Windows Vista sudah dilengkapi dengan antispyware, namanya Windows Defender. Aplikasi ini secara otomatis akan melakukan scan cepat terhadap isi komputer setiap pagi hari. Tujuannya adalah memastikan Anda dapat bekerja dengan aman pada hari itu.
Apabila mendeteksi adanya spyware, Windows Defender akan langsung menampilkan sebuah jendela pemberitahuan yang menyatakan adanya spyware di sistem Anda. Selanjutnya, Anda bisa membersihkan spyware tersebut dengan satu kali klik [Remove].
Namun, cara tersebut tidak melulu dapat membersihkan spyware secara tuntas sebab pemeriksaan yang dilakukan Windows Defender adalah pemeriksaan cepat yang tidak diikuti pemeriksaan seluruh isi hard disk. Oleh karena itu, bila Windows Defender pernah menampilkan peringatan adanya spyware, lakukan pemeriksaan penuh terhadap sistem Anda.
Caranya:
1. Klik tombol Start, ketik Windows Defender pada kotak pencarian dan tekan [Enter].
2. Setelah Windows Defender terbuka, klik panah bawah yang terdapat di sebelah tombol Scan dan pilih Full Scan.
3. Tunggulah beberapa saat sampai proses scan selesai.
4. Setelah selesai, hasilnya akan ditampilkan. Jika PC Anda terjangkit spyware, daftarnya akan ditampilkan oleh Windows Defender. Klik Review Items untuk mengetahui apa yang terjadi dan bagaimana solusinya.
5. Pada layar Scan Results, semua software berbahaya yang terdeteksi Windows Defender akan ditampilkan. Klik tombol [Remove All], untuk membersihkan semua “sampah” spyware.
Sumber: PCplus
Friday, March 13, 2009
Bersihkan PC dari Spyware
Enkripsi dengan BitLocker Windows Vista
Fitur BitLocker Drive Encryption bisa lebih dioptimalkan jika PC Anda memiliki chip Trusted Platform Module. Trusted Platform Module ini berfungsi untuk membuat kunci kriptografi, mengenkripsinya, dan mendekripsinya. Selain itu, Anda harus mempersiapkan sebuah partisi khusus dengan kapasitas 450MB untuk menggunakan BitLocker.
Setiap kali PC dinyalakan, sebelum masuk Windows, Windows Vista melakukan validasi terhadap file boot, file sistem operasi, dan drive yang dienkripsi dengan BitLocker Drive Encryption. Kalau salah satu file telah dimodifikasi, PC masuk ke dalam modus perbaikan, tentu saja ketika hendak masuk ke situ, pengguna diminta password alias kunci.
Cara menggunakan BitLocker ini sangat mudah. Anda cukup lakukan langkah-langkah berikut.
1. Klik [Start] > [Control Panel] untuk membuka panel kontrol Windows.
2. Setelah Control Panel terbuka, klik [Security].
3. Klik [BitLocker Drive Encryption] dari daftar menu yang terbuka.
4. Kalau komputer Anda telah diatur dengan benar, Anda bisa melihat link [Turn it on] di sebelah kandar sistem operasi Anda. Kliklah link tersebut.
5. Pilih jenis perangkat yang akan Anda gunakan untuk melindungi komputer dan ikuti langkah-langkahnya di layar.
6. Setelah semua tahapan sudah Anda ikuti, secara otomatis hard disk komputer Anda akan terenkripsi.
Anda tidak perlu khawatir meskipun PC Anda tidak dilengkapi chip TPM. Anda tetap dapat menggunakan BitLocker Drive Encryption dengan flash disk. Sayangnya opsi untuk ini disembunyikan oleh Microsoft. Lakukan langkah berikut untuk mengaktifkannya.
1. Klik tombol [Start], kemudian ketik “gpedit.msc”, lalu tekan [Enter] untuk menjalankan Group Policy Editor.
2. Setelah Group Policy Editor terbuka, masuklah ke Computer Configuration, Administrative Templates, Windows Components, dan BitLocker Drive Encryption.
