pulser team 2012
Latest images
Post Kamu
Pencarian
Pendaftaran
Loginciri-ciri kompi terkena virus sality dan cara membersihkan nya
2 posters
PULSER :: ZONA KOMPUTER :: PC SOFTWARE
Halaman 1 dari 1
ciri-ciri kompi terkena virus sality dan cara membersihkan nya
by arisa yanagita Sun Dec 26, 2010 5:33 pm
ini dia jenis worm yang paling
banyak kita temui di Indonesia &
diperkirakan asalNy dari Taiwan /
Cina.
Nama lain virus : W32/Sality.AE,
W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee],
Sality.AG [Panda Software],
Win32/Sality.Z [Computer
Associates], Win32/Sality.AA
[Computer Associates]
Virus ini akan menginfeksi dan merusak file exe / com / scr.
Ukuran file yang sudah terinfeksi
Sality akan bertambah besar
beberapa KB dan masih dapat di
jalankan seperti biasa. Biasanya
virus ini akan mem blok antivirus atau removal tools selain itu juga
akan memblok task manager
atau registry editor Windows.
Untuk mempermudah dalam
proses penyebaranNy selain
memanfaatkan File Sharing dan Default Share virus ini juga akan
memanfaatkan media Flash Disk
dengan cara membuat file acak
dengan ekstensi exe/com/scr/pif
serta menambahkan file
autorun.inf Untuk blok task manager atau
Registry tools, Sality akan
membuat :
HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionPoliciessystem *
DisableRegistryTools
*
DisableTaskMgr
File yang terinfeksi akan
mendekrip diriNy sendiri dan mencoba copy *.dll (acak) dan
menginjeksi file lain yang aktif di
memori serta file lain yang
terdapat di computer dan
network (file sharing) serta
menginfeksi file *.exe yang terdapat dalam list registry
hingga virus dapat aktif secara
otomatis setiap kali komputer
ente dinyalakan.
*
HKLMSoftwareMicrosoftWindowsCu rrentVersionRun
*
HKCUSoftwareMicrosoftWindowsCu
rrentVersionRun
*
HKEY_CURRENT_ USERSoftwareMicrosoftWindowsSh
ellNoRoamMUICache
Beberapa file *.dll yang akan di
drop oleh Sality.
*
C:Windowssystem32syslib32.dll *
C:Windowssystem32oledsp32.dll
*
C:Windowssystem32olemdb32.dll
*
C:Windowssystem32wcimgr32.dll *
C:Windowssystem32wmimgr32.dll
Selain membuat file DLL, sality
juga akan membuat file *.sys
[acak] di direktori
C:Windowssystem32drivers [misal : kmionn.sys]
Blok Antivirus dan software
security
program security dan antivirus
yang dimatikan prosesnya : ALG,
aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web
Scanner, AVP, BackWeb Plug-in – 4476822, bdss, BGLiveSvc,
BlackICE, CAISafe, ccEvtMgr,
ccProxy, ccSetMgr, F-Prot
Antivirus Update Monitor,
fsbwsys, FSDFWD, F-Secure
Gatekeeper Handler Starter, fshttps FSMA,InoRPC, InoRT,
InoTask, ISSVC, KPF4,
LavasoftFirewall, LIVESRV,
McAfeeFramework, McShield,
McTaskManager, navapsvc,
NOD32krn, NPFMntor, NSCService, Outpost Firewall main module,
OutpostFirewall, PAVFIRES,
PAVFNSVR, PavProt, PavPrSrv,
PAVSRV, PcCtlCom,
PersonalFirewal, PREVSRV,
ProtoPort Firewall service, PSIMSVC, RapApp, SmcService,
SNDSrvc, SPBBCSvc, Symantec
Core LC, Tmntsrv, TmPfw,
tmproxy, UmxAgent, UmxCfg,
UmxLU, UmxPol, vsmon, VSSERV,
WebrootDesktopFirewallDataServi ce, WebrootFirewall, XCOMM
Beberapa website Antiviruz juga
di blok kya : Cureit, Drweb,
Onlinescan, Spywareinfo, Ewido,
Virusscan, Windowsecurity,
Spywareguide, Bitdefender, Panda software, Agnmitum,
Virustotal, Sophos, Trend Micro,
Etrust.com, Symantec, McAfee, F-
Secure, Eset.com, Kaspersky
Sality juga merubah registry : *
HKEY_CURRENT_
USERSoftwareMicrosoftWindo
wsCurrentVersionInternet
Setting”GlobalUserOffline” = “0″ *
HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWi
ndowsCurrentVersionpolicies
system”EnableLUA” = “0″ *
HKEY_LOCAL_
MACHINESYSTEMCurrentContr
olSetServicesxxx [xxx
adalah acak, contoh :
abp470n5] *
HKEY_CURRENT_
USERSoftware[USER NAME]91
*
HKEY_LOCAL_
MACHINESYSTEMControlSet00 1EnumRootLEGACY_WMI_MFC_
TPSHOKER_8
*
HKEY_LOCAL_
MACHINESYSTEMControlSet00
1EnumRootLEGACY_ IPFILTERDRIVER Selain itu akan merubah
beberapa string registry
Windows Firewall berikut dengan
menambahkan value dari 0
menjadi 1: HKEY_LOCAL_
MACHINESOFTWAREMicrosoftS
ecurity Center
*
AntiVirusDisableNotify
* AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
* UacDisableNotify
*
UpdatesDisableNotify dan membuat key “SVC” serta string berikut dengan value 1 HKEY_LOCAL_
MACHINESOFTWAREMicrosoftS
ecurity CenterSvc
*
AntiVirusDisableNotify
* AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
* UacDisableNotify
*
UpdatesDisableNotify Sality menghapus key HKEY_ LOCAL_
MACHINESYSTEMCurrentContr
olSetServicesALG. ALG ( Application Layer Gateway
Service ) adalah services yang
memberikan support untuk plug-
in protokol aplikasi dan meng-
enable konektivitas jaringan /
protokol. Jika service ini dimatikan, program seperti MSN
Messenger dan Windows
Messenger tidak akan berfungsi.
Service ini bisa dijalankan, hanya
jika menggunakan firewall, baik
firewall bawaan Windows atau firewall lain. Jika tidak komputer
yang terinfeksi virus ini akan
mengalami celah keamanan yang
serius. Blok safe mode
.. User tidak dapat booting pada
mode “safe mode” hal imi di sebabkan adannya penghapusan
key : *
HKEY_LOCAL_
MACHINESYSTEMControlSet00
1ControlSafeBoot
*
HKEY_LOCAL_ MACHINESYSTEMControlSet00
2ControlSafeBoot
*
HKEY_LOCAL_
MACHINESYSTEMCurrentContr
olSetControlSafeBoot Injeksi file exe / com / scr
File yang ber ekstensi “.exe” yang terdapat dalam list registry
menyebabkan virus dapat aktif
secara otomatis setiap kali
komputer dinyalakan. *
HKLMSoftwareMicrosoftWind
owsCurrentVersionRun
*
HKCUSoftwareMicrosoftWindo
wsCurrentVersionRun *
HKEY_CURRENT_
USERSoftwareMicrosoftWindo
wsShellNoRoamMUICache File yang di injeksi ukurannya
bertambah sekitar 68 – 80 KB dari ukuran semula. Salah satu
kecanggihan Sality adalah
kemampuannya menginjeksi file
induk sehingga ukuran file
bervirus tidak seragam, jelas
lebih sulit diidentifikasi dibandingkan virus lain yang
menggantikan file yang ada
sehingga ukuran filenya akan
sama besar.
Tidak semua program antivirus
dapat membersihkan file yang sudah terinfeksi Sality, file
tersebut bisa rusak setelah di
scan dan di bersihkan oleh
antivirus tersebut.
Untuk memperlancar aksinya,
virus ini akan akan melakukan koneksi ke sejumlah alamat web
yang sudah ditentukan, dan men
download trojan / virus lainnya
yang di sinyalir merupakan
varian dari versi sebelumnya
( update ). Eksploitasi Default Share dan Full
Sharing
Sality akan menyebar dengan
cepat melalui jaringan dengan
memanfaatkkan default share
windows atau share folder yang mempunyai akses full dengan
cara menginfeksi file yang
mempunyai ekstensi exe/com/scr.
Maka sebaiknya nonaktifkan
Default Share (C$, D$ .. dst) dan
hindari Full Sharing folder di jaringan.
Sality juga akan menambahkan
string [MCIDRV_VER] dan
DEVICEMB=xxx, dimana xxx
menunjukan karakter acak ke
dalam file C:Windowssystem.ini. CARA PEMBERSIHAN
Putuskan hubungan komputer
dari jaringan dan internet
Matikan System Restore selama
proses pembersihan berlangsung.
