Minggu, 20 Februari 2011

Seranagn W32/Alman (Almanahe)


Komputer kacau karena file .exe di injeksi virus
Selain virus ARP Poisoning yang sedang marak menyebar di Indonesia. Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.
Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut.
Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori :
• \LOCAL SETTINGS\T
• \QQ
• \Windows
• \Winnt
Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.
Drop File
Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows.
• C:\Windows\linkinfo.dll
• C:\Windows\System32\drivers\LsDrv118.sys
• C:\Windows\system32\drivers\nvmini.sys
• C:\Windows\System32\drivers\cdralw.sys
• C:\Windows\System32\drivers\riodrvs.sys
• C:\Windows\System32\drivers\DKIs6.sys
Registri
Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut:
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]
o “DisplayName” = “NVIDIA Compatible Windows Miniport Driver”
o “ImagePath” = “%system%\drivers\%file%.sys”
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]
o “NextInstance” = 1
•[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_%file0]
o “Service” = “%file%”
o “Legacy” = 1
o “ConfigFlags” = 0
o “Class” = “LegacyDriver”
o “ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
o “DeviceDesc” = “%file%”
•[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_%file0\Control]
o “NewlyCreated” = 0
o “ActiveService” = “%file%”
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%
o “DisplayName” = “RioDrvs Usb Driver”
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%
o DisplayName” = “RioDrvs Usb Driver”
Catatan:
%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:
• Nvmini
• Cdralw
• RioDrvs
Terminate program / Aplikasi / Malware
W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:
• c0nime.exe
• cmdbcs.exe
• ctmontv.exe
• explorer.exe
• fuckjacks.exe
• iexpl0re.exe
• iexpl0re.exe
• iexplore.exe
• internat.exe
• logo_1.exe
• logo1_.exe
• lsass.exe
• lying.exe
• msdccrt.exe
• msvce32.exe
• ncscv32.exe
• nvscv32.exe
• realschd.exe
• rpcs.exe
• run1132.exe
• rundl132.exe
• smss.exe
• spo0lsv.exe
• spoclsv.exe
• ssopure.exe
• svhost32.exe
• svch0st.exe
• sxs.exe
• sysbmw.exe
• sysload3.exe
• tempicon.exe
• upxdnd.exe
• wdfmgr32.exe
• wsvbs.exe
• dllwm.dll
• dllhosts.dll
• notepad.dll
• rpcs.dll
• rdihost.dll
• rdfhost.dll
• reshost.dll
• lgsym.dll
• rund11.dll
• midddsccrt.dll
• wsvbs.dll
• cmdb.dll
• richdll.dll
• wininfo.rxk
• windhcp.dll
• upxdhnd.dll
Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:
• SPUBDRV
• ISDRV1
• RKREVEAL
• PROCEXP
• SAFEMON
• RKHDRV10
• NPF
• IRIS
• NPPTNT
• DUMP_WMIMMC
• SPLITTER
• EAGLENT
Media penyebaran
Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula.
Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:
• admin
• 1
• 111
• 123
• Aaa
• 12345
• 123456789
• 654321
• !@#$
• qsdf
• asdfgh
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• !@#$%^&*(
• !@#$%^&*()
• qwer
• admin123
• love
• test123
• owner
• mypass123
• root
• letmein
• qwerty
• abc123
• password
• monkey
• password1
Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.
Mampu mengupdate diri seperti antivirus
W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus
• Hooksys
• KWatch3
• KregEx
• KLPF
• NaiAvFilter1
• NAVAP
• AVGNTMGR
• AvgTdi
• nod32drv
• PavProtect
• TMFilter
• BDFsDrv
• VETFDDNT
dan mencoba untuk download malware lain dari url yang telah di tentukan seperti:
• pic.imrw0rldwide.com
• soft.imrw0rldwide.com
• tj.imrw0rldwide.com
Injeksi File EXE
Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC).
Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut:
• \LOCAL SETTINGS\TEMP
• \QQ
• \Windows
• \Winnt
Serta beberapa file yang mempunyai salah satu nama dibawah ini:
• launcher.exe
• repair.exe
• wow.exe
• wooolcfg.exe
• woool.exe
• ztconfig.exe
• patchupdate.exe
• trojankiller.exe
• xy2player.exe
• flyff.exe
• xy2.exe
• au_unins_web.exe
• cabal.exe
• cabalmain9x.exe
• cabalmain.exe
• meteor.exe
• patcher.exe
• mjonline.exe
• config.exe
• zuonline.exe
• userpic.exe
• main.exe
• dk2.exe
• autoupdate.exe
• dbfsupdate.exe
• asktao.exe
• sealspeed.exe
• xlqy2.exe
• game.exe
• wb-service.exe
• nbt-dragonraja2006.exe
• dragonraja.exe
• mhclient-connect.exe
• hs.exe
• mts.exe
• gc.exe
• zfs.exe
• neuz.exe
• maplestory.exe
• nsstarter.exe
• nmcosrv.exe
• ca.exe
• nmservice.exe
• kartrider.exe
• audition.exe
• zhengtu.exe
Cara membersihkan W32/Alman
• Putuskan komputer yang ingin dibersihkan dari jaringan.
• Matikan “System Restore” selama proses pembersihan berlangsung.
• Disarankan lakukan pembersihan pada mode “safe mode”.
• Matikan service virus yang aktif dimemory dengan cara:
• Klik [Start] [Run].
• Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK]
• Cari services virus dengan nama “NVIDIA Compatible Windows Miniport Driver” atau “RioDrvs Usb Driver”
• Kemudian klik menu Action > Properties.
• Klik tombol Stop.
• Pada bagian Startup Type pilih Manual.
• Klik OK
• Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
[del]
HKLM, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SYSTEM\ControlSet001\Services\RioDrvs
HKLM, SYSTEM\ControlSet001\Services\cdralw
HKLM, SYSTEM\ControlSet001\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs
HKLM, SYSTEM\CurrentControlSet\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\cdralw
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
• Hapus file yang di drop oleh virus di direktori:
o C:\Windows\linkinfo.dll
o C:\Windows\System32\drivers\lsDrv118.sys
o C:\Windows\system32\\drivers\nvmini.sys
o C:\Windows\System32\\drivers\cdralw.sys
o C:\Windows\System32\drivers\riodrvs.sys
o C:\Windows\System32\drivers\DKIs6.sys
Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk
Catatan:
Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2):
• Buka Windows Explorer
• Klik menu “Tools” | Folder Option
• Klik tabulasi “View”
• Pilih opsi “Show hidden files and folders”
• Uncheck pilihan “Hide protected operating system files (recommended)”
• Klik “Apply”
• Klik “Ok”
• Repair file yang sudah di injeksi oleh virus. Untuk clean file tersebut silahkan gunakan removal tools berikut :
http://www.4shared.com/file/50751394/a0aa95b5/
_2__Norman_Alman_Cleaner.html?dirPwdVerified=7a224f27
• Untuk pembersihan optimal install scan dengan antivirus yang dapat mengenali dan membasmi virus ini dengan baik

Komputer kacau karena file .exe di injeksi virus
Selain virus ARP Poisoning yang sedang marak menyebar di Indonesia. Diam-diam ada satu virus yang juga merepotkan para pengguna komputer di Indonesia dan banyak sekali memakan korbannya. Salah satu ciri khas dari virus ini adalah kehebatannya dalam mengubah semua file yang memiliki ekstensi .EXE sehingga jelas mengganggu korbannya karena aplikasi di komputer yang menjadi korban virus ini akan menjadi kacau.
Dalam menyebarkan dirinya, virus hasil racikan luar ini akan menyebar dengan melalui jaringan dengan mengincar direktori yang di share “full” dan menginfeksi file EXE yang ada di dalam folder tersebut.
Ada beberapa lokasi yang tidak akan di rubah seperti file yang berada di direktori :
• \LOCAL SETTINGS\T
• \QQ
• \Windows
• \Winnt
Untuk mempertahankan dirinya, ia akan aktif di memori sebagai services serta akan menginfeksi library (.dll file) dari file explorer.exe serta memantau koneksi internet yang kemudian akan mendownload malware lainnya serta menjalankannya. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”.