3. Klik kanan pada [Control Panel Setup: Enable advanced startup options], lalu klik [Properties].
4. Klik [Enabled] lalu klik [OK].
5. Sekarang Anda sudah bisa menggunakan BitLocker Drive Encryption flash disk.
Camkan jika menggunakannya , Anda perlu mencolok flash disk setiap kali menyalakan komputer. Kalau flash disk tidak dicolok, PC tidak dapat booting.
Sumber: PCplus
Hati-hati, Virus Huhuhaha Bikin Rentan Windows Vista
JAKARTA, JUMAT - Windows Vista yang diklaim jauh lebih aman dari Windows XP ternyata menjadi tak berarti saat diserang virus ini. Virus Huhuhaha yang saat ini sedang marak menyebar di Indonesia berhasil menembus salah satu gerbang keamanan Windows Vista sehingga rentan serangan masuk.
Target serangan virus ini adalah UAC (User Account Control), salah satu fitur yang digunakan untuk mencegah program tidak diinginkan berjalan secara otomatis tanpa persetujuan pengguna komputer. Dengan melumpuhkan fungsi ini, komputer tak lagi meminta persetujuan untuk melakukan perintah.
Virus ini menyebar melalui USB (Flash maupun Drive) dan dilaporkan telah menyerang sejumlah instansi Pemerintah, BUMN, Perusahaan Swasta, Instansi Pendidikan, serta warnet-warnet di Indonesia.
Pembuat virus VBS (visual basic script) ini menamainya virus "HUHUHAHA". Namun, Norman Security Suite mendeteksi varian virus tersebut sebagai VBS/Autorun.AO.
Ciri File Virus
Virus Huhuhaha dibuat dengan menggunakan bahasa pemrograman VBScript. File virus berukuran 6 kb, dan agar dapat menyebar secara otomatis ia akan membuat file pendamping yaitu "autorun.inf" yang berisi script untuk menjalankan file virus.
Jika virus berhasil menginfeksi, ia akan membuat beberapa file virus diantaranya :
• autorun.inf (pada semua root drive)
• huhuhaha.vbs (pada semua root drive)
• C:-WINDOWS-system32-XpWin.vbs
Virus juga akan mengcopy file "autorun.inf" dan "huhuhaha.vbs" pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Semua file virus tersebut memiliki atribut file RHSA (Read, Hidden, System, Archive), sehingga tidak terlihat jika user tidak memunculkan menu hidden.
Gejala/Efek Virus
Jika sudah terinfeksi virus huhuhaha, akan menimbulkan gejala/efek berikut :
• Memunculkan text virus pada menu "Run".
• Menonaktifkan system restore. Hal ini dilakukan agar user tidak dapat mengembalikan setingan system windows kembali seperti sebelum terinfeksi virus ini.
• Menambah header text virus pada Internet Explorer.
• Disable fungsi UAC (User Account Control) Windows Vista.
• Merubah nama registrasi computer dengan text virus.
• Menonaktifkan fungsi "safe mode" dan membuat "blue screen" windows. Saat user berusaha masuk melalui fitur safe mode, maka akan muncul blue screen.
• Mematikan fungsi Security Center Windows. Fitur ini digunakan untuk memastikan kondisi komputer dari 3 aspek keamanan yaitu Automatic Updates, Firewall dan Software Antivirus.
Metode Penyebaran
Sama seperti virus lokal lainnya, virus huhuhaha masih menggunakan media USB (flash/drive) sebagai penyebarannya. Virus akan membuat file "autorun.inf" dan "huhuhaha.vbs" pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Kedua file tersebut akan aktif secara otomatis dengan hanya mengkases usb (drive/flash) tersebut.
