AMAZON

Tuesday, March 17, 2009

How To remove MTX Virus

VIRUS COMPUTER
HOW TO REMOVE MTX VIRUS
Dear all, today i made some experiments with mtx virus...I found this virus is very
dangerous virus.. this is a new type of worm and trojan combination found on aug 2k.
Once you infected, no antivirus can remove in windows mode, mtx virus infected
windows components like wsock32.dll, explorer.exe , run32dll.exe that cannot deleted,
remove or rename in windows mode.
W95.MTX has a virus component and a worm component. It propagate using email. Also
it infects some Win32 executables in specific directories.The virus also has the capability
to block access to certain web sites. This may prevent users from downloading new virus
definitions.
The best way how to remove mtx, is use rescue disk of antivirus ( you must have
antivirus software like avp, nav, or mcafee ), then scan your hardisk in dos mode.... it's
need 3 up to 5 hours depend on your hardisk volume and usages.
If you don't have antivirus updated at least from october 2k , you can try this article from
symantec
http://www.symantec.com/avcenter/venc/data/w95.mtx.html
I suggest you to try both of way.. use rescue disk ( you will need 5 diskettes ) and manual
removal, to check whether your antivirus already clean up all the files or not, hope will
help
note : for your safety, please don't ever open attachment contain one of those files :
I_wanna_see_you.txt.pif
Matrix_screen_saver.scr
Love_letter_for_you.txt.pif
New_playboy_screen_saver.scr
Bill_gates_piece.jpg.pif
Tiazinha.jpg.pif
Feiticeira_nua.jpg.pif
Geocities_free_sites.txt.pif
New_napster_site.txt.pif
Metallica_song.mp3.pif
Anti_cih.exe
Internet_security_forum.doc.pif
Alanis_screen_saver.scr
Reader_digest_letter.txt.pif
Win_$100_now.doc.pif
Is_linux_good_enough!.txt.pif
Qi_test.exe
Avp_updates.exe
Seicho_no_ie.exe
You_are_fat!.txt.pif
Free_xxx_sites.txt.pif
I_am_sorry.doc.pif
Me_nude.avi.pif
Sorry_about_yesterday.doc.pif
Protect_your_credit.html.pif
Jimi_hendrix.mp3.pif
Hanson.scr
F___ing_with_dogs.scr
Matrix_2_is_out.scr
Zipped_files.exe
Blink_182.mp3.pif
withlove - sophie
W32 / NAVIDAD (Worm Virus)
W32/Navidad@M is an Internet worm that spreads using the Windows email program
Outlook. McAfee AVERT has given it a risk assessment of MEDIUM-ON WATCH, due
to a significant increase in infection levels worldwide.
The email can come from addresses that you will recognize. Attached is a file named
NAVIDAD.EXE and when it is run, it displays a dialog box entitled, "Error" which reads
"UI". A blue eye icon then appears in the system tray next to the clock in the lower right
corner of the screen, and a copy of the worm is saved to the file "winsvrc.vxd" in the
WINDOWS SYSTEM directory. If your PC becomes infected with the
W32/Navidad@M worm, all subsequent emails addressed to you will be responded to
automatically with an email from your address with the W32/Navidad@M worm as an
attachment.
What the tool does :
After running the W32.Navidad Fix Tool, you will be able to launch programs just as
your were able before W32.Navidad infected your computer.
The value Win32BaseServiceMOD is removed from the following registry key :
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* HKEY_USERS\DEFAULT\Software\Navidad on Windows 95 and Windows 98
systems or HKEY_CURRENT_USER\Software\Navidad on Windows NT and Windows
2000 systems.
* The value of
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\exefile\shell\open\command is
restored to "%1" %*" on Windows 95 and Windows 98 systems or The value of
HKEY_CLASSES_ROOT\exefile\shell\open\command is restored to "%1" %*" on
windows NT and Windows 2000 systems.
* The file winsvrc.vxd is removed from the Windows system directory.
To verify the digital signature of fixnavid.com using chktrust.exe. Download Chktrust
into the same folder where fixnavid.com is located. Launch the MS-DOS prompt via the
Start/Programs/MS DOS prompt menu. Change to the folder where fixnavid.com and
chktrust.exe are stored. If the files were saved to the desktop folder on a system running
Windows 95 or Windows 98 the customary command to enter in the MS DOS prompt is:
cd \windows\desktop
Type the following command to check the digital signature of fixnavid.com: chktrust -i
fixnavid.com. If the digital signature is valid you will see a dialog asking the following
question: "Do you want to install and run "navidadfix" signed on 11/11/00 2:10PM and
distributed by Symantec Corporation."
