Oke, mari kita mulai… pertama-tama saya akan memberika sekilas info/gambaran tentang Fast Firus Enggine V1.0 (kita singkat saja menjadi FFE biar gampang.. hehew…). FFE adalah sebuah software virus generator yang dibuat oleh Mas Fajar Anggiawan. Software ini dibuat menggunakan bahasa Visual Basic. Gunanya software ini adalah untuk membuat virus baru tanpa harus menulisakan koding yang sangat banyak dan rumit. Tinggal masukan nama author, nama virus, dan pesan yang diinginkan lalu klik generate maka dengan cepat akan terciptalah sebuah virus baru. Virus yang tercipta oleh FFE mempunyai ukuran 55 kb. Virus yang tercipta tergolong tidak terlalu berbahaya karena virus tersebut tidak menghapus data para korbannya. Berikut saya berikan cara pemakaian software FFE ini.
1. Jalankan software FFE tersebut
2. Lalu muncul form awal berupa splash screen
3. Lalu klik form tersebut, kemudian form utama akan terbuka.
4. Isi nama author, nama virus, dan pesan lalu klik generate maka sebuah virus barupun akan tercipta dengan mudahnya
gambar form awal FFE
gambar form utama
gambar virus baru yang tercipta menggunakan FFE
Virus tersebut apabila dieksekusi maka akan menyebabkan komputer terasa lebih lambat, karena resource komputer kita dipakai oleh virus tersebut. Cirri-ciri virus terbut adalah
Mempunyai ukuran 55 kb
Tidak bisa membuka Task Manaer
Tidak bisa membuka CMD
Tidak bisa membuka RegEdit
Tidak bisa membuka MsConfig
Find hilang
Virus tersebut juga akan memberika atribut System dan hidden (+s +h alias super hidden.. hehew.. pake bahasanya mas Family Code) pada folder Windows. Selain itu virus ini juga akan menciptakan file Windows.exe dan baca euy.txt pada drive c:\. lsass.exe, smss.exe, svchost.exe, winlogon.exe, csrss.exe pada folder c:\Windows\System. Win32.exe, cokil.exe, ActiveX.exe, .exe pada folder c:\Windows. _default.pif serta copy.pif pada folder c:\Windows\System32. File cokil.exe bisa berbeda beda tergantung nama virus yang kita buat menggunakan FFE. Kebetulan saya menggunakan cokil untuk nama virusnya hehehew….
Kemudian bagaimana cara memberangusnya…???… oke sabar bentar dulu saya nyalain rokok dulu yah biar ga’ ngantuk… Jam segene dah sepet neh mata… hehehew… Okeh, kita lanjutin…. Biar temen-temn pada ga’ ngantuk juga siapin deh perlengkapannya..
Kopi
Rokok
Cemilan
Semangat 45 yang terus berkobar didada
Sedikit pengetahuan tentang System operasi
Software ProcLister buatan mas Ahlul
TuneUp Utilities 2006
Loh kok? Mana antivirusnya..?? mau ngebasmi virus kok ga’ make antivirus.?? Gemana seuh ne yang bikin artike..?? hehehew… sabar mas, jangan emosi. Kebetulan dalam pemberangusan kali ini kita tidak menggunakan antivirus. Kita akan memanfaatkan software yang ada aja. Okeh…. Software yang kita gunakan kali ini adalah ProcLister buatan mas Ahlul yang akan kita gunakan untuk membunuh proses virus. Dan TuneUp Utilities 2006 yang akan kita gunakan untuk menetralisir registry yang telah terkontaminasi oleh virus ini… tjie..tjie.. bahasanya sotoy bangget seuh… hehew… sebenarnya kita bisa menggunakan software lain untuk membunuh proses virus ataupun untuk mentralisir registry. Alasan mengapa saya menggunakan program ini adalah karena kebetulan di kompie saya ada program tersebut, jadi saya hanya memanfaatkan program yang ada saja. Dan saya juga tidak bermaksud mempromosikan para pembuat program-program tersebut. Jadi ceritanya saya hanya memanfaatkan sumber daya yang ada…. Hehehew…..