Modifikasi Registry
Agar dapat aktif saat komputer dijalankan, virus membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE -Microsoft-Windows-CurrentVersion-Run
Ageia = C:-WINDOWS-system32-XpWin.vbs
• HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
Systemdir = C:-WINDOWS-huhuhaha.vbs
Agar dapat muncul pada menu Run, virus membuat string berikut :
• HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-RunMRU
a = huhuhaha
Walau tidak men-disable fungsi windows seperti task manager, folder options, regedit, dll, virus men-disable system restore dengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion-SystemRestore
DisableSR = 1
Serta men-disable fungsi UAC (User Account Control) dengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows-CurrentVersion-Policies-System
EnableLUA = 0x00000000
Selain itu, virus menambah caption text pada Internet Explorer dengan membuat string berikut :
• HKEY_CURRENT_USER-Software-Microsoft-Internet Explorer-Main
Window Title = huhuhaha
Kemudian, virus juga merubah registrasi komputerdengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion
RegisteredOrganization = huhuhaha
RegisteredOwner = huhuhaha
Agar dapat muncul text virus saat login windows, virus membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion
LegalNoticeCaption = huhuhaha virus
LegalNoticeText = huhuhaha
Untuk men-disable fungsi safe mode, virus men-"delete" string berikut :
• HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell
• HKEY_LOCAL_MACHINE-SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell
• HKEY_LOCAL_MACHINE-SYSTEM-ControlSet003-Control-SafeBoot, AlternateShell
• HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell
Serta men-"delete" key berikut :
• HKEY_LOCAL_MACHINE-SYSTEM- CurrentControlSet-Control-SafeBoot-Minimal
• HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SafeBoot-Network
Terakhir, virus berusaha mematikan fungsi Security Center dengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Security Center
AntivirusDisableNotify = 1
FirewallDisableNotify = 1
UpdatesDisableNotify = 1
Sumber: Vaksincom
WAH
Tips: 5 Langkah Bersihkan Virus Huhuhaha
1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan proses virus yang aktif pada memori.
Gunakan Windows Task Manager untuk mematikan proses virus, yaitu dengan nama "wscript.exe". (wscript.exe merupakan file windows yang digunakan untuk menjalankan file vbscript). (Lihat Gambar)
3. Hapus file virus berikut:
• autorun.inf (pada semua root drive)
• huhuhaha.vbs (pada semua root drive)
• C:-WINDOWS-system32-XpWin.vbs
Catatan:
• Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus. (virus memiliki atribut file Hidden, Archive, System, dan Read-Only). Caranya pada Windows Explorer pilih Tools>>Folder Options>>View>>Show hidden files and folders
• Untuk mempermudah proses pencarian sebaiknya gunakan fasilitas "Search" Windows dengan filter file autorun.inf dan *.vbs yang mempunyai ukuran 6 KB.
4. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[UnhookRegKey]
HKLM, SOFTWARE-Microsoft-Security Center, AntiVirusDisableNotify, 0x00000000,0
HKLM, SOFTWARE-Microsoft-Security Center, FirewallDisableNotify, 0x00000000,0
HKLM, SOFTWARE-Microsoft-Security Center, UpdatesDisableNotify, 0x00000000,0
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion, RegisteredOrganization, 0, "Organization"
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion, RegisteredOwner, 0, "Owner"
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-SystemRestore, DisableSR, 0x00000000,0
HKLM, SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM-ControlSet003-Control-SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-AppMgmt, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-Base, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-Boot Bus Extender, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-Boot file system, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-CryptSvc, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-DcomLaunch, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-dmadmin, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-dmboot.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-dmio.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-dmload.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-dmserver, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-EventLog, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-File system, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-Filter, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-HelpSvc, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-Netlogon, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-PCI Configuration, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-PlugPlay, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-PNP Filter, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-Primary disk, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-RpcSs, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-SCSI Class, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-sermouse.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-sr.sys, (default), "FSFilter System Recovery"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-SRService, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-System Bus Extender, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-vga.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-vgasave.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Minimal-WinMgmt, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E972-E325-11CE-BFC1-08002BE10318}, (default), "Net"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E973-E325-11CE-BFC1-08002BE10318}, (default), "NetClient"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E974-E325-11CE-BFC1-08002BE10318}, (default), "NetService"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E975-E325-11CE-BFC1-08002BE10318}, (default), "NetTrans"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-AFD, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-AppMgmt, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Base, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Boot Bus Extender, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Boot file system, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Browser, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-CryptSvc, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-DcomLaunch, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Dhcp, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-dmadmin, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-dmboot.