The date and time that are displayed in this dialog will be adjusted to your timezone if
your computer is not set to the Pacific time zone. For example, if you live in the Eastern
time zone the date and time you will see will be 11/11/00 5:10PM. If you have the
Daylight Savings feature activated on your computer's clock, the time displayed will be
exactly one hour earlier.
You might also see the text message "Result:0" displayed following the command line. If
you do, then the test is positive and the file is confirmed as being from Symantec. If this
dialog or text message do not appear or the date and time are not properly adjusted for
your timezone do not use your copy of fixnavid.com. It is not from Symantec. If this
dialog appears and the text is correct for your timezone this copy of fixnavid.com is from
Symantec. Click the "Yes" button to dismiss the chktrust dialog. Type exit and then press
the enter key. This will terminate the MS DOS session.
MCAFEE VIRUSSCAN USERS (notes on detection and removal using McAfee
VirusScan): McAfee VirusScan 4.1.00 and above with DAT file 4105 and higher will
detect and remove W32/Navidad @M.
* Detection and Removal instructions.
* ActiveShield installed and/or updated, if you are not protected from infection from this
worm.
* Instant Protection If you are not a subscriber to the McAfee.com Clinic.
* Complete Instructions on removal and repair.
* Help Center for going to the W32/Navidad @M.
* VirusScan Online become a McAfee.com Clinic subscriber and check your system
online.
* Purchase the latest copy of VirusScan.
* Upgrade to the latest VirusScan. Purchase the VirusScan Maintenance Plan which
entitles you to 12 months of upgrades.
* Download the latest DAT files.
* Find out how to detect and prevent viruses with these handy tips.
JUNE 1st VIRUS WARNING DECLARED A HOAX
Are you worried about all of your files being deleted if you don't take action fast?
Supposedly, a little known file found on most Windows PCs can do some serious damage
if you don't delete it. According to the latest virus hoax, you need to delete a file in
Windows before June 1st or all of your files will be deleted. Well, before you start
panicking, find out what Dr. D. Bunk has to say about SULFNBK.EXE.
A new virus, (W32/SirCam@MM) has made an appearance. This virus sends itself to
everyone in your address book "and" reads from your CACHE folder for mailto address
and sends to thes as well. Everyone should do a scan of their system to see if it's on your
computer. Many of you will find it is. It's a bit of a pain to get rid of but it can be done.
Two things all Internet users can/should do to help prevent the spead of these viruses are:
1: Do Not select the option in Outlook/Outlook Express to automatically add senders to
your adress book. If you have this option selected, go into your option folder and disable
it.
2: If you use an auto-responder, you should always have virus protection in place. If you
don't, then you will be sending this virus to everyone you reply to.
For more information on this virus, it's characteristics and how to kill it, please visit:
http://vil.nai.com/vil/virusSummary.asp?virus_k=99141
WARNING No.1
Do not open Snow-white and the Seven Dwarfs, it is the Hybris virus which is a worm
and will destroy all of your files and sends itself to everyone in your address book. It is
being sent by HAHAHA@sexyfun.net and is sent as attachment, an executable file.
WARNING No. 2
If you receive any CELCOM Screen Saver, please do not install it! This screen saver is
very cool. It shows a NOKIA hand phone, with time messages. After it is activated, the
PC cannot boot up at all. It goes very slowly. It destroys your hard disk. The Filename is
CELLSAVER.EXE
WARNING No. 3
Beware! If someone named SandMan asks you to check out his page. DO NOT! It is at
http://www.geocities/. This page hacks into your C:/drive. DO NOT GO
THERE...FORWARD THIS MAIL TO EVERYONE YOU KNOW.
WARNING No. 4
If you get a E-mail titled "Win A Holiday" DO NOT open it. Delete it immediately.
Microsoft just announced it yesterday. It is a malicious virus that WILL ERASE YOUR
HARD DRIVE. At this time there is no remedy.
MENGENAL VIRUS KOMPUTER
Cara Virus Komputer Bekerja
Virus komputer: Sebuah kode komputer yang mampu "berbiak dengan sendirinya" yang
menempelkan sebagian atau seluruh kodenya pada file atau aplikasi, dan mengakibatkan
komputer Anda melakukan hal-hal yang tidak Anda inginkan.
Virus-virus komputer merupakan penyakit umum dalam dunia teknologi modern. Mereka
dapat menyebar dengan cepat melalui jaringan komputer yang terbuka seperti Internet,
dan mengakibatkan kerugian hingga milyaran dolar dalam waktu singkat. Lima tahun
yang lalu, peluang untuk terjangkiti sebuah virus dalam periode 12 bulan adalah 1
berbanding 1000; sekarang perbandingan itu naik drastis hingga 1 berbanding 10.
