Rabu, 24 Mac 2010

Buang Fail yang x perlu

Berikut merupakan senarai fail yang dicipta oleh malware ni, dan nilai-nilai dalam registry yang harus diubah.

Proses yang harus ditutup:
c2.exe
logon.scr
scvhost.exe
svchost.exe (user)
*JANGAN TERSALAH TUTUP PROSES! Proses svchost.exe yang dimaksudkan di sini berada di bawah user name anda. Jangan tutup proses svchost.exe yang berada di bawah user name SYSTEM, NETWORK SERVICE, atau LOCAL SERVICE.



Fail yang harus dibuang:

[drive letter]:\autorun.inf
[drive letter]:\C2.exe
[system]:\msdtcvvtr.bat
[system]:\scvhost.exe
[system]:\ssms.exe
[system]:\config\svchost.exe
[system]:\dllcache\Winter.html
[system]:\drivers\7879553211.inf
[system]:\drivers\svchost.exe
[system]:\spool\logon.scr
[system]:\User\lsass.exe
[system]:\wbem\fonts.txt
[DesktopCommonDir]\Dirogol abg ipar.html
[StartMenuCommonDir]\Programs\Bende Lawak.txt
[MyDocumentsDir]\Dirogol abg ipar.html
* [system] di dalam Windows XP merujuk kepada C:\Windows\system32
* [DesktopCommonDir] di dalam Windows XP merujuk kepada:
C:\Documents and Settings\All Users\Desktop
* [StartMenuCommonDir] di dalam Windows XP merujuk kepada:
C:\Documents and Settings\All Users\Start Menu
* [MyDocumentsDir] di dalam Windows XP merujuk kepada folder My Documents

Ubah nilai Registry
Bagi membuang / mengubah apa – apa nilai dalam registry, gunakan Registry Editor dengan menaip “regedit” dalam Run.

Nilai registry yang harus dibuang: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowSuperHidden
Value: String: “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\Screensaver
Value: String: “C:\WINDOWS\system32\spool\Logon.scr”
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\
MUICache\C:\WINDOWS\system32\attrib.exe
Value: String: “Attribute Utility”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Services
Value: String: “C:\WINDOWS\system32\drivers\svchost.exe”

Nilai registry yang harus diubah: 
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\
Windows\load
Tukar “scvhost.exe” kepada “” (biarkan kosong)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\ SystemRestore\DisableSR
Tukar “1″ kepada “0″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue
Tukar “0″ kepada “2″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
Tukar “0″ kepada “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
Tukar “0″ kepada “2″
Posted by at

Tiada ulasan:

Catat Ulasan

Langgan: Catat Ulasan (Atom)