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-dmio.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-dmload.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-dmserver, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-DnsCache, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-EventLog, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-File system, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Filter, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-HelpSvc, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-ip6fw.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-ipnat.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-LanmanServer, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-LanmanWorkstation, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-LmHosts, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Messenger, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NDIS, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NDIS Wrapper, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Ndisuio, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NetBIOS, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NetBIOSGroup, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NetBT, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NetDDEGroup, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Netlogon, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NetMan, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Network, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NetworkProvider, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-NtLmSsp, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-PCI Configuration, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-PlugPlay, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-PNP Filter, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-PNP_TDI, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Primary disk, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-rdpcdd.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-rdpdd.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-rdpwd.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-rdsessmgr, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-RpcSs, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-SCSI Class, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-sermouse.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-SharedAccess, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-sr.sys, (default), "FSFilter System Recovery"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-SRService, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Streams Drivers, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-System Bus Extender, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-Tcpip, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-TDI, (default), "Driver Group"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-tdpipe.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-tdtcp.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-termservice, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-vga.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-vgasave.sys, (default), "Driver"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-WinMgmt, (default), "Service"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot-Network-WZCSVC, (default), "Service"
[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-RunMRU, a
HKCU, Software-Microsoft-Internet Explorer-Main, Window Title
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run, Ageia
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run, Systemdir
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Policies-system, EnableLUA
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Winlogon
Copy paste script tersebut ke dalam notepad kemudian simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
5. Buka file repair.inf kemudian jalankan dengan cara klik kanan file tersebut kemudian pilih install.
Sumber: Vaksincom
WAH
Bebaskan Komputer dari Conficker
JAKARTA, RABU - Belum selesai menghadapi virus-virus lokal yang ada, varian virus Conficker menjadi momok sudah menjadi ancaman baru bagi pengguna komputer. Virus ini mampu membuat akses pada website security dan update antivirus menjadi tertutup, membuat scheduled task sendiri dan menjadi mudah berkembang serta membuat jaringan menjadi lambat. Bahkan virus ini juga menyerang Windows Vista dan Windows 2008.
Tak semua antivirus dapat mendeteksinya dan belum satupun antivirus dapat mematahkan kekuatannya. Apa yang dapat Anda lakukan jika komputer Anda terjangkit Conficker? Simak tips dan trik pembasmian virus Conficker dari vaksinis Vaksin.com, Adi Saputra.
1. Scan PC yang terinfeksi dengan menggunakan tools Network Monitor, seperti Wireshark, Ethersal, atau Maa Tech Security. Dengan tools ini kita bisa melihat biang dari penularan virus ini.
2. Kemudian, scan PC yang vulnerable dengan tools analysis security seperti LanGuard Security Scanner, Microsoft Baseline Security Analyzer, dan Nessus untuk mengetahui komputer vulnerable.
3. Lalu putuskan koneksi komputer dari jaringan lokal maupun internet.
4. Matikan proses virus yang aktif pada services dan mendompleng "svchost.exe" dengan menggunakan Norman atau Unlocker untuk membersihkan virus.
5. Hapus string services yang mendompleng pada svchost.exe dengan menggunakan Registry Cleaner seperti Gmer untuk menghapus file virus ini.
6. Hapus pula string registry yang dibuat oleh virus.
7. Hapus string virus yang aktif pada start-up menggunakan ms-config.
8. Kemudian, bersihkan folder Temporary Internet dengan menggunakan tools cleaner, seperti Norman Malware Cleaner dan Unlocker.
LIN
Cegah Virus Conficker Sebelum Komputer Terserang
JAKARTA, RABU — Virus Conficker bisa dibilang sebagai virus komputer yang paling ditakuti saat ini. Tercatat, jutaan komputer di seluruh dunia telah terjangkit sejak kemunculannya pada bulan Oktober tahun lalu.
Apalagi ketika varian kedua virus yang diduga berasal dari Rusia ini muncul dengan format baru yang mendompleng file svchost dan dapat mengunci active domain. Penyebarannya sangat cepat dan begitu ter-install sulit dibasmi dengan prosedur standar. Banyak antivirus tak sanggup mengatasi varian virus yang semakin cerdas.