Statistik vital dari virus:
· Virus-virus masuk ke dalam sistem Anda melalui e-mail, download, floppy disk yang
terinfeksi, atau (kadang-kadang) oleh hacking.
· Dari definisinya, sebuah virus harus dapat melakukan "pembiakan sendiri" (alias
membuat kloning atau salinan dari dirinya sendiri) untuk dapat menyebar.
· Saat ini terdapat ribuan jenis virus, tetapi hanya sedikit yang ditemukan "di belantara"
(berkeliaran, tak terdeteksi, di dalam jaringan) karena sebagian besar dari virus yang
dikenal lahir dari laboratorium, yang merupakan varian dari virus "liar" yang banyak
terdapat di dunia.
· Akibat yang ditimbulkan virus bervariasi, mulai dari yang menjengkelkan hingga yang
sangat merusak, akan tetapi virus yang paling sederhana pun memiliki kecenderungan
untuk merusak karena adanya bug pada kode komputer mereka (karena programmer
virusnya sangat ceroboh atau memang punya niat jahat).
· Software antivirus yang ada di pasaran saat ini dapat mendeteksi hampir semua jenis
virus yang ada, tetapi harus diupdate secara reguler untuk menjaga keefektifannya.
Sebuah virus hanyalah sebuah program komputer. Seperti program komputer lainnya, di
dalamnya terdapat instruksi yang dapat menyuruh komputer untuk melakukan tugas
tertentu. Tetapi berbeda dengan program aplikasi, sebuah virus biasanya memerintahkan
komputer Anda untuk melakukan hal yang sebenarnya tidak Anda inginkan, dan biasanya
dapat menyebarkan dirinya ke file-file yang ada di dalam komputer Anda--dan kadangkadang
ke komputer orang lain juga.
Bila Anda beruntung, sebuah virus paling-paling hanya menyebabkan komputer untuk
melakukan tindakan yang aneh-aneh, seperti menyebabkan speaker komputer Anda
berbunyi "blip-blip-blip" secara acak. Yang paling ditakuti adalah virus ganas yang dapat
menyebabkan seluruh data pada harddisk Anda hilang (dengan memerintah komputer
untuk memformat harddisk), bahkan ada virus yang dapat merusak hardware komputer
Anda, seperti virus CIH yang merusakkan BIOS motherboard komputer Anda.
Bagaimana Komputer Saya Dapat Terkena Virus?
Komputer Anda dapat terinfeksi virus saat Anda menyalin sebuah file yang terinfeks ke
dalam komputer, kemudian mengaktifkan kode dari tubuhnya saat file yang terinfeksi
tersebut dijalankan atau dibuka. Mungkin Anda tidak merasa menyalinkan file terinfeksi
ke dalam komputer Anda: Hei, virus tidak peduli apakah mereka menempel pada
attachment e-mail, saat Anda tengah mendownload file, atau melalui floppy disk yang
sering dipinjam-pinjamkan. Dan saat ini, dengan meningkatnya pemakai Internet, trend
penyebaran virus adalah melalui attachment e-mail.
Pada saat Anda membuka file atau aplikasi yang terinfeksi, kode perusak menyalin
dirinya sendiri ke dalam sebuah file pada sistem Anda, kemudian menunggu untuk
mengirimkan isinya--apapun itu yang dirancang si programmer untuk dilakukan pada
komputer orang lain. Dengan hanya menghapus e-mail yang terinfeksi setelah Anda
membuka file attachment-nya tidak akan menolong, karena virus tersebut telah merasuk
ke dalam sistem komputer Anda sebelumnya.
Seorang penulis virus dapat mengeset waktu penyerangan virusnya, saat itu juga, pada
waktu atau tanggal tertentu, atau pada saat suatu perintah tertentu dijalankan, misalnya
sewaktu Anda memerintahkan menyimpan atau menutup sebuah file. Contoh: virus
Michaelangelo yang diprogram untuk melepas kode perusaknya setiap tanggal 6 Maret
setiap tahunnya--yang merupakan tanggal ulang tahun
Jenis-jenis Virus Umum
Saat ini banyak jenis variasi virus yang beredar, kebanyakan diantaranya dapat
dikelompokkan menjadi enam kategori umum, dimana tiap jenis sedikit berbeda cara
kerjanya:
· Virus boot-sector: menggantikan atau memasukkan dirinya ke dalam boot-sector--
sebuah area pada hard drive (atau jenis disk lainnya) yang akan diakses pertama kali saat
komputer dinyalakan. Virus jenis ini dapat menghalangi komputer Anda untuk melakukan
booting dari hard disk.