Drop File
Pada saat virus ini aktif, ia akan membuat beberapa file induk yang akan di jalankan pertama kali setiap kali komputer aktif, file ini akan di jadikan sebagai service Windows.
• C:\Windows\linkinfo.dll
• C:\Windows\System32\drivers\LsDrv118.sys
• C:\Windows\system32\drivers\nvmini.sys
• C:\Windows\System32\drivers\cdralw.sys
• C:\Windows\System32\drivers\riodrvs.sys
• C:\Windows\System32\drivers\DKIs6.sys
Registri
Agar dirinya dapat aktif secara otomatis, ia akan membuat dirinya seolah-olah merupakan service Windows dengan terlebih dahulu membuat string pada registri berikut:
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%file%]
o “DisplayName” = “NVIDIA Compatible Windows Miniport Driver”
o “ImagePath” = “%system%\drivers\%file%.sys”
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%file%]
o “NextInstance” = 1
•[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_%file0]
o “Service” = “%file%”
o “Legacy” = 1
o “ConfigFlags” = 0
o “Class” = “LegacyDriver”
o “ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
o “DeviceDesc” = “%file%”
•[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\
Root\LEGACY_%file0\Control]
o “NewlyCreated” = 0
o “ActiveService” = “%file%”
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%file%
o “DisplayName” = “RioDrvs Usb Driver”
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\%file%
o DisplayName” = “RioDrvs Usb Driver”
Catatan:
%file% ini berbeda-beda yang terdiri dari salah satu file dibawah ini:
• Nvmini
• Cdralw
• RioDrvs
Terminate program / Aplikasi / Malware
W32/Alman juga akan mencoba untuk mematikan dan menghapus beberapa program/apalikasi/malware/library (dll file) salah satu file dibawah ini:
• c0nime.exe
• cmdbcs.exe
• ctmontv.exe
• explorer.exe
• fuckjacks.exe
• iexpl0re.exe
• iexpl0re.exe
• iexplore.exe
• internat.exe
• logo_1.exe
• logo1_.exe
• lsass.exe
• lying.exe
• msdccrt.exe
• msvce32.exe
• ncscv32.exe
• nvscv32.exe
• realschd.exe
• rpcs.exe
• run1132.exe
• rundl132.exe
• smss.exe
• spo0lsv.exe
• spoclsv.exe
• ssopure.exe
• svhost32.exe
• svch0st.exe
• sxs.exe
• sysbmw.exe
• sysload3.exe
• tempicon.exe
• upxdnd.exe
• wdfmgr32.exe
• wsvbs.exe
• dllwm.dll
• dllhosts.dll
• notepad.dll
• rpcs.dll
• rdihost.dll
• rdfhost.dll
• reshost.dll
• lgsym.dll
• rund11.dll
• midddsccrt.dll
• wsvbs.dll
• cmdb.dll
• richdll.dll
• wininfo.rxk
• windhcp.dll
• upxdhnd.dll
Ia juga akan blok proses dari software antirootkit atau network filter dibawah ini:
• SPUBDRV
• ISDRV1
• RKREVEAL
• PROCEXP
• SAFEMON
• RKHDRV10
• NPF
• IRIS
• NPPTNT
• DUMP_WMIMMC
• SPLITTER
• EAGLENT
Media penyebaran
Virus ini menyebar cukup cepat dengan memanfaatkan media Flash Disk atau Disket dan melalui jaringan. Untuk menyebar melalui Flash Disk / Disket, ia akan membuat 2 buah file yakni boot.exe (40KB) dan autorun.inf. Virus ini akan aktif secara otomatis setiap kali Flash Disk tersebut dihubungkan ke komputer atau pada saat pengguna komputer mengakses ke Flash Disk tersebut. File autorun.inf ini berisi script untuk menjalankan file boot.exe. Selain meembuat 2 file tersebut, ia juga akan menginfeksi semua file yang mempunyai ekstensi EXE. File yang sudah terinfeksi tersebut akan bertambah 32 KB dari ukuran semula.