Lantas, bisakah penyebaran virus ini bisa dicegah? Mencegah mungkin lebih baik daripada menunggu komputer Anda terserang virus. Vaksinis dari Vaksincom Adi Saputra memaparkan tips untuk mencegah penyebarannya berikut ini:
1. Aktifkan automatic updates dengan menggunakan Windows update untuk men-download dan meng-install updates.
2. Aktifkan windows firewall dengan menggunakan firewall untuk memproteksi PC dan jaringan.
3. Non-aktifkan default share ($ADMIN). Namun jika default share diperlukan dipakai untuk sistem di kantor maka Anda perlu mengubah default password Anda.
4. Non-aktifkan fitur autoplay, jika tak digunakan. Masalahnya, virus Conficker berusaha masuk ke komputer dari removable disk melalui celah Windows (autoplay) dengan menggunakan dua file, yaitu autorun.if dan recycler dengan format di belakang jwgkvsq.vmx. Keduanya menggunakan atribut hidden.
5. Update antivirus dan jadwalkan scan. Conficker yang masuk ke default share dan autoplay Windows biasanya memiliki format jpg, bmp, gif, png atau file aktif bertipe dll yang berlokasi di internet explorer, movie maker dan system32. Virus ini tidak bisa dihapus secara manual oleh karena itu harus dihapus secara paksa melalui langkah-langkah tertentu dengan removal tools.
LIN
7 Langkah Bersihkan Virus Conficker
Jika komputer terlanjur terinfeksi virus Conficker yang kini momok bagi pengguna komputer di seluruh dunia, tak perlu khawatir. Anda tak sendirian karena diperkirakan sudah ada 12 juta komputer yang terinfeksi di seluruh dunia saat ini. Kalau antivirus pun masih gagal mengatasi, masih ada cara membasminya meski butuh sedikit kerja keras.
Simak 7 langkah membasmi virus Conficker dari Vaksincom berikut ini:
1. Putuskan komputer yang akan dibersihkan dari jaringan/internet. Matikan akses WiFi kalau ada dan cabut kabel ethernet dari jaringan LAN.
2. Matikan system restore (Windows XP/Vista).
Caranya pilih Start>>All Program>>Accesories>>System Tools>>System Restore kemudian pada menu setting pilih off untuk seluruh partisi.(Lihat gambar 1)
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Program ini tersedia cuma-cuma dan dapat di-download di bawah ini (Lihat Gambar 2):
http://download.norman.no/public/Norman_Malware_Cleaner.exe
4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.(Lihat Gambar 3)
5. Hapus Schedule Task yang dibuat oleh virus. (C:-WINDOWS-Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini. Salin script ini lalu install.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, Hidden, 0x00000001,1
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced, SuperHidden, 0x00000001,1
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0x00000001,1
HKLM, SYSTEM-CurrentControlSet-Services-BITS, Start, 0x00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-ERSvc, Start, 0x00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wscsvc, Start, 0x00000002,2
HKLM, SYSTEM-CurrentControlSet-Services-wuauserv, Start, 0x00000002,2
[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, dl
HKCU, Software-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, dl
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Applets, ds
HKLM, SYSTEM-CurrentControlSet-Services-Tcpip-Parameters, TcpNumConnections
Gunakan notepad untuk menyalin, kemudian simpan dengan nama "repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Catatan : Untuk file yang aktif pada startup, anda dapat men-disable melalui "msconfig" atau dapat men-delete secara manual pada string :
"HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Run"
7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mampu mendeteksi virus ini dengan baik dan patch komputer anda dengan http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx guna mencegah infeksi ulang.
WAH
Waspada, 9 Juta Komputer Sudah Terinfeksi Conficker
JAKARTA, RABU — Seperti virus penyakit, virus komputer juga menyebar dengan cepat dari satu komputer ke komputer lain. Wabah yang tengah mengancam jutaan komputer di seluruh dunia sekarang adalah serangan yang disebut conficker.
Program berbahaya ini telah menginfeksi 6 juta-9 juta komputer di seluruh dunia hanya dalam waktu 2 minggu. Kawasan yang terkena serangan paling tinggi adalah Asia dan Amerika Latin.