· Virus file: menginfeksi aplikasi. Virus ini melakukan eksekusi untuk menyebarkan
dirinya pada aplikasi dan dokumen yang terkait dengannya saat file yang terinfeksi
dibuka atau dijalankan.
· Virus makro: ditulis dengan menggunakan bahasa pemrograman makro yang
disederhanakan, dan menginfeksi aplikasi Microsoft Office, seperti Word dan Excel, dan
saat ini diperkirakan 75 persen dari jenis virus ini telah tersebar di dunia. Sebuah
dokumen yang terinfeksi oleh virus makro secara umum akan memodifikasi perintah
yang telah ada dan banyak digunakan (seperti perintah "Save") untuk memicu penyebaran
dirinya saat perintah tersebut dijalankan.
· Virus multipartite: menginfeksi baik file dan boot-sector--sebuah penjahat berkedok
ganda yang dapat menginfeksikan sistem Anda terus menerus sebelum ditangkap oleh
scanner antivirus.
· Virus polymorphic: akan mengubah kode dirinya saat dilewatkan pada mesin yang
berbeda; secara teoritis virus jenis ini lebih susah untuk dapat dideteksi oleh scanner
antivirus, tetapi dalam kenyataannya virus jenis ini tidak ditulis dengan baik, sehingga
mudah untuk diketahui keberadaannya.
· Virus stealth: menyembunyikan dirinya dengan membuat file yang terinfeksi tampak
tidak terinfeksi, tetapi virus jenis ini jarang mampu menghadapi scanner antivirus terbaru.
Semua Kode Jahat (Malicious Code) Bukanlah Virus
Salah satu persepsi keliru dalam masyarakat komputer adalah kode elektronik buruk
lainnya, seperti worm dan aplikasi Trojan horse adalah jenis virus. Mereka bukan virus.
Worm, Trojan horse, dan virus dalam kategori yang besar biasa disebut analis sebagai
"kode jahat".
Sebuah worm akan mereplikasi dirinya dan masuk ke dalam koneksi jaringan untuk
menginfeksi setiap mesin pada jaringan tersebut dan kemudian mereplikasi dirinya
kembali, mengambil ruang hard disk dan memperlambat kerja komputer dan jaringan.
Walau begitu, worm tidak mengubah atau menghapus file-file lainnya.
Sebuah Trojan horse tidak mereplikasi dirinya, tetapi ia berupa sebuah program jahat
yang disamarkan sebagai format lain seperti sebuah screen saver atau file gambar. Saat
dieksekusi pada mesin Anda, sebuah Trojan horse akan mengambil informasi dari sistem
Anda--seperti nama user dan passwordnya--atau dapat membuat seorang hacker jahat
mengambil alih komputer Anda secara remote (dari jarak jauh).
Software Antivirus Menjawab Panggilan Darurat
Para ahli virus telah mendata sekitar 40.000 jenis virus dan variannya selama bertahuntahun,
walau hanya 200 jenis saja yang saat ini aktif di belantara komputer. Sementara
kebanyakan virus lebih banyak hanya mengganggu dan menghabiskan waktu kita, dari
jenis yang sangat merusaklah yang sangat berbahaya bagi kesehatan [komputer dan
kantung Anda].
Virus komputer telah ada sejak tahun 1960, sejak dimulainya era komputer, walau hingga
kisaran tahun 1980 mereka kebanyakan hanya spesimen di laboratorium komputer,
diciptakan oleh periset dan dilepas dalam lingkungan yang terkontrol untuk mengevaluasi
efek mereka.
Saat virus pertama kali ditemukan di permukaan pada tahun 1980-an, penyebaran mereka
sangat lambat dan berpindah melalui "jaringan penyelundup": melalui floppy disk yang
dijual dan dibagi pakai antar komputer. Tetapi dengan adanya Internet dan akses e-mail
penyebaran virus semakin dipercepat.
Dua tahun yang lalu, dimulai dengan munculnya virus Melissa LoveLetter, penyebaran
virus lewat e-mail terus meningkat sehingga perbandingan pengguna komputer biasa
menghadapi virus pun semakin membesar. Virus e-mail sekarang menempati tempat
teratas dimana ia mengambil porsi 81 persen penyebab komputer terinfeksi virus dan
dapat menyebar ke dalam sistem dalam hitungan menit.