Sedangkan untuk menyebar melalui jaringan, ia akan menginfeksi semua file EXE yang ada di folder yang di sharing yang mempunyai akses “Full”. Selain itu ia juga akan mencoba untuk mengakses drive lokal pada komputer target (C:\) dengan menggunakan username administrator serta mencoba beberapa password berikut:
• admin
• 1
• 111
• 123
• Aaa
• 12345
• 123456789
• 654321
• !@#$
• qsdf
• asdfgh
• !@#$%
• !@#$%^
• !@#$%^&
• !@#$%^&*
• !@#$%^&*(
• !@#$%^&*()
• qwer
• admin123
• love
• test123
• owner
• mypass123
• root
• letmein
• qwerty
• abc123
• password
• monkey
• password1
Jika berhasil di tembus, ia akan drop dan menjalankan satu file dengan nama setup.exe pada drive C:\.
Mampu mengupdate diri seperti antivirus
W32/Alman juga akan mencoba untuk mengirimkan beberapa informasi dari komputer yang telah terinfeksi serta mengirimkan informasi tentang keberadaan driver dari software security dibawah ini ke pembuat virus
• Hooksys
• KWatch3
• KregEx
• KLPF
• NaiAvFilter1
• NAVAP
• AVGNTMGR
• AvgTdi
• nod32drv
• PavProtect
• TMFilter
• BDFsDrv
• VETFDDNT
dan mencoba untuk download malware lain dari url yang telah di tentukan seperti:
• pic.imrw0rldwide.com
• soft.imrw0rldwide.com
• tj.imrw0rldwide.com
Injeksi File EXE
Target selanjutnya yang dilakukan adalah mencoba untuk menginfeksi semua file yang mempunyai ekstensi EXE yang tidak diproteksi oleh System File Checker (SFC).
Walaupun ia berusaha untuk menginfeksi file EXE tetapi ada beberapa lokasi yang tidak akan di incar yakni file yang berada di direktori berikut:
• \LOCAL SETTINGS\TEMP
• \QQ
• \Windows
• \Winnt
Serta beberapa file yang mempunyai salah satu nama dibawah ini:
• launcher.exe
• repair.exe
• wow.exe
• wooolcfg.exe
• woool.exe
• ztconfig.exe
• patchupdate.exe
• trojankiller.exe
• xy2player.exe
• flyff.exe
• xy2.exe
• au_unins_web.exe
• cabal.exe
• cabalmain9x.exe
• cabalmain.exe
• meteor.exe
• patcher.exe
• mjonline.exe
• config.exe
• zuonline.exe
• userpic.exe
• main.exe
• dk2.exe
• autoupdate.exe
• dbfsupdate.exe
• asktao.exe
• sealspeed.exe
• xlqy2.exe
• game.exe
• wb-service.exe
• nbt-dragonraja2006.exe
• dragonraja.exe
• mhclient-connect.exe
• hs.exe
• mts.exe
• gc.exe
• zfs.exe
• neuz.exe
• maplestory.exe
• nsstarter.exe
• nmcosrv.exe
• ca.exe
• nmservice.exe
• kartrider.exe
• audition.exe
• zhengtu.exe
Cara membersihkan W32/Alman
• Putuskan komputer yang ingin dibersihkan dari jaringan.
• Matikan “System Restore” selama proses pembersihan berlangsung.
• Disarankan lakukan pembersihan pada mode “safe mode”.
• Matikan service virus yang aktif dimemory dengan cara:
• Klik [Start] [Run].
• Ketik services.msc, pada dialog box RUN kemudian klik tombol [OK]
• Cari services virus dengan nama “NVIDIA Compatible Windows Miniport Driver” atau “RioDrvs Usb Driver”
• Kemudian klik menu Action > Properties.
• Klik tombol Stop.
• Pada bagian Startup Type pilih Manual.
• Klik OK
• Hapus registry Windows yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan, silahakn salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf | klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
[del]
HKLM, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SYSTEM\ControlSet001\Services\RioDrvs
HKLM, SYSTEM\ControlSet001\Services\cdralw
HKLM, SYSTEM\ControlSet001\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs
HKLM, SYSTEM\CurrentControlSet\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\cdralw
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
• Hapus file yang di drop oleh virus di direktori:
o C:\Windows\linkinfo.dll
o C:\Windows\System32\drivers\lsDrv118.sys
o C:\Windows\system32\\drivers\nvmini.sys
o C:\Windows\System32\\drivers\cdralw.sys
o C:\Windows\System32\drivers\riodrvs.sys
o C:\Windows\System32\drivers\DKIs6.sys
Hapus juga file Boot.exe dan autorun.inf yang dibuat di Flash Disk
Catatan:
Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang disembunyikan dengan cara (lihat gambar 2):
• Buka Windows Explorer
• Klik menu “Tools” | Folder Option
• Klik tabulasi “View”
• Pilih opsi “Show hidden files and folders”
• Uncheck pilihan “Hide protected operating system files (recommended)”
• Klik “Apply”
• Klik “Ok”
• Repair file yang sudah di injeksi oleh virus. Untuk clean file tersebut silahkan gunakan removal tools berikut :
http://www.4shared.com/file/50751394/a0aa95b5/
_2__Norman_Alman_Cleaner.html?dirPwdVerified=7a224f27
• Untuk pembersihan optimal install scan dengan antivirus yang dapat mengenali dan membasmi virus ini dengan baik
READMORE - Seranagn W32/Alman (Almanahe)

Tips dan Trik Mempercepat Akses Internet


Saat anda browsing atau membuka suatu website di internet entah dari warung internet ataupun dari rumah, mungkin anda sering mengeluh akan lambatnya akses untuk menampilkan website tersebut. Padahal akses internet di Indonesia sekarang ini masih terhitung mahal. Sebenarnya ada cara-cara mudah untuk meningkatkan kecepatan akses internat anda tanpa harus membayar biaya lebih mahal. Beberapa diantaranya adalah dengan menyetting browser kita, menggunakan openDNS, dan menggunakan Google Web Accelerator.
Untuk menerapkan trik-trik tersebut sangat mudah. Cara pertama yaitu menyetting browser dapat dilakukan oleh pengguna Internet Explorer dan Mozilla Firefox. Bagi pengguna Internet Explorer klik menu [Tools] [Internet Option], klik tab [General]. Pada opsi “Temperory Internet files”, klik [Settings] lalu Geser slider-nya. Hal itu untuk membuat cache (lokasi penyimpanan sementara) untuk web yang anda buka, sebaliknya disediakan sekitar 5% dari Hard disk.
Bagi pengguna Mozilla Firefox anda dapat mengetikkan “about:config” pada address bar,. setelah itu ubah “network.http.pipelining” dan “network.http.proxy pipelining” menjadi “true”, serta isi “network.http.pipelining.maxrequests” antara 30 –100 ( semakin besar semakin cepat ). Yang terakhir klik kanan dimana saja dan pilih New->Integer , tuliskan “nglayout.initialpaint.delay” lalu isi dengan 0.
Untuk trik kedua, pertama anda harus mendaftar di www.openDNS.com . Setelah itu masuk ke Control Panel dari start menu, pilih network connections lalu pilih koneksi anda dan klik tombol properties. Pada bagian Internet protokol anda bisa pilih TCP/IP dan klik properties. Masukkan angka 208.67.222.222 dan 208.67.220.220 pada opsi DNS dan restart komputer anda.
Setelah melakukan 2 tips di atas sekarang anda pasti akan mendapat kecepatan akses yang lebih kencang. Bagi yang masih belum puas dengan kecepatan aksesnya sekarang dapat menggunakan trik yang ke tiga yaitu Google Web Accelerator. Google Web Accelerator di desain khusus untuk mempercepat akses internet anda, khususnya anda yang menggunakan koneksi broadband (pita lebar) seperti Cable dan DSL. Untuk anda yang menggunakan koneksi lain seperti Dial-up (Telkomnet Instant atau Speedy) maupun satelit atau wave, Google Web Accelerator juga dapat mempercepat aksesnya.
Untuk memakai Google Web Accelerator anda harus memenuhi kriteria antara lain Operating System anda harus Windows XP atau Windows 2000 dan browser anda harus Internet Explorer 5.5+ atau Mozilla Firefox 1.0+. Kalau untuk browser lainnya sebenarnya juga bisa, tetapi anda harus meng-konfigurasi proxy settings dari browser anda dengan menambah 127.0.0.1:9100 pada HTTP. Setelah anda melakukan instalasi, Google Web Accelerator akan menampilkan icon kecil di atas browser anda dan icon tray di pojok bawah layar komputer. Anda dapat mengunduh Google Web Accelerator di http://webaccelerator.google.com .

Saat anda browsing atau membuka suatu website di internet entah dari warung internet ataupun dari rumah, mungkin anda sering mengeluh akan lambatnya akses untuk menampilkan website tersebut. Padahal akses internet di Indonesia sekarang ini masih terhitung mahal. Sebenarnya ada cara-cara mudah untuk meningkatkan kecepatan akses internat anda tanpa harus membayar biaya lebih mahal. Beberapa diantaranya adalah dengan menyetting browser kita, menggunakan openDNS, dan menggunakan Google Web Accelerator.
Untuk menerapkan trik-trik tersebut sangat mudah. Cara pertama yaitu menyetting browser dapat dilakukan oleh pengguna Internet Explorer dan Mozilla Firefox. Bagi pengguna Internet Explorer klik menu [Tools] [Internet Option], klik tab [General]. Pada opsi “Temperory Internet files”, klik [Settings] lalu Geser slider-nya. Hal itu untuk membuat cache (lokasi penyimpanan sementara) untuk web yang anda buka, sebaliknya disediakan sekitar 5% dari Hard disk.
Bagi pengguna Mozilla Firefox anda dapat mengetikkan “about:config” pada address bar,. setelah itu ubah “network.http.pipelining” dan “network.http.proxy pipelining” menjadi “true”, serta isi “network.http.pipelining.maxrequests” antara 30 –100 ( semakin besar semakin cepat ). Yang terakhir klik kanan dimana saja dan pilih New->Integer , tuliskan “nglayout.initialpaint.delay” lalu isi dengan 0.
Untuk trik kedua, pertama anda harus mendaftar di www.openDNS.com . Setelah itu masuk ke Control Panel dari start menu, pilih network connections lalu pilih koneksi anda dan klik tombol properties. Pada bagian Internet protokol anda bisa pilih TCP/IP dan klik properties. Masukkan angka 208.67.222.222 dan 208.67.220.220 pada opsi DNS dan restart komputer anda.
Setelah melakukan 2 tips di atas sekarang anda pasti akan mendapat kecepatan akses yang lebih kencang. Bagi yang masih belum puas dengan kecepatan aksesnya sekarang dapat menggunakan trik yang ke tiga yaitu Google Web Accelerator. Google Web Accelerator di desain khusus untuk mempercepat akses internet anda, khususnya anda yang menggunakan koneksi broadband (pita lebar) seperti Cable dan DSL. Untuk anda yang menggunakan koneksi lain seperti Dial-up (Telkomnet Instant atau Speedy) maupun satelit atau wave, Google Web Accelerator juga dapat mempercepat aksesnya.
Untuk memakai Google Web Accelerator anda harus memenuhi kriteria antara lain Operating System anda harus Windows XP atau Windows 2000 dan browser anda harus Internet Explorer 5.5+ atau Mozilla Firefox 1.0+. Kalau untuk browser lainnya sebenarnya juga bisa, tetapi anda harus meng-konfigurasi proxy settings dari browser anda dengan menambah 127.0.0.1:9100 pada HTTP. Setelah anda melakukan instalasi, Google Web Accelerator akan menampilkan icon kecil di atas browser anda dan icon tray di pojok bawah layar komputer. Anda dapat mengunduh Google Web Accelerator di http://webaccelerator.google.com .
READMORE - Tips dan Trik Mempercepat Akses Internet

Mengembalikan Data Yang Telah Terformat

READMORE - Mengembalikan Data Yang Telah Terformat