Kemarin Gue di minta ama temen gue buat bersihin virus di komputernya. Sebenernya sih rada males waktu tau dia pengguna Windows. Soalnya capek kalo bersihin virus di platform itu. banyak banget. apalagi kalo usernya termasuk kategori males buat update antivirus. hehehhe.... tapi lumayan buat nambah pengetahuan tentang virus baru...Setelah sampai, pas gue cek. ternyata sepertinya ini virus baru dan gue belom pernah liat. soalnya OSnya kali ini jadi lemah banget. Padahal setau gue, Vista itu lebih baik daripada XP untuk securitynya. dan kenyataannya ini parah banget.setelah googling. gue dapet artikel dari Vaksin.com. ternyatam ini adalah Virus lokal. Salut gue buat Virus maker kita. kemampuannya bisa menyaingi programmer luar...
Berikut Beritanya... Gue copy langsung dari Vaksin.com
Siapa bilang Windows Vista aman dari virus. Pada saat peluncurannya boleh-boleh Windows Vista di klaim aman dari virus. Tetapi waktu membuktikan bahwa buatan manusia tidak ada yang sempurna dan hanya tinggal tunggu waktu saja sampai satu OS berhasil di eksplorasi dan ditemukan cara untuk mengeksploitasinya. Hal ini terbukti dari virus Huhuhaha yang saat ini sedang marak menyebar di Indonesia yang mepumpuhkan UAC (User Account Control) Windows vista yang digunakan untuk mencegah program tidak diinginkan berjalan secara otomatis tanpa persetujuan pengguna komputer.
Belum lepas terkejutnya pengguna komputer akan ancaman virus Hopeless, http://vaksin.com/2009/0109/hopeless/hopeless.html, serta makin mengganasnya ancaman virus mancanegara W32/Conficker (alias W32/Downadup, alias W32/Kido) yang sejak awal hingga pertengahan januari ini sudah memakan korban hingga “9 Juta” pengguna komputer dunia. Kini dilanjutkan kembali oleh pembuat virus lokal dengan semakin merebaknya virus VBS yang memakan korban pengguna USB (Flash maupun Drive) pada Instansi Pemerintah, BUMN, Perusahaan Swasta, Instansi Pendidikan serta warnet-warnet di Indonesia.
Entah apa hubungannya dengan krisis global yang melanda dunia saat ini (khususnya dunia komputer), pembuat virus VBS ini membuat virus ini dengan tema “HUHUHAHA”. Norman Security Suite mendeteksi varian virus “huhuhaha” tsb sebagai VBS/Autorun.AO. (lihat gambar 1)
Gambar 1, Norman Security Suite mendeteksi sebagai VBS/Autorun.AO
Ciri File Virus
Virus Huhuhaha dibuat dengan menggunakan bahasa pemrograman VBScript. File virus berukuran 6 kb, dan agar dapat menyebar secara otomatis ia akan membuat file pendamping yaitu “autorun.inf” yang berisi script untuk menjalankan file virus.
Jika virus berhasil menginfeksi, ia akan membuat beberapa file virus diantaranya :
* autorun.inf (pada semua root drive)
* huhuhaha.vbs (pada semua root drive)
* C:\WINDOWS\system32\XpWin.vbs
Virus juga akan mengcopy file “autorun.inf” dan “huhuhaha.vbs” pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Semua file virus tersebut memiliki atribut file RHSA (Read, Hidden, System, Archive), sehingga tidak terlihat jika user tidak memunculkan menu hidden. (lihat gambar 2)
Gambar 2, File virus huhuhaha atau VBS/Autorun.AO
Gejala/Efek Virus
Jika sudah terinfeksi virus huhuhaha, akan menimbulkan gejala/efek berikut :
* Memunculkan text virus pada menu “Run”. (lihat gambar 3)
Gambar 3, Text virus pada menu Run
* Menonaktifkan system restore. Hal ini dilakukan agar user tidak dapat mengembalikan setingan system windows kembali seperti sebelum terinfeksi virus ini.
* Menambah header text virus pada Internet Explorer. (lihat gambar 4)
Gambar 4, Header text virus pada Internet Explorer
* Disable fungsi UAC (User Account Control) Windows Vista. UAC adalah fitur pada Windows Vista yang diklaim Microsoft membuat Vista lebih aman daripada Windows XP. Bedanya adalah satu pop up Windows yang menghalangi program (baik program virus atau bukan) dijalankan secara otomatis dan pengguna komputer tetap bisa menyetujui atau menolak program tersebut untuk dijalankan. Dalam banyak kasus serangan virus, pengguna Vista yang terganggu dengan peringatan UAC yang berulang-ulang (karena virus yang terus menerus berusaha menginfeksikan dirinya pada sistem) akan cenderung mengabaikan peringatan UAC dan mengijinkan program untuk dijalankan. Dalam kasus virus Huhuhaha ini, UAC sudah dianggap mengganggu oleh pembuat virus lokal sehingga perlu di nonaktifkan guna memuluskan penyebarannya. Hal ini kembali membuktikan bahwa pada prinsipnya tidak ada OS yang aman dari serangan virus. Pertanyaannya bukanlah “OS apa yang aman dari serangan virus ? ” tetapi “Apakah pembuat virus ingin menyerang OS tersebut atau tidak ?”. (lihat gambar 5)
Pada Vista, fitur ini digunakan agar user biasa dapat menjalankan program/perintah windows yang membutuhkan hak akses admin. Berikut artikel lengkap http://www.microsoft.com/windows/windows-vista/features/user-account-control.aspx
Gambar 5, UAC (User Account Control) yang berusaha dinonaktifkan oleh Huhuhaha
* Merubah nama registrasi computer dengan text virus. (lihat gambar 6)
Gambar 6, Informasi “Registered to: yang dirubah menjadi huhuhaha
* Menonaktifkan fungsi “safe mode” dan membuat “blue screen” windows. Saat user berusaha masuk melalui fitur safe mode, maka akan muncul blue screen. (lihat gambar 7)
Gambar 7, Blue Screen yang diakibatkan Huhuhaha jika user memasuki mode safe mode
* Mematikan fungsi Security Center Windows. Fitur ini digunakan untuk memastikan kondisi komputer dari 3 aspek keamanan yaitu Automatic Updates, Firewall dan Software Antivirus.
Metode Penyebaran
Sama seperti virus lokal lainnya, virus huhuhaha masih menggunakan media USB (flash/drive) sebagai penyebarannya. Virus akan membuat file “autorun.inf” dan “huhuhaha.vbs” pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Kedua file tersebut akan aktif secara otomatis dengan hanya mengkases usb (drive/flash) tersebut.
Modifikasi Registry
Agar dapat aktif saat komputer dijalankan, virus membuat string berikut :
* HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run
Ageia = C:\WINDOWS\system32\XpWin.vbs
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Systemdir = C:\WINDOWS\huhuhaha.vbs
Agar dapat muncul pada menu Run, virus membuat string berikut :
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunMRU
a = huhuhaha
Walau tidak men-disable fungsi windows seperti task manager, folder options, regedit, dll, virus men-disable system restore dengan membuat string berikut :
* HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
Serta men-disable fungsi UAC (User Account Control) dengan membuat string berikut :
* HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA = 0x00000000
Selain itu, virus menambah caption text pada Internet Explorer dengan membuat string berikut :
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title = huhuhaha
Kemudian, virus juga merubah registrasi komputerdengan membuat string berikut :
* HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion
RegisteredOrganization = huhuhaha
RegisteredOwner = huhuhaha
Agar dapat muncul text virus saat login windows, virus membuat string berikut :
* HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion
LegalNoticeCaption = huhuhaha virus
LegalNoticeText = huhuhaha
Untuk men-disable fungsi safe mode, virus men-“delete” string berikut :
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell
Serta men-“delete” key berikut :
* HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\SafeBoot\Minimal
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
Terakhir, virus berusaha mematikan fungsi Security Center dengan membuat string berikut :
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntivirusDisableNotify = 1
FirewallDisableNotify = 1
UpdatesDisableNotify = 1
Pembersihan Virus
* Putuskan komputer yang akan dibersihkan dari jaringan/internet.
* Matikan proses virus yang aktif pada memori. Gunakan Windows Task Manager untuk mematikan proses virus, yaitu dengan nama “wscript.exe”. (wscript.exe merupakan file windows yang digunakan untuk menjalankan file vbscript). (lihat gambar 8)
Gambar 8, Matikan proses virus dengan Windows Task Manager
* Hapus file virus berikut :
* autorun.inf (pada semua root drive)
* huhuhaha.vbs (pada semua root drive)
* C:\WINDOWS\system32\XpWin.vbs
Catatan
* Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus. (virus memiliki atribut file Hidden, Archive, System, dan Read-Only)
* Untuk mempermudah proses pencarian sebaiknya gunakan fasilitas "Search” Windows dengan filter file autorun.inf dan *.vbs yang mempunyai ukuran 6 KB.
* Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[UnhookRegKey]
HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0x00000000,0
HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0x00000000,0
HKLM, SOFTWARE\Microsoft\Security Center, UpdatesDisableNotify, 0x00000000,0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization, 0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner, 0, "Owner"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore, DisableSR, 0x00000000,0
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys, (default), "FSFilter System Recovery"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}, (default), "Net"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}, (default), "NetClient"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}, (default), "NetService"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}, (default), "NetTrans"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys, (default), "FSFilter System Recovery"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI, (default), "Driver Group"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys, (default), "Driver"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt, (default), "Service"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC, (default), "Service"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\RunMRU, a
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Ageia
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Systemdir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system, EnableLUA
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih install.
* Untuk pembersihan virus huhuhaha secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mengenali virus ini dengan baik.
Salam,
Ad Sap
info@vaksin.com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 345 6850
Fx : 021 345 6851
Sumber : Di sini
Tidak ada komentar:
Posting Komentar