Berlatih Menggunakan Komputer Secara Aman
Jalan terbaik untuk melindungi diri [eh, komputer] Anda dari virus adalah jika Anda
memiliki koneksi ke Internet, jangan membuka attachment e-mail dari orang yang tidak
dikenal dan hindari mendownload dari sumber yang tidak jelas. Lawan keinginan Anda
untuk mengklik-dobel isi mailbox Anda. Dan bila Anda mendapat sebuah attachment file
dan Anda tidak memintanya, tanyakan pada si pengirim tentang isi attachment dan
bagaimana cara menggunakannya tersebut sebelum dibuka.
Untuk memperketat keamanan, Anda perlu menginstall software scanning antivirus yang
handal dan selalu mendownload updatenya secara teratur. Vendor software antivirus
besar, seperti Symantec, Network Associates, Computer Associates, dan Kapersky Lab,
menyediakan layanan update reguler (sebagai catatan Computer Associates InoculateIT
merupakan software antivirus yang gratis). Beberapa vendor juga menawarkan layanan
update reguler melalui situs Web perusahaan mereka.
Update secara reguler sangat penting. Para periset dari Computer Economics
memperkirakan bahwa 30 persen dari usaha kecil sangat rentan terhadap bahaya virus
dan itu dikarenakan mereka tidak mengupdate software antivirus mereka secara teratur
atau mereka tidak menginstalasikannya secara benar.
Cara Kerja Software Antivirus
Software antivirus memindai isi harddisk komputer dengan dua cara. Bila terdapat virus
yang dikenal (yaitu virus yang telah diketahui keberadaannya dan penangkalnya telah
ditemukan) maka software tersebut akan mencari signature (tanda) virus--yaitu sebuah
string unik pada byte program virus yang mengidentifikasikan virus tersebut seperti
sebuah sidik jari--dan akan membuangnya dari sistem Anda. Kebanyakan software
scanning tidak hanya mencari virus jenis awal saja, tetapi juga dapat mencari varian virus
tersebut, karena kode signature virus tersebut biasanya serupa.
Dalam kasus virus baru yang belum ditemukan antidote-nya, software antivirus akan
menjalankan program heuristic yang akan mencari aktivitas mirip virus pada sistem
Anda. Bila program tersebut melihat ada gejala tak beres, ia akan mengkarantinakan
program yang bermasalah tersebut dan akan menampilkan pesan peringatan pada Anda
mengenai apa yang akan dilakukan oleh program tersebut (misalnya mengubah registry
Windows Anda). Bila Anda dan software merasa bahwa program tersebut adalah virus,
Anda dapat mengirimkan file yang telah terkarantina tersebut pada vendor software
antivirus untuk dianalisa, menentukan signaturenya, menamainya dan memasukkannya
ke dalam katalog, dan mengirimkan antidote-nya. Virus itu sekarang merupakan virus
yang dikenal.
Bila virus tersebut tidak muncul lagi--hal tersebut sering terjadi karena virus tidak ditulis
dengan baik untuk disebarkan--vendor akan mengkategorikan virus itu sebagai dormant
(virus tidur). Tetapi sebagian virus menyebar seperti gempa: Penyebaran awalnya selalu
disertai dengan kejadian susulan. Varian virus (virus jiplakan yang muncul setelah
penyebaran virus pertama) akan menambah jumlah jenis virus yang ada.
Contoh adalah saat virus Melissa LoveLetter muncul di Amerika Serikat, variannya--
VeryFunnyJoke--langsung muncul dalam beberapa saat, diikuti dengan lebih dari 30 jenis
lainnya dalam dua bulan kemudian. Dan tidak semua varian berasal dari penulis program
yang misterius. Beberapa perusahaan pernah terinfeksi oleh varian virus yang disebarkan
oleh pegawainya sendiri yang penuh rasa ingin tahu terhadap virus yang mereka yang
terima, menciptakan variannya, dan melepaskannya dalam sistem komputer perusahaan
mereka--kadang secara tidak sengaja, kadang memang ingin melakukannya.
LANGKAH MENGATASI VIRUS KOK
Nama virus : WScript/kok.worm.bat Masih ingat virus Bubble Boy ?Virus itu
memunculkan trend baru tentang adanya virus e-mail.Tidak seperti virus Happy99.exe
dan PrettyPark.exe yang berbentuk attachment pada e-mail. Virus Bubbleboy dan virus
Kok ini merupakan virus yang berada dalam mail yang terinfeksi. Jadi penerima mail tak
perlu menjalankan file attachment, tetapi cukup dengan membaca mail tersebut,
terinfeksilah PCnya dengan virus e-mail generasi terbaru.
Pada tanggal 11 Februari 2000, sewaktu saya membuka PC saya, program antivirus
McAfee saya memberi message seperti ini :
C:\Autoexec.bat
Found the WScript/kok.worm.bat
Virus apa pula ini ? Kenapa PC saya (berbasiskan Windows '98) bisa terinfeksi virus ini ?
