRENT_USER\Control Panel\Colors\Window
Smua nilai defaulnya dibubah menjadi “0 0 0” alias warna item legam 

Biar lancar analisanya kita harus mau tidak mau mengubah tampilan agar tidak hitam legam lagi dengan cara aktifkan dulu command promt yang didisable menggunakan tool buatan lokal punya mbak pushm0v :) the killer machine :) bisa di download di sini http://www.box.net/shared/20jlaorms4
jalankan tuh software makek perasaan :) habis itu klik repair tweak habis itu klik aja apply :) selesai selanjutnya jalankan software sederhana ini (buatan sendiri so jelek gak sah marah key :)) http://www.box.net/shared/8qyir260w4
software ini akan jalan jika anda meng-enablekan dulu command prompt menggunakan software the killer machine. Kalau anda mau menghitamkan kembali tampilan layar anda silakan gunakan software ini hehehe... http://www.box.net/shared/y3yvvr4kco

Selesai logout atau restart dulu untuk melihat hasilnya :)


Berikut tampilan awal setelah virus dijalankan :

Selanjutnya biar kita leluasa “membersihkannya” dan aku bisa nyimpen neh tulisan aktifkan dulu drive C: nya :)

Setelah registry editor enable atau kawan juga bisa menggunakan tuneup :)

Masuk ke HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

habis itu hapus atau rename atau ubah nilai key yang berembel-embel Noblablbala menjadi 0 seperti NoDispScrSavPage :)



Selanjutnya masuk ke HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun menggunakan regedit atau tetep menggunakan TuneUp Registry Editor
Dan lihat apa yang ada di sana  menakjubkan apa aja yang didisable atau dilarang ama neh pirus ada di sana
Hapus folder DisallowRun biar kita lebih leluasa :) Untuk melihat efek dari penghapusan folder DisallowRun silakan logout . Sekarang coba naek satu tingkat ke folder Explorer dan hapus atau rename key yang mengandung kata No. Ini menandakan bahwa semua yang mengandung kata No dia merestricted untuk mengaksesnya :) Misal no startMenu hehehe… biar gak nono :P

Menjadi



Lakukan hal yang sama pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer hapus semua key yang ada embel-embel key Noblaballala
Lakukan hal yang sama pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\ hapus semua key yang ada embel-embel key Noblaballala
Untuk melihat efeknya tinggal di logoff deh  Eittts ini belom selesai jangan seneng dulu  Ternyata capek juga nulis ya dah langsung ke pokonya aja biar cepet nyelesain neh pirus  dan mungkin ini juga kelemahan dari neh pirus karena mempermudah pembersihan virus  sekarang coba masuk ke C:\ udah bisa di buka kan :)

Sekarang buka file dotreg dengan nama @@ menggunakan notepad  kamu akan melihat registry apa aja yang diubah ama neh virus  dan lihat file execusi paling bawah  logo paan tuh  kayaknya neh vm suka game. Selesai  sisanya lanjutin sendiri jangan nunggu umpan terus  sekali-kali kasih umpan  Oh ya yang penting hapus dulu key di registry yang akan menjalankan generator virus selanjutnya tinggal delete tuh virus yaitu dengan nama windows.exe yang ada pada directory C:\ dan file XP@SP4.exe yang ada pada directory c:\windows\system32\
Untuk nilai registry yang akan menjalankan virus pada saat start ada di HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Dan hapus key "Service NT"="c:\\windows.exe"
serta
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
hapus key "UpGrade"="c:\\windows\\system32\\XP@SP4.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
hapus key "UpGrade"="c:\\windows\\system32\\XP@SP4.exe"
hapus key "Service NT"="c:\\windows.exe"
Oh ya biar kompie bener2 bersih dari file yang dibuat neh pirus masuk ke C:\WINDOWS\system32 dan hapus file yang bernama dell.com dan rebel.exe yang berada pada directory C:\windows. Untuk rebel.exe ini tidak jalan pada saat windows start up, mungkin hanya untuk menandakan bahwa neh virus pernah mampir ke kompie kamu .
Bagi yang terlanjut tidak ada menu All Programsnya install TuneUp habis itu langsung jalankan setelah proses instalasi selesai dan edit registry yang mendisable regedit dari sana oke 
Sisanya kerjain sendiri key biar lebih familiar dengan virus dan sampai ketemu lagi dengan tutorial virus yang lebih menantang  dengan memanfaatkan cmd sebagai registry editor 



regards

autOnuX