Welcome To REAGEN blog's

How To Handling Malware [3]

reagen — Tue, 05 Feb 2008 07:27:28 +0000

Hawdi????!!!!

heheheh moga-moga aja ga bosen-bosen neeh dengar celotehan na gw di topic yang gw buat sendiri!!!!!!….
gini cerita kali ini………
pasti rekan-rekan sekalian pernah nemuin kasus dimana ada file-file yang ber-ekstensi kan .EXE dan ber-Icon FOLDER….. yang mana ANTIVIRUS membaca na sebagai :

W32/wbworm.mxs
w32/lightmoon.gen5
w32/vbworm.mxd
w32/vbworm.mxr
w32/malware.bhkq

nah virus ini mempunyai gejala dimana setiap PC dalam keadaan aktif akan selalu menjalan pertahanan pada:

C:\windows\jpv2w5k\oro86s6l.com

ato juga file tersebut akan menjalan file-file yang berada pada:

C:\windows\jpv2w5k

ato lain na seperti:

services.exe
smss.exe
system.exe
winlogon.exe
lsass.exe

puji TUHAN untuk semua AV updatean terbaru sudah dapat mendeteksi varian tersebut……
nah namun akan menjadi MISSPOSTING jika gw ga beri manualisasi na didalam topic ini…..
lo pade bisa bikin lagi sebuah file BALIKIN.inf dengan source na kira-kira seperti ini:

[Version]
Signature=”$Chicago$”
Provider=yooogy
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Classes\exefile,,,application
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecentDocsMenu
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoViewContextMenu
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ShowSuperHidden
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistryEditor.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoPrinters
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoThemesTab
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispAppearancePage
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispScrSavPage
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispSettingsPage
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,ClassicShell
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoThemesTab
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoInstrumentation
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoPrinters
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSMHelp
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoStartMenuMorePrograms
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoThemesTabNoThemesTab
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoUserNameInStartMenu
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideClock
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideClock
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispAppearancePage
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispSettingsPage
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,ClassicShell
HKLM,SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM,SOFTWARE\Policies\Microsoft\Windows\Installer,LimitSystemRestoreCheckpointing
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDiskCpl
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp, Disabled
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSaveSettings
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoControlPanel

setelah jadi lo hanya perlu klik kanan pada file BALIKIN.inf lalu klik INSTALL

reagen — Tue, 05 Feb 2008 07:22:21 +0000

antivirus MC.AFFE gw pernah ngedetec sebuah VIRUS namun tidak dapat di delete ato di clean…..sedangkan Proccess XP dah gw pake namun alhasil na = NULL…data sebagai berikut:

Filename : C:\windows\system32\cnpmmn.dll
Malware : Win32:Agent-OUX [Trj]
Malwaretype : Trojan Horse

atas bantuan beberapa teman gw akhir na gw nemu cara na

gw pake aja KILLBOX lalu gw masukin file yang akan dihapus

C:\windows\system32\cnpmmn.dll.

trus saya pilih di delete setelah restart….
alhasil na file tersebut sudah terdelete sebelum masuk ke dalam system windows………….

Mudah-mudahan aja membantu buat teman-teman semua yang tidak sengaja menemukan kasus yang serupa ma kasus GW

How To Handling Malware [2]

reagen — Tue, 05 Feb 2008 07:16:17 +0000

ups gw balik lagi…..
crita na skarang gw ketemu virus yang super gila…..cerita nah dia dah matikan semua extensi file yang berhubungan dengan mengganggunnya proses hidup VIRUS tersebut [.BAT, .INF,etc]……..
cara kerja nya simple aja mereka matiin dos,notepad,regedit,msconfig,MS.Word,etc……..cara matiin na virus tersebut hanya meng-FORWARD program-program diatas ke program laen seperti SOLITAIRE,WINAMP,etc [tergantung kemauan si maker VIRI na]
otomatis file BALIKIN.INF yang gw bikin ga bisa di buka donk!!!!nah disini gw mulai berkreasi lagi….. selaen PROCCESSXP gw pake juga tools pengganti REGEDIT nama na RegAlizer
tapi proses penginstalan tools ini gw lakukan di SAFE MODE….gimana masuk na?[dah ada di awal topic ini brur!!!!]
nah setelah terinstall gw masuk ke dalam KEY ini:

HKEY_CLASSES_ROOT\inffile\shell\Install\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command

trus settingan default di dalam key tersebut gw ganti dengan:

C:\Windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

klo SO ente menggunakan WINDOWS NT/2000/2003 ente ganti dengan:

