Sabtu, 26 Februari 2011

Eksekusi Virus Cantix

Dalam Tutorial kali ini HxHacker akan membahas tentang Eksekusi Virus Cantix. Seperti yang diketahui sebelumnya, Virus ini tidak bisa dihapus secara langsung dan akan membuat Shortcut dengan sendirinya. Virus ini juga akan membawa anda ke situs bendot.co.nr. Berikut adalah cara Eksekusi Virus tersebut:

1. Putuskan Koneksi Jaringan di komputer (baik Koneksi LAN dan juga Internet).

2. Nonaktifkan/Matikan System Restore selama proses Eksekusi/Pembersihan.

3. Matikan Proses WSCRIPT.exe di Task Manager.

4. Untuk Menghapus File yang virus buat di Registry, Copy dan Paste skript Berikut di Notepad:
------------------------------Skript------------------------------
[Version]
Signature="$Chicago$"

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, Software\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Df5serv
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Svchost
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Explorer
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistrytools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, WarningIfNotDefault
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, WinUpdate
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
HKCU, Software\Microsoft\Internet Explorer\Main,Start Page

---------------------------akhir skript---------------------------

Pada Notepad pilih "File" lalu klik "Save as", lalu ubah save as type menjadi "all files", simpan dengan format ".inf", misal Hx.inf, lalu klik kanan pada file tersebut, pilih "install".


5. Buka Explorer.exe, lalu klik menu "Tools>Folder>Options>View" lalu aktifkan opsi "Show hidden and folders" dan nonaktifkan opsi "Hide ProtectedOperating System files (Recommended)".

6. Gunakan "Software Restriction Policies"untuk memblokir file induk virus. Caranya adalah, Jalankan "secpol.msc" pada menu "Run" yang terletak di Tombol "Start". Pada Jendela "Local Security Settings", klik kanan "Software Restriction Policies", klik "Create new policies", lalu klik kanan pada "Additional Rules", dan Klik "New Hash Rule...". Pada kolom "File hash", klik tombol "browse" kemudian cari file "desktop.ini", lalu klik file tersebut yang mempunyai ukuran 16 KB. Pada kolom "Security Level" pilih "Disallowed".

7. Hapus file berikut:

# C:\Windows\Microsoft Office Update for Windows XP.sys
# C:\Documents and Settings\%user%\My Documents\df5srvc.bfe

# C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\desktop.ini

# C:\WINDOWS\system32\serviks.sys
# C:\WINDOWS\svchost.exe

# C:\WINDOWS\task\autorun.inf

# C:\WINDOWS\task\desktop.ini

# C:\WINDOWS\task\Folder.ink

# C:\WINDOWS\system32\auto.exe

# C:\WINDOWS\system32\rad%xx%.tmp


Untuk Tanda Persen (%%) (contoh : rad72C8D.tmp)

8. Hapus file bernama "autorun.inf" dengan ukuran 1 KB dan "desktop.ini" dengan ukuran 16 KB.

9. Salin file MSVBVM60.dll dari komputer lain dengan Oprating System (OS) yang sama dan belum terinfeksi virus tersebut, kemudian simpan ke direktori "C:\WINDOWS\system 32".

____________________________________________________________________



Zeke hack {Trickster}

0 komentar:

Poskan Komentar