Matikan Autorun dan Default Share, buat *.inf, klik kanan – install CODE: [Version]
Signature=”$Chicago$” Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellope
ncommand,,,”"”%1″” %*” HKLM,
SoftwareCLASSEScomfileshellope
ncommand,,,”"”%1″” %*” HKLM,
SoftwareCLASSESexefileshellope
ncommand,,,”"”%1″” %*” HKLM,
SoftwareCLASSESpiffileshellopen
command,,,”"”%1″” %*” HKLM,
SoftwareCLASSESregfileshellope
ncommand,,,”regedit.exe “%1″” HKLM,
SoftwareCLASSESscrfileshellope
ncommand,,,”"”%1″” %*” HKLM,
SOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon,
Shell,0, “Explorer.exe” HKLM,
SYSTEMControlSet001ControlSa
feBoot, AlternateShell,0,
“cmd.exe” HKLM,
SYSTEMControlSet002ControlSa
feBoot, AlternateShell,0,
“cmd.exe” HKLM,
SYSTEMCurrentControlSetContr
olSafeBoot, AlternateShell,0,
“cmd.exe” HKLM,
SYSTEMCurrentControlSetServi
ceslanmanserverparameters,
AutoShareWks,0×00010001,0
HKLM,
SYSTEMCurrentControlSetServi ceslanmanserverparameters,
AutoShareServer,0×00010001,0
HKCU,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesExplorer,
NoDriveTypeAutoRun,0x000000f f,255
HKLM,
SOFTWAREMicrosoftWindowsCurr
entVersionpoliciesExplorer,
NoDriveTypeAutoRun,0x000000f
f,255 [del]
HKCU,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl
eRegistryTools
HKCU, SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl
eTaskMgr
HKLM,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl eRegistryTools
HKLM,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl
eTaskMgr Matikan program aplikasi yang
aktif di memori terutama dalam
daftar startup.
Scan dengan removal tools
dengan terlebih dahulu merubah
ekstensi dari removal tools tersebut dengan ekstensi lain
( misal, *.exe menjadi *.cmd )
atau pakai media write protect,
file removal tersebut tidak di
infeksi ulang oleh Sality.
Delete the value from the registry
1. Click Start > Run.
2. Type regedit
3. Click OK.Note: If the registry
editor fails to open the threat
may have modified the registry to prevent access to the
registry editor. Security
Response has developed a tool
to resolve this problem.
Download and run this tool, and
then continue with the removal. 4. Navigate to and delete the
following registry entry:HKEY_
LOCAL_
MACHINESYSTEMControlSet001Serv
icesSharedAccessParametersFirew
allPolicyStandardProfileAuthorized ApplicationsList”[INFECTED FILE]” = “[INFECTED FILE]:*:Enabled:ipsec” 5. Navigate to and delete the
following registry subkeys:
* HKEY_CURRENT_USERSoftware
[USER NAME]914
* HKEY_LOCAL_
MACHINESYSTEMControlSet001Enu mRootLEGACY_WMI_MFC_
TPSHOKER_80
* HKEY_LOCAL_
MACHINESYSTEMControlSet001Enu
mRootLEGACY_IPFILTERDRIVER
6. Restore the following registry entries to their previous values,
if required:
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionInternet
Setting”GlobalUserOffline” = “0″ * HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionpoliciessystem”En ableLUA” = “0″ 7. Restore registry entries under
the following registry subkeys to
their previous values, if required:
* HKEY_CURRENT_
USERSystemCurrentControlSetCon
trolSafeBoot * HKEY_LOCAL_
MACHINESYSTEMCurrentControlSet
ControlSafeBoot
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionExtStats * HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionExtStats
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionExtStats * HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionExtStats
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionExplorerBrowser Helper Objects
* HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionExplorerBrowser
Helper Objects
8. Exit the Registry Editor.
banyak kita temui di Indonesia &
diperkirakan asalNy dari Taiwan /
Cina.
Nama lain virus : W32/Sality.AE,
W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee],
Sality.AG [Panda Software],
Win32/Sality.Z [Computer
Associates], Win32/Sality.AA
[Computer Associates]
Virus ini akan menginfeksi dan merusak file exe / com / scr.
Ukuran file yang sudah terinfeksi
Sality akan bertambah besar
beberapa KB dan masih dapat di
jalankan seperti biasa. Biasanya
virus ini akan mem blok antivirus atau removal tools selain itu juga
akan memblok task manager
atau registry editor Windows.