Darimana asal muasal virus ini ? Koq tidak ada warning dari McAfee saya sewaktu virus
itu akan menginfeksi PC saya? Karena saya tidak bisa menemukan cara membersihkan
virus ini (pada waktu itu), maka saya tekan tombol enter saja dan menjalankan komputer
seperti biasanya. Saya mulai merasa terganggu akan kehadiran virus ini setelah sering
komputer saya hang, padahal sedang online (kejadian ini tidak saya alami lagi sewaktu
virus tersebut sudah saya bersihkan). Saya kemudian ke homepage McAfee dan Network
Associates, tetapi jawaban yang saya temukan adalah : Search Results No Archive
Documents Matched The Query: WScript/kak.worm.bat
Wah ternyata, antivirus saya belum mempunyai catatan mengenai virus aneh ini.
Kemudian mulailah saya menjelajah mencari-cari keterangan mengenai virus ini. (berita
terakhir saya temui, virus ini dengan nama : Kagou-Anti-Kro$oft Kak ) Akhirnya saya
temukan sedikit keterangan di F-Secure : (dan berita terakhir Norton 2000 juga sudah
mengantisipasi hal ini). NAME: Kak ALIAS: Wscript.KakWorm, merupakan virus yang
melekat pada mail yang dikirim dari sistem yang telah terinfeksi. Virus ini ditulis dengan
Javascript dan bekerja pada Windows 95/98 versi Bahasa Inggris dan Perancis. Virus ini
memanfaatkan kerentanan Outlook Express. Pada waktu pengguna menerima e-mail yang
telah terinfeksi (biasanya dalam HTML/Rich Text style) maka virus ini akan membuat
file kak.hta pada direktori Windows Startup. Saya sendiri menemukan file kak.hta ini
pada folder : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
Pada waktu kita reboot komputer kita setelah file kak.hta ini sudah ada dalam sistem kita,
maka virus ini mengcopy file c:\autoexec.bat kita menjadi c:\ae.kak dan membuat file
c:\autoexec.bat baru dengan tambahan 2 baris di akhir file tersebut yang tulisannya
sebagai berikut :
@echo offC:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta
Kemudian signature kita di Outlook Express 5.0 akan direplace dengan signature yang
telah terinfeksi file kak.htm. Setelah kejadian ini, secara tak sadar jadilah kita penyebar
virus Kak ini, melalui e-mail yang kita kirim ke rekan-rekan kita. Jeleknya, kerja virus ini
bukan hanya sampai disitu saja. Registri kitapun diobrak-abrik. Dengan memodifikasi
registri maka virus ini akan bekerja setiap kita memboot / menjalankan komputer kita.
Kemudian pada hari pertama setiap bulan, jika waktu telah menunjukkan lebih dari 17:00
(5:00pm) maka virus ini akan menunjukkan kotak peringatan dengan tulisan : KagouAnit-
Kro$oft say not today! Kemudian virus ini akan membuat komputer Windows kita
shut down. Saya menemukan isi registri saya sbb. :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Doc Find Spec MRU Name Data (Default) (value not set)
a ""
b ""
c "DS32"
d "kok.reg"
e "kak.worm.bat"
f "sendcmt.cgi"
g "gotmale"
h "kak.reg"
i "bworks"
j "body"
MRUList "hadecgbijf
Kemudian file KAK.HTA saya temukan di : C:\WINDOWS\Start
Menu\Programs\Startup\KAK.HTA dan file kak.htm di : C:\Windows\kak.htm.
Bagaimana mengdiagnosanya? Berikut ini langkah mendiagnosa sekaligus menghapus
virus ini dari sistem Anda.
Periksa file C:\Autoexec.bat PC Anda. Start | Run | msconfig kemudian ke tab
Autoexec.bat Lihat apakah sudah ada 2 baris tambahan yang berisi :
@echo offC:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta
Jika kedua baris itu sudah ada, maka yang Anda perlu lakukan adalah menghapus
Autoexec.bat kemudian merename file C:\ae.kak menjadi C:\autoexec.bat.
Untuk melakukan hal ini gunakan perintah dari DOS. Cari file : KAK.HTA, jika ketemu
segeralah hapus : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA kak.htm, jika
ketemu segeralah hapus : C:\Windows\kak.htm
Obok-obok registri dengan mencari kata kok.reg atau kak.reg. Bisa juga langsung saja
menuju :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Doc Find Spec MRU
Kemudian hapus segeralah file / karakter yang ada hubungannya dengan kak dan kok ini
di registri tersebut.
