Kamis, 28 Agustus 2008

Spyware yang mengaku sebagai Antivirus 2008

Belakangan ini saya sering kali ditanya oleh beberapa teman-teman saya yang mengeluhkan soal kompi dan laptopnya yang katanya "kena virus" atau program malware


Iseng-iseng liat dan coba tanya peyebabnya, ternyata kasusnya dia mendownload sebuah file (entah itu file apa) yang sebenernya ikutlah ini spyware, tanda-tandanya selalu muncul pop up dan terinstall dengan sendirinya antivirus 2008 dan program pendukungnya, beberapa fungsi windows pun turut dimatikan, seperti task manager dan berubahnya lambang AM/PM di time pojok bawah dengan kata VIRUS ALERT !!, gangguan lain adalah hilangnya All Program pada Start Menu biasa tetapi pada menu start classic All Program masih ada.
Spyware yang mengaku sebagai antivirus 2008 ini akan scan secara langsung tanpa diminta dan apabila terhubung internet akan bermunculan file-file hasil scan yang seolah-olah memang ada virus atau trojan atau malware lainnya dikomputer tsb. Ujung-ujungnya ini spyware minta di registered dengan mentransfer ke rekening yang diminta.
But hati-hati ini kepancing banyak yang malah credit card-nya di jebol oleh "sicreator" ini spyware.
Buat temen-temen yang emang mengalami kasus yang sama, tenang aja coba ikuti beberapa langkah berikut ini:

1. Matikan untuk sementara System Restore, klik kanan-properties My computer, system Restore-Turn Off System Restore On All Drives, Ok
2. Cari dan hapus file induk dan pendukungnya.
(Start-search-File or Folder-All Files and Folder
, pada More Advanced option, ceklist search hidden files and folder, file-file nya adalah :
- AntiVirus2008.exe
- shlwapi.dll
- wininet.dll
- Antivirus 2008.lnk

3. Uninstall Antivirus 2008.lnk
Start-Run, regedit, lalu hapus link berikut ini
HKEY_USERS\Software\antivirus 2008

4. Repair registry yang telah dirubah oleh spyware, copy script dibawah ini dan paste di notepad dengan nama apa saja dengan extensi inf, contoh simpan dengan nama repaire.inf, berikut scriptnya :

[Version]
Signature="$Chicago$"
Provider=Vaksincom


[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del


[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0,
HKLM, SOFTWARE\Classes\exefile,,,Application
HKLM, SOFTWARE\Classes\htmlfile,,,HTML Document
HKLM, SOFTWARE\Classes\Jpegfile,,,Jpeg Image
HKLM, SOFTWARE\Classes\Directory,,,File Folder
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKCU, Control Panel\International,s1159,0, AM
HKCU, Control Panel\International,s2359,0, PM
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, "group"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MsPatch
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDispCpl
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowSearch
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Start_ShowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoDrives
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer,NoRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Mspatch
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText
HKU, Software\antivirus 2008
HKLM, SOFTWARE\Antivirus
HKCU, Software\Antivirus
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce\3P_UDEC
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce "3P_UDEC"
HKCU, Microsoft\Code Store Database\Distribution Units\3BA4271E-5C1E-48E2-B432-D8BF420DD31D
HKCU, Software\Microsoft\Windows\CurrentVersion\Run "Antivirus"

jalankan file tersebut dengan cara klik kanan file, klik install

NB:
Untuk Unregister file dll, gunakan program hijakthis, scan dan save lognya,
pada file lognya akan terdapat file dll, yang dicurigai sebagai file dll antivirus2008, copy pathnya, lalu masuk ke dos (start-Run-cmd)
ketik cd (paste path yang dari log hijackthis tanpa tanda kurung)

contoh: cd c:\Program Files\Installshield\Driver\7\Intel [enter]

setelah masuk ketik regsvr32 /u [dll_name]

contoh : regsvr32 /u Iscript7.dll [enter]

jika ada masalah cara mengenbalikannya tanpa tanda /u

contoh : regsvr32 Iscript7.dll

Hapus juga direktori berikut, ketik di run
rmdir /s c:\ProgramFiles\ANTIVIRUS 2008

Semoga Berhasil...,

Diposting oleh Faisal Malmsteen di 10.02

Label:

Anonim mengatakan...

sebagai acuan ternyata situs vaksin.com telah mengeluarkan artikelnya tentang hal ini, dan bisa dilihat di http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html

29 Agustus 2008 pukul 23.42  
Anonim mengatakan...

terima kasih tipsnya. komputer saya juga kena spyware ini.

31 Agustus 2008 pukul 03.34  
Faisal Malmsteen mengatakan...

Sama sama Mas Arkhan, mudah2an kompi-nya bisa normal kembali, Terima Kasih

31 Agustus 2008 pukul 03.48  
Langganan: Posting Komentar (Atom)
Template by - Abdul Munir | Daya Earth Blogger Template