Berdasarkan data Symantec, China dan Argentina merupakan negara yang paling parah terkena serangan jenis worm ini. Conficker baru menyebar sekitar dua bulan lalu, tetapi telah menimbulkan kepanikan yang begitu masif.
Hampir 29 persen komputer di China terinfeksi conficker. Sementara Argentina telah mencapai 11 persen. Selain itu, serangan ini juga cepat menyebar di Brasil dan Rusia. "Kami tak melihat jumlah terinfeksi yang sebesar itu di tempat lainnya," ujar Alfred Huger, Wakil Presiden Symantec Security Response. Di AS, misalnya, komputer yang terinfeksi baru sekitar 1 persen.
Huger mengatakan, worm ini memang didesain pembuatnya untuk menuliskan kode yang bekerja pada jaringan China dan Brasil sehingga kedua negara itulah yang sepertinya menjadi target serangan. Namun, versi terbarunya menyerang ke jaringan lebih luas.
"Saya kira pembajakan punya peran meski saya tidak tahu bagaimana pengaruhnya," ujar Huger. Negara di Asia dan Amerika Latin selama ini dikenal dengan tingkat pembajakan software yang sangat tinggi.
Para pengamat keamanan komputer saat ini masih meraba-raba apa yang akan dilakukan pembuat conficker setelah menginfeksi jutaan komputer di seluruh dunia. Yang pasti, komputer yang terinfeksi dapat diambil alih pembuat virus dari jarak jauh layaknya zombie. Jutaan komputer tersebut bakal menjadi jaringan botnet terbesar di dunia yang rawan dimanfaatkan untuk melakukan tindakan kriminal, seperti pencurian data rahasia atau bahkan rekening bank. Dalam beberapa kasus, komputer yang terserang akan mengalami gangguan koneksi setiap kali terhubung ke internet.
Conficker yang juga disebut Downandup atau Kido menyerang dengan cara memanfaatkan celah kelemahan pada fitur Windows Service yang telah ditambal Microsoft bulan Oktober lalu. Namun, beberapa laporan mengatakan, virus tersebut tidak mati meski patch telah dipasang. Conficker menginfeksi dengan cara menebak password admin di jaringan atau melalui USB flash.
Jadi, hati-hati terhadap serangan ini dan lebih waspada setiap kali melakukan tukar-menukar file. Update antivirus mutlak untuk mengantisipasi kemungkinan serangan.
Tri Wahono
Conficker Sudah Menyerang Puluhan Ribu Komputer di Indonesia
JAKARTA, RABU — Serangan virus Conficker yang meresahkan dunia setelah menginfeksi 9 juta komputer dalam dua minggu juga mengancam pengguna komputer di Indonesia. Penyebarannya sangat cepat sehingga jumlah komputer yang terinfeksi berlipat ganda dalam waktu singkat.
Perusahaan lokal penyedia antivirus dan solusi keamanan Vaksincom mencatat, kasusnya membengkak dari hanya ribuan menjadi puluhan ribu kasus komputer yang terinfeksi Conficker sampai dengan pertengahan Januari 2009. Hal ini tidak lepas dari kemampuan Conficker untuk menyerang komputer lain dalam jaringan provider yang sama.
"Jangankan komputer yang berada dalam jaringan, komputer standalone yang menggunakan koneksi internet dari provider tertentu pun terancam oleh ulah Conficker," demikian laporan Vaksincom. Penyebaran virus Conficker atau yang juga dikenal dengan nama W32/Conficker, W32/Downupad atau W32/Kido saat ini dinilai sudah mencapai tingkat yang mengkhawatirkan.
Virus mancanegara yang belum diketahui asalnya ini cukup cerdas dan memiliki kemampuan meng-update dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools pembasmi dirinya. Karena itu, virus tetap membandel bila ditangani secara biasa. Jika jaringan komputer di kantor telah terinfeksi, virus sulit dibasmi.
Memasuki tahun 2009, varian Conficker semakin canggih. Saat ini sudah muncul varian baru virus yang memiliki target serangan Windows XP, Vista, Windows Server (semua versi), dan bahkan Windows 7 versi Beta pun masih rentan atas serangan virus ini. Norman Security Suite mendeteksi varian baru virus tersebut sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficke r.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).
Tri Wahono