Periksa Start up komputer Anda, caranya : Start | Run | msconfig, kemudian ke tab
Startup. Akan terlihat dua line yang mengandung kata :
- cAgAu
- kak.hta
Uncheck kedua line ini. Jika telah di unchek, langkah selanjutnya adalah menghilangkan
2 baris ini melalui regedit. Gunakan fasilitas regedit ke :
HKLM/Software/Microsoft/Windows/CurrentVersion
Cari di bagian Run atau RunService.Cari karakter kak atau kok atau cAgAu dan hapus.
Dengan menghapus karakter ini maka fasilitas on/off di startupnya jadi hilang. Setelah ini
selesai dilakukan, bootlah kembali komputer Anda. Apa yang harus kita lakukan untuk
mencegah tertularnya virus ini ?
Upgrade Internet Explorer 5.0 Anda menjadi 5.01.Updatenya bisa di download di
Websitenya Microsoft Internet Explorer. Download security patch dari MS Windows
Patch ini bisa didapat gratis di websitenya MS yaitu di :
Internet Explorer Security Area.Baca teliti petunjuk di page tersebut dan download semua
patch-patch sesuai dengan konfigurasi komputer Anda.
Jika hal ini telah dilakukan, maka sewaktu ada virus sejenis yang menyerang sistem PC
Anda, akan muncul warning:
Some software (ActiveX controls) on this page might be unsafe. It is
recommended that you not run it. Do you want to allow it to run ?(Yes/No)
Kemudian muncul warning lagi (apapun yang kita tekan) : An ActiveX control on this
page is not safe. Your current security settings prohibit running unsafe controls on this
page. As a result this page may not display as intended (OK)
MATRIX / MTX VIRUS
Sekedar bagi pengalaman aja... Itu virus disebut virus matrix... Virus itu ditularkan
melalui email... Kalo terima email dengan attachment yang berextension ".pif" jangan
dibuka... Sebab begitu dibuka maka dia akan menyebar cepat...
Pertama-tama file wsock32.dll akan dihapus diganti dengan file-nya dia... Kemudian
sock32.dll juga dihapus dan diganti dengan file-nya dia juga... filenya dia selalu *.mtx...
Nach yang lebih parahnya dia juga menaruh register di windows register... Kalo
komputer diboot ulang maka register akan dijalankan... dan file yang dijalankan windows
akan membengkak sebesar kurang lebih 8kb... Dan kalo ngga salah lagi file yang
terinfeksi akan berjumlah sekitar 60-70 file windows... semuanya exe, com dan dll...
Saya tidak tahu apakah bisa dibersihkan dengan norton antivirus... Tapi sudah saya pake
scan mcafee versi terbaru ngga isa dibersihkan... satu2nya cara adalah mendelete file
tersebut... Tapi catatlah file tersebut sebelum mendelete... kemudian kopilah dari
komputer lainnya dengan sistem operasi yang sama... kalo windows 98 SE juga gunakan
windows 98 SE... Kalo belon dibersihkan setiap anda menjalankan file pasti terinfeksi...
Semakin lama semakin banyak yang terinfeksi... Dan file yang sudah terinfeksi jika
dijalankan akan membuat tiga buah file baru... file tersebut adalah MTX_.EXE,
IE_PACK.EXE dan WIN32.DLL Nach ketiga file ini di hidden dan akan terus muncul
selama virus masih ada (meskipun sudah didelete berulang kali)... dan register belum
dibersihkan.
Cara bersihkan register : (how to clean the register)
1. Start - run - type regedit - ok
2. Expand HKey_Local_Machine\Software\Microsoft\Windows\Current_version\Run
3. If you find the words: system backup = ... mtx_.exe --> just delete it
4. If you find in the expand current_version: the folder [matrix] just delete it.
After that you have to delete the files with name: MTX_.EXE, IE_PACK.EXE,
Win32.dll. the author suggest to delete it in MS_DOS mode, but i couldn't find that files
under dos, thus i just delete it in windows, and i wish that's cleaned perfectly now.
Jalankan regedit dulu baru kemudian selanjutnya ... Jadi jika anda sudah mengetahui file
apa saja yang terinfeksi (dat file mcafee terbaru adalah 4098)... Maka replace (tumpukin)
file tersebut dengan file yang sama yang bersih... (sizenya seharusnya lebih kecil)... Tapi
saat melakukan replace jangan masuk ke sistem windows... Melainkan lakukan melalui
ms-dos prompt... Jangan sekali2 melalui windows... sama saja bohong... pake F8 pilih
command prompt only... baru kemudian kopikan... Setelah itu hapus ketiga file tersebut
(MTX_.exe, win32.dll, dan ie_pack.exe) yang dihidden... baru load windows-nya...
kemudian check lagi apa tiga file tersebut masih ada... jika tidak ada maka sudah bersih...
jika masih ada maka masih ada yang terinfeksi... dan jalankan langkah di atas...