Untuk mempermudah dalam
proses penyebaranNy selain
memanfaatkan File Sharing dan Default Share virus ini juga akan
memanfaatkan media Flash Disk
dengan cara membuat file acak
dengan ekstensi exe/com/scr/pif
serta menambahkan file
autorun.inf Untuk blok task manager atau
Registry tools, Sality akan
membuat :
HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionPoliciessystem *
DisableRegistryTools
*
DisableTaskMgr
File yang terinfeksi akan
mendekrip diriNy sendiri dan mencoba copy *.dll (acak) dan
menginjeksi file lain yang aktif di
memori serta file lain yang
terdapat di computer dan
network (file sharing) serta
menginfeksi file *.exe yang terdapat dalam list registry
hingga virus dapat aktif secara
otomatis setiap kali komputer
ente dinyalakan.
*
HKLMSoftwareMicrosoftWindowsCu rrentVersionRun
*
HKCUSoftwareMicrosoftWindowsCu
rrentVersionRun
*
HKEY_CURRENT_ USERSoftwareMicrosoftWindowsSh
ellNoRoamMUICache
Beberapa file *.dll yang akan di
drop oleh Sality.
*
C:Windowssystem32syslib32.dll *
C:Windowssystem32oledsp32.dll
*
C:Windowssystem32olemdb32.dll
*
C:Windowssystem32wcimgr32.dll *
C:Windowssystem32wmimgr32.dll
Selain membuat file DLL, sality
juga akan membuat file *.sys
[acak] di direktori
C:Windowssystem32drivers [misal : kmionn.sys]
Blok Antivirus dan software
security
program security dan antivirus
yang dimatikan prosesnya : ALG,
aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web
Scanner, AVP, BackWeb Plug-in – 4476822, bdss, BGLiveSvc,
BlackICE, CAISafe, ccEvtMgr,
ccProxy, ccSetMgr, F-Prot
Antivirus Update Monitor,
fsbwsys, FSDFWD, F-Secure
Gatekeeper Handler Starter, fshttps FSMA,InoRPC, InoRT,
InoTask, ISSVC, KPF4,
LavasoftFirewall, LIVESRV,
McAfeeFramework, McShield,
McTaskManager, navapsvc,
NOD32krn, NPFMntor, NSCService, Outpost Firewall main module,
OutpostFirewall, PAVFIRES,
PAVFNSVR, PavProt, PavPrSrv,
PAVSRV, PcCtlCom,
PersonalFirewal, PREVSRV,
ProtoPort Firewall service, PSIMSVC, RapApp, SmcService,
SNDSrvc, SPBBCSvc, Symantec
Core LC, Tmntsrv, TmPfw,
tmproxy, UmxAgent, UmxCfg,
UmxLU, UmxPol, vsmon, VSSERV,
WebrootDesktopFirewallDataServi ce, WebrootFirewall, XCOMM
Beberapa website Antiviruz juga
di blok kya : Cureit, Drweb,
Onlinescan, Spywareinfo, Ewido,
Virusscan, Windowsecurity,
Spywareguide, Bitdefender, Panda software, Agnmitum,
Virustotal, Sophos, Trend Micro,
Etrust.com, Symantec, McAfee, F-
Secure, Eset.com, Kaspersky
Sality juga merubah registry : *
HKEY_CURRENT_
USERSoftwareMicrosoftWindo
wsCurrentVersionInternet
Setting”GlobalUserOffline” = “0″ *
HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWi
ndowsCurrentVersionpolicies
system”EnableLUA” = “0″ *
HKEY_LOCAL_
MACHINESYSTEMCurrentContr
olSetServicesxxx [xxx
adalah acak, contoh :
abp470n5] *
HKEY_CURRENT_
USERSoftware[USER NAME]91
*
HKEY_LOCAL_
MACHINESYSTEMControlSet00 1EnumRootLEGACY_WMI_MFC_
TPSHOKER_8
*
HKEY_LOCAL_
MACHINESYSTEMControlSet00
1EnumRootLEGACY_ IPFILTERDRIVER Selain itu akan merubah
beberapa string registry
Windows Firewall berikut dengan
menambahkan value dari 0
menjadi 1: HKEY_LOCAL_
MACHINESOFTWAREMicrosoftS
ecurity Center
*
AntiVirusDisableNotify
* AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
* UacDisableNotify
*
UpdatesDisableNotify dan membuat key “SVC” serta string berikut dengan value 1 HKEY_LOCAL_
MACHINESOFTWAREMicrosoftS
ecurity CenterSvc
*
AntiVirusDisableNotify
* AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
* UacDisableNotify
*
UpdatesDisableNotify Sality menghapus key HKEY_ LOCAL_
MACHINESYSTEMCurrentContr
olSetServicesALG. ALG ( Application Layer Gateway
Service ) adalah services yang
memberikan support untuk plug-
in protokol aplikasi dan meng-
enable konektivitas jaringan /
protokol. Jika service ini dimatikan, program seperti MSN
Messenger dan Windows
Messenger tidak akan berfungsi.
Service ini bisa dijalankan, hanya
jika menggunakan firewall, baik
firewall bawaan Windows atau firewall lain. Jika tidak komputer
yang terinfeksi virus ini akan
mengalami celah keamanan yang
serius. Blok safe mode
.. User tidak dapat booting pada
mode “safe mode” hal imi di sebabkan adannya penghapusan
key : *
HKEY_LOCAL_
MACHINESYSTEMControlSet00
1ControlSafeBoot
*
HKEY_LOCAL_ MACHINESYSTEMControlSet00
2ControlSafeBoot
*
HKEY_LOCAL_
MACHINESYSTEMCurrentContr
olSetControlSafeBoot Injeksi file exe / com / scr
File yang ber ekstensi “.exe” yang terdapat dalam list registry
menyebabkan virus dapat aktif
secara otomatis setiap kali
komputer dinyalakan. *
HKLMSoftwareMicrosoftWind
owsCurrentVersionRun
*
HKCUSoftwareMicrosoftWindo
wsCurrentVersionRun *
HKEY_CURRENT_
USERSoftwareMicrosoftWindo
wsShellNoRoamMUICache File yang di injeksi ukurannya
bertambah sekitar 68 – 80 KB dari ukuran semula. Salah satu
kecanggihan Sality adalah
kemampuannya menginjeksi file
induk sehingga ukuran file
bervirus tidak seragam, jelas
lebih sulit diidentifikasi dibandingkan virus lain yang
menggantikan file yang ada
sehingga ukuran filenya akan
sama besar.
Tidak semua program antivirus
dapat membersihkan file yang sudah terinfeksi Sality, file
tersebut bisa rusak setelah di
scan dan di bersihkan oleh
antivirus tersebut.
Untuk memperlancar aksinya,
virus ini akan akan melakukan koneksi ke sejumlah alamat web
yang sudah ditentukan, dan men
download trojan / virus lainnya
yang di sinyalir merupakan
varian dari versi sebelumnya
( update ). Eksploitasi Default Share dan Full
Sharing
Sality akan menyebar dengan
cepat melalui jaringan dengan
memanfaatkkan default share
windows atau share folder yang mempunyai akses full dengan
cara menginfeksi file yang
mempunyai ekstensi exe/com/scr.
Maka sebaiknya nonaktifkan
Default Share (C$, D$ .. dst) dan
hindari Full Sharing folder di jaringan.
Sality juga akan menambahkan
string [MCIDRV_VER] dan
DEVICEMB=xxx, dimana xxx
menunjukan karakter acak ke
dalam file C:Windowssystem.ini. CARA PEMBERSIHAN
Putuskan hubungan komputer
dari jaringan dan internet
Matikan System Restore selama
proses pembersihan berlangsung.
Matikan Autorun dan Default Share, buat *.inf, klik kanan – install CODE: [Version]
Signature=”$Chicago$” Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellope
ncommand,,,”"”%1″” %*” HKLM,
SoftwareCLASSEScomfileshellope
ncommand,,,”"”%1″” %*” HKLM,
SoftwareCLASSESexefileshellope
ncommand,,,”"”%1″” %*” HKLM,
SoftwareCLASSESpiffileshellopen
command,,,”"”%1″” %*” HKLM,
SoftwareCLASSESregfileshellope
ncommand,,,”regedit.exe “%1″” HKLM,
SoftwareCLASSESscrfileshellope
ncommand,,,”"”%1″” %*” HKLM,
SOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon,
Shell,0, “Explorer.exe” HKLM,
SYSTEMControlSet001ControlSa
feBoot, AlternateShell,0,
“cmd.exe” HKLM,
SYSTEMControlSet002ControlSa
feBoot, AlternateShell,0,
“cmd.exe” HKLM,
SYSTEMCurrentControlSetContr
olSafeBoot, AlternateShell,0,
“cmd.exe” HKLM,
SYSTEMCurrentControlSetServi
ceslanmanserverparameters,
AutoShareWks,0×00010001,0
HKLM,
SYSTEMCurrentControlSetServi ceslanmanserverparameters,
AutoShareServer,0×00010001,0
HKCU,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesExplorer,
NoDriveTypeAutoRun,0x000000f f,255
HKLM,
SOFTWAREMicrosoftWindowsCurr
entVersionpoliciesExplorer,
NoDriveTypeAutoRun,0x000000f
f,255 [del]
HKCU,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl
eRegistryTools
HKCU, SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl
eTaskMgr
HKLM,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl eRegistryTools
HKLM,
SoftwareMicrosoftWindowsCurr
entVersionPoliciesSystem,Disabl
eTaskMgr Matikan program aplikasi yang
aktif di memori terutama dalam
daftar startup.