C:\Winnt\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

nah sampe disini berarti file BALIKIN.inf gw dah berfungsi…..so gw udah lakukan sedikit modifikasi source BALIKIN.inf, kira-kira gini bentuk source na:

trus gw klik kanan di BALIKIN.INF n klik INSTALL
lalu gw restart tuh PC…..nah sampe disini gw blom puas soal ne so pasti ada file yang dah ke Infeksi disembunyiin…
gw masuk ke DOS [RUN-CMD] trus gw ketik:

attrib -s -h /s /d

n gw cek setiap drive yang ada file autorun.exe na gw delete

oh iya gw lupa…..sebelum melakukan proses install RegAlizer gw pake PROCCESSXP buat nge-KILL file wscript.exe yang aktif di memory!!!

soo……untuk sementara gw rasa PC gw agak sedikit aman!!!!!!

How To Handling Malware [1]

reagen — Tue, 05 Feb 2008 07:01:51 +0000

gw puna cara yang agak sedikit membosankan, berawal saat gw kena sebuah virus yang mematikan sistem restore dan save mode

1. gw download ProcessXP untuk mematikan semua proses virus seperti:
- smss.exe
- services.exe
- winlogon.exe
biar ga salah ngapus proses gw cari yang bericon FOLDER trus gw kill
2. gw restart komputer, trus gw masuk ke “safe mode with command prompt”, dengan cara menekan tombol [F8] ketika komputer restart, hal ini dimaksudkan agar virus tidak aktif pada posisi ”safe mode” dan komputer tidak melakukan restart selama proses pembersihan.

3. Setelah masuk mode ”Command Prompt” gw tekan tombol [CTRL] + [ALT] + [Del] secara bersamaan, kemudian gw pilih [Task Manager], setelah layar Task Manager muncul, gw klik menu [File] pilih [New Task (Run..), kemudian gw ketik [explorer] pada jendela [create new task file] setelah itu gw klik enter.
Kemudian akan muncul layar desktop (layaknya masuk ke mode “safe mode”)
nah sampe proses ini aja gw dah bahagia banget soalna gw udah berhasil masuk mode SAFE MODE…..
but bukan disini perjuangan gw….tentu na semua file/folder masih ter hidden…..ya udah gw u restart PC n ulangi proses awal tadi trus gw tampilkan semua file/folder yang terhidden di folder option biar gw gampang melakukan manualisasi gw bikin file sendiri pake NOTEPAD dengan nama Balikin.inf yang kira-kira source seperti ini:

nah setelah itu pada file Balikin.inf gw klik kanan n then gw klik INSTALL

Bimsalabim gw dah bisa masuk ke REGEDIT, MSCONFIG, GPEDIT, CMD,etc……

disini lah pekerjaan membosankan coz gw kudu masuk satu persatu ke dalam setiap key yang kira-kira emang di serang sama si VIRUS na!!!!

pertama-tama banget gw masuk kedalam key

HKCU, Software\Microsoft\Windows\CurrentVersion\Run HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run
soal na disini neeh biasa nah Virus dapat bertahan hidup….gw liat key/value yang aneh-aneh trus gw delete…..

sampe disini aja gw masih ragu so gw masuk kedalam

C:\Windows C:\windows\system32

C:\windows\ShellNew

C:\Documents and Settings\%user%\Local Settings\Application Data

trus gw liat ada ga seeh yang ter hidden disitu dengan nama yang rada aneh!!!!! if visible.true then delete…….ixixiixixixix kira-kira geto bahasa dalam VB [hasil ngintip share di topic sebelah hehehhehehehhe]

sampe disini gw rasa udah beres namun untuk lebih mantab gw edit file AUTOEXEC.bat di [path]C:
gw hapus tuh command pause

trus satu hal lagi yang gw mesti lakukan adalah proses TAsk Schedule, coz tiap virus memiliki jadwal yang beda-beda!!!so gw masuk ke scheduled tasks lewat START-SETTING-CONTROL PANNEL
lalu gw delete semua scheduled yang di buat oleh virus tersebut!!!!!

taraaaaaaaaatttt……untuk sementar gw SAVE dari marah bahaya virus itu!!!!hehehheheheheh

Welcome

reagen — Tue, 05 Feb 2008 04:57:52 +0000

Selamat datang di blog nya saya…

Oleh karena saya merupakan salah satu orang dari sekian banyak orang yang menyukai dunia teknik informasi, maka dalam blog ini kebanyakan berisi tentang seluk beluk dunia teknik informasi….

Tetapi sebagai seorang manusia juga, bukan berarti saya hanya monoton pada satu bidang saja….di sini saya juga menulis tentang sisi-sisi kehidupan manusia……

Mudah-mudahan saja blog ini dapat berguna bagi sahabat blogger/netter sekalean!!!!

BRAVO