Baik kita mulai prosesi pemberangusan. Pertama-tama kita harus mematika proses virus terlebih dahulu dengan menggunakan software ProcLister.
gambar proses virus yang tertangkap oleh ProcLister
Pilih proses virus yang akan dimatika, klik kanan, lalu pilih kill selected. Sebenarnya di program ini ada pilihan kill & delete selected tapi ga’ tau kenapa di kompie saya klo saya pilih kill&delete selected maka program tersebut akan error. Jadi sebaik nya kita kill selected saja. Setelah kita berhasil membunuh semua proses virus yang berjalan, langkah selanjutnya adalah menghapus file-file virus tersebut. Tapi sebelum menghapus kita buka folder option dan pada tab view, aktifkan option button show hidden file and folder dan nonaktifkan checkbox hide extensions for known file types serta hide protected operating System file (recommended). Kenapa kita harus mmbuka folder option terlebih dahulu? Karena virus tersebut telah memberika atribut super hidden pada folder Windows. Lalu hapus semua file yang dibut oleh virus. File tersebut antara lain :
Windows.exe, dan baca euy.txt pada drive c:\.
lsass.exe, smss.exe, svchost.exe, winlogon.exe, csrss.exe pada folder c:\Windows\System
Win32.exe, cokil.exe, ActiveX.exe, .exe pada folder c:\Windows.
_default.pif serta copy.pif pada folder c:\Windows\System32
Ingat, file cokil.exe tiap komputer berbeda-beda, tergantung nama virus yang kita buat dengan FFE tadi.
Lalu setelah berhasil menghapus semua file yang diciptakan oleh virus tersebut, maka langkah selanjutnya adalah menetralisir registry yang udah terkontaminasi oleh virus tersebut. Untuk menetralisirnkannya kita butuh program TuneUp Utilities. Lho knapa ga’ lewat RegEdit aja khan proses virusnya dah mati..??.. ya betul proses virus sudah mati, tapi ingat, virus itu telah berhasil meracuni registry, jadi apabila kita coba buka registry dengan cara mengetikan run tetap tidak bisa karena virus tersebut telah menciptakan key debugger pada
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\taskmanager.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\RegEdit.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\CMD.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\MsConfig.exe
Yang berguna untuk mengaktifkan file Win32.exe pada folder c:\Windows apabila kita menjalankan RegEdit, CMD, MsConfig dan task manager. Win32.exe itu sendiri adalah file ciptaan virus tersebut. Jadi apabila kita menjalankan RegEdit, CMD, MsConfig dan task manager maka secara tidak langsung kita akan mengeksekusi file virus itu. Loohh….. bukannya file Win32.exe yang terletak pada c:\Windows sudah kita hapus? Iya anda benar, filenya sudah kita hapus tapi registrynya kan belum kita netralisir. Jadi apabila kita coba jalankan RegEdit, CMD, MsConfig atau task manager maka tetap tidak akan terbuka, dan Windows akan mengeluarkan peringatan seperti gambar dibawah ini
gambar perigantan Windows
Okeh… mari kita lanjutkan… Untuk menetralisir kan registry buka TuneUp Registry Editor. Lalu hapus key-key yang diciptakan oleh virus. Key-key tersebut antara lain :
Debugger pada
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\taskmanager.exe
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\RegEdit.exe
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\CMD.exe
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\MsConfig.exe
Yadoy present dan Present pada
· HKCU\software\microsoft\Windows\currentversion\run
Key yadoy present berbeda-beda pada tiap komputer tergantung nama author yang kita masukan pada FFE. Sama seperti file cokil.exe bedanya cokil.exe nama virus yang kita masukan pada FFE sedangkan yadoy present adalah nama author yang kita masukan dalam hal ini nama author yang saya masukan adalah yadoy
c:\Windows.exe, c:\Windows\.exe, c:\Windows\ActiveX.exe, c:\Windows\cokil.exe pada
· HKU\s-1-5-21-746137067-507921405-725345543-1003\software\microsoft\Windows\Shellnoraom\muichache
Edit nilai dari Userinit yang terletak pada
· HKLM\software\microsoft\WindowsNT\currentversion\winlogon
Yang semula berisi c:\Windows\System32\userinit.exe, c:\Windows\System32\copy.pif menjadi c:\Windows\System32\userinit.exe seperti pada gambar dibawah ini
gambar pengeditan key userinit dengan TuneUp Registry Editor
Default, dan yadoy666 pada
· HKLM\software\microsoft\Windows\currentversion\run
Load pada
· HKCU\software\microsoft\Windowsnt\currentversion\Windows
NoFind pada
· HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Exploler
· HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Exploler
Setelah selesai, lalu restart lah komputer anda. Kemudian coba buka RegEdit, CMD, MsConfig, TaskManger.. sudah bisa kan…. Hehew… sekarang komputer anda telah bebas dari pengaruh buruk virus terebut