Scan dengan removal tools
dengan terlebih dahulu merubah
ekstensi dari removal tools tersebut dengan ekstensi lain
( misal, *.exe menjadi *.cmd )
atau pakai media write protect,
file removal tersebut tidak di
infeksi ulang oleh Sality.
Delete the value from the registry
1. Click Start > Run.
2. Type regedit
3. Click OK.Note: If the registry
editor fails to open the threat
may have modified the registry to prevent access to the
registry editor. Security
Response has developed a tool
to resolve this problem.
Download and run this tool, and
then continue with the removal. 4. Navigate to and delete the
following registry entry:HKEY_
LOCAL_
MACHINESYSTEMControlSet001Serv
icesSharedAccessParametersFirew
allPolicyStandardProfileAuthorized ApplicationsList”[INFECTED FILE]” = “[INFECTED FILE]:*:Enabled:ipsec” 5. Navigate to and delete the
following registry subkeys:
* HKEY_CURRENT_USERSoftware
[USER NAME]914
* HKEY_LOCAL_
MACHINESYSTEMControlSet001Enu mRootLEGACY_WMI_MFC_
TPSHOKER_80
* HKEY_LOCAL_
MACHINESYSTEMControlSet001Enu
mRootLEGACY_IPFILTERDRIVER
6. Restore the following registry entries to their previous values,
if required:
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionInternet
Setting”GlobalUserOffline” = “0″ * HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionpoliciessystem”En ableLUA” = “0″ 7. Restore registry entries under
the following registry subkeys to
their previous values, if required:
* HKEY_CURRENT_
USERSystemCurrentControlSetCon
trolSafeBoot * HKEY_LOCAL_
MACHINESYSTEMCurrentControlSet
ControlSafeBoot
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionExtStats * HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionExtStats
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionExtStats * HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionExtStats
* HKEY_CURRENT_
USERSoftwareMicrosoftWindowsCu
rrentVersionExplorerBrowser Helper Objects
* HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindow
sCurrentVersionExplorerBrowser
Helper Objects
8. Exit the Registry Editor.
arisa yanagita- UMTS Pulser
-
Jumlah posting : 857
Lemper Ijo : 30
Mulai Gabung : 30.06.10
Lokasi : nawasaki
Re: ciri-ciri kompi terkena virus sality dan cara membersihkan nya
by arc Sun Dec 26, 2010 9:11 pm
thanks gan +1
warnet dket rmh kompi nya keinfeksi virus ini semua...
warnet dket rmh kompi nya keinfeksi virus ini semua...
arc- Moderators
- Jumlah posting : 6027
Lemper Ijo : 121
Mulai Gabung : 20.05.10
Lokasi : Play Store
Re: ciri-ciri kompi terkena virus sality dan cara membersihkan nya
by arisa yanagita Sun Dec 26, 2010 9:23 pm
makasih mod avril atas lempernya
arisa yanagita- UMTS Pulser
- Jumlah posting : 857
Lemper Ijo : 30
Mulai Gabung : 30.06.10
Lokasi : nawasaki
Sponsored content
Similar topics» Ciri Komputer yang Terjangkit Virus Ramnit
» cara membersihkan virus pemakan harddish stuxnet atau winsta
» 6 cara mengatasi virus luma maya[lunamaya.exe]
» cara membuat program perusak[seperti virus]
» mengatasi virus .pif or virus level[9]
» cara membersihkan virus pemakan harddish stuxnet atau winsta
» 6 cara mengatasi virus luma maya[lunamaya.exe]
» cara membuat program perusak[seperti virus]
» mengatasi virus .pif or virus level[9]
PULSER :: ZONA KOMPUTER :: PC SOFTWARE
Halaman 1 dari 1
Permissions in this forum:
Anda tidak dapat menjawab topik|
|
|