Saya sudah kena selama satu minggu dan sekarang sudah bersih... Biasanya sich file
'.pif'-nya itu selalu menarik untuk dilihat heheeee... Dan jika melihat ada file *.mtx
jangan ragu2 untuk melakukan pendelete-an... Dan jangan dicari backup-nya ... sebab
pasti tidak ada hahahaaaa... Ciri khas emailnya adalah email kosong dengan attachment
*.pif (terkadang sender bisa unknown)...
Cara kerjanya jika anda terinfeksi maka saat anda sending email akan disending pula
sebuah email ke alamat yang anda tuju... Jadi orang yang tuju akan menerima dua email
dengan subject yang berbeda dan isi yang berbeda... hati2... Semoga pengalaman saya
berguna untuk anda semua....
"Budianto Putero Widjaya"
VIRUS NAVIDAD
NAVIDAD adalah jenis virus Worm yang menginfeksi file Exe. Jika kita menjalankan
program Navidad*.Exe maka virus tersebut akan menyebar langsung ke sistem komputer.
Virus ini bekerja secara otomatis melakukan penyebaran ke setiap email yang kita kirim
dan terima berupa file attachment. Jadi bila mendapatkan file attachment yang bernama
Navidad.Exe lebih baik jangan dibuka, langsung dihapus saja.
Cara untuk membersihkan Virus Navidad yaitu:
1. Tutup semua program Windows yang dibuka.
2. Pilih: Start - Programs - MS-DOS Prompt
3. Pada Dos prompt, ketik:
Cd\, dir/s/p/a Navidad.*, hapus file navidad.* bila ditemukan.
Cd\, dir/s/p/a WinSvrc.*, hapus file WinSvrc.* bila ditemukan.
Cd C:\Windows, copy Regedit.Exe menjadi Reg.Com
4. Exit dari Dos prompt dan ReStart komputer.
5. Buat file text kosong dan berikan nama UnNavidad.Reg
6. Copy dan Paste line di bawah ini ke UnNavidad.Reg yang telah dibuat tadi:
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
7. Klik file UnNavidad.Reg yang telah dibuat tadi
8. Pilih: Start - Run, ketik C:\WINDOWS\Reg.com
9. Pilih: Edit - Find, ketik: Winsvrc
10. Cari setiap key yang berisi 'winsvrc' dan hapus dengan cara: right click - delete.
11. Ulangi langkah 6 & 7 sampai selesai.
12. Ulangi langkah 6 & 7 untuk setiap key yang berisi 'Navidad'
13. Tutup reg.com dan shutdown komputer.
14. Matikan Cpu tunggu beberapa detik dan hidupkan Cpu kembali
15. Coba kirim email ke alamat sendiri untuk memastikan apakah virusnya telah hilang...,
semoga berhasil...
VIRUSWin32.Invalid.A@mm (laporan: yay)
Sebuah virus kategori worm bernama Win.32.Invalid.A@mm dikabarkan terdeteksi di
server Microsoft Technical Support. Central Command, Kamis (30/8), mengirimkan
peringatan menyangkut virus berbahaya yang menjalar via e-mail itu.
Menurut Microsoft, virus ini sangat berbahaya karena bisa mengenkripsikan aplikasi file
.exe secara acak dan membuatnya luluh-lantak. Selain merusak .exe, virus ini juga
memeriksa koneksi internet yang terbuka sambil mencari file berekstensi .ht dalam folder
My Ducuments. Lebih jauh, mereka masuk ke alamat e-mail dan melakukan proses
forward dengan sendirinya. Ciri-cirinya dalah:
From: "Microsoft Support" support@microsoft.com
Subject: Invalid SSL Certificate
Hello,
Microsoft Corporation announced that an invalid SSL certificate that web sites use is
required to be installed on the user computer to use the https protocol. During the
installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by
that allows attackers to get access to your computer. The SSL protocol is used by many
companies that require credit card or personal information so, there is a high possibility
that you have this certificate installed. To avoid of being attacked by hackers, please
download and install the attached patch. It is strongly recommended to install it because
almost all users have this certificate installed without their knowledge.
Have a nice day,
Microsoft Corporation, Attachment: sslpatch.exe
Nah, menurut Central Commands virus ini sangat berbahaya lantaran banyak orang yang
sedang gencar melakukan upgrade Internet Explorer 6.0 dan Media Player 7. Buat yang
menerima file ini harap jangan membuka attachment-nya. lintasberita

No comments: