Info

SELAMAT DATANG

Selamat datang di Coretan Dekorresley - saya senang Anda berada di sini, dan berharap Anda sering datang kembali. Silakan Berlama - Lama di sini dan membaca lebih lanjut tentang artikel dunia teknik. Ada banyak hal tentang kami, Anda mungkin akan menemukan sesuatu yang menarik

Sekilas Tentang Dekorresley

Nama saya Dekorresley, Saya Bukan Seorang Blogger, Desainer atau Apapun Tapi Saya Hanya Seseorang Yang Ingin Selalu Belajar dan Ingin Tahu Sesuatu Yang Baru...

-=IKRFM=-

Original design by: Dekorresley™

Kamis, 30 Juni 2011

New Cookies & Account Premium 30-06-2011



Filesonic Account Premium
here..


Filesonic Cookie Premium (new)
here..




Hotfile Cookie Premium
here..

Hotfile Account Premium (new)
here..
Hotfile Cookie Premium (new)
here..


Wupload Cookies Premium
here..
- New Cookies & Account Premium 30-06-2011

Game Booster 2.3 + Crack (FUll)

Game Booster adalah program untuk membantu mengoptimalkan kinerja komputer kita, sehingga komputer kita dapat bekerja secara optimal. Cara kerja dari Game Booster adalah menonaktifkan software yang berjalan dibelakang background dengan kata lain program yang berjalan tapi gak keliatan. Tapi bisa dilihat di Task Manager.

Nah, saya sedikit mau share disini, saya menggunakan Game Booster 2.3 Premium untuk bermain PES 2011 di laptop. Spesifikasi Laptop saya adalah :




Download Game Booster 2.3 Premium + SN


Acer Aspire 4520 Versi Pertama :

VGA = Nvidia GeForce 7000M 256 MB
RAM = 1.5 GB
Procesor = AMD Athlon X2


Nah buat maen PES 2011 kan sangat pas-pasan banget spek laptop saya, bahkan bisa dibilang jauh mencukupi standar. Akhirnya saya coba menggunakan Game Booster, Setelah di Install. Lalu saya jalankan dan optimize. Ceklist semua program yang berjalan. Lalu setelah di optimize saya buka PES 2011 dan hasilnya lumayan, gak patah-patah lagi gambarnya.

Kalo teman-teman pingin mencobanya, teman-teman bisa mendownloadnya dibawah gambar di atas. Dengan file size 6.67 MB. Didalamnya sudah ada Serial Numbernya biar bisa premium.

Selamt Mencoba...!!
- Game Booster 2.3 + Crack (FUll)

Rabu, 29 Juni 2011

Mempercepat Komputer Dengan Memory Booster Gold 6.1.1.589 + Serial Number SN Full Version Gratis

Untuk mengoptimalkan kinerja RAM bisa dilakukan dengan banyak cara, salah satunya bisa menggunakan Memory Booster Gold. Nah teman-teman bisa mendownload software ini secara graatis dan Full Version dengan Serial Number di dalamnya. Teman-teman bisa mendownloadnya disini :


DOWNLOAD

Didalamnya terdapat Memory Booster Gold dan Serialnya. Setelah selesai download teman-teman tinggal menginstallnya. Size 5.6MB
- Mempercepat Komputer Dengan Memory Booster Gold 6.1.1.589 + Serial Number SN Full Version Gratis

Download SpeedBit Video Accelerator Premium + Crack + SN Gratis (Free)

Manfaat SpeedBit Video Accelerator adalah untuk melihat video dari youtube tanpa harus buffering, yang kedua adalah untuk melihat video secara online dengan jernih. Dan yang penting adalah untuk dapat mendownload video dari youtube. Dengan menggunakan program ini, pasti proses download akan lebih cepat daripada download dengan menggunakan browser. Untuk mendownload SpeedBit Video Accelerator Premium ini, teman-teman bisa mendownloadnya disini :

LINK

Setelah didownload, lalu install. Jangan lupa jalankan patchnya, sebelum menjalankan patchnya. Matikan dulu proses program ini dengan menggunakan Task Manager, Copy patch di folder :

C:\Program Files\SpeedBit Video Accelerator


Setelah itu jalankan patchnya, dan berhasil. Teman-teman sudah mempunyai SpeedBit Video Accelerator Premium. Selamat Mencoba...!!
- Download SpeedBit Video Accelerator Premium + Crack + SN Gratis (Free)

Cheat Engine 1.6


LINK DOWNLOAD

Cheat Engine 6.1 Released:
It's time for a new release again. This mainly contains bugfixes that 6.0 introduced and implementing some old features that went missing from 5.6.1 to 6.0 (Trainer maker) The lua environment has been extended and some new features have been added that can make dissecting a program easier (for example the structure spider , last branch record recordign on Intel Fam6 and string map, comments in assembler, etc...)
Also, translation support has been added so you can now create translation files (.PO files) which can be used to translate Cheat Engine. There is already a russian translation file. If you do a translation please send them to dark_byte@hotmail.com or pm in the forum and will be uploaded them to the site
Cheat Engine 6.1

Fixes:
# Fixed DBVM from not working
# Fixed Kernelmode debugging with DBVM in 64-bit
# Several disassembler fixes
# Scanning errors now show the error
# Fixed a few 16-bit assembler instructions
# Fixed doubleclicking the assembler scan going to 00000000
# Fixed the assembler scan going from ffffffff back to 0 and starting over again
# Fixed autoattach causing huge memory leak
# Fixed clicking nextscan when having 0 results
# Fixed 8 byte scans so they it can now scan negative values
# Prevent a 32-bit plugin from showing up error messages when loaded in the 64-bit ce version (It won't work)
# Fixed the VEH debugger from not handling int3 breakpoints properly
# Fixed XMM registers in the veh debugger
# Fixed the VEH debugger from causing a program to hang when Cheat Engine is closed normally
Changes since public release: (max 7 days)
# June 4 2011: Add the shellExecute lua function
# June 5 2011: Fix assembling of movq
# June 7 2011: Fix loading a table after having a table with files. And fix the listbox and combobox in the designer. And AOBscan script fix
# June 9 2011: Fix lua memory scan creation and reading out the results

Changes:
# Added a structure spider which may help in finding ways to distinguish between two objects
# Value scanning can now take formulas
# Added a form designer to create lua extensions
# Added an automated trainer generator that will generate a trainer script for you
# Added lots and lots of new functions to the lua engine. Check the helpfile or main.lua
# Added the ability to save binary files into a cheat table
# Added an xm-player
# Added columns to the stackview window
# Added an option to choose if the disassembler should show 32-bit or 64-bit code
# Added support to translate cheat engine to any language you want (check the language folder for more info)
# Some speed improvements at several tools
# Added undo last edit (ctrl+z) when editing values in a cheat table
# Added extra option to the pointer rescan so you can filter out paths more specifically
# Added custom comments to the assembler window
# Added the ability to use lua variables inside auto assembler ( $luavariable )
# Added syntax highlighting to lua
# Changed the lua dlls with versions that don't need the C++ runtime installed
# Changed the lua library to support 64-bit dll's
# The lua script has been moved from the comments window to it's own menu on top
# In the hexadecimal view when selecting 4 bytes and then pressing space will make you go there. Backspace returns
# Added the .cetrainer file extension so you can download very small files and have great trainers

Note:
Some anti-virus programs mistakenly pick up parts of Cheat Engine as a trojan/virus. It's best to disable your anti-virus before installing or running Cheat Engine


Translated into Indonesian :

Cheat Engine 6.1 Dirilis:
Sudah waktunya untuk rilis baru lagi. Hal ini terutama berisi perbaikan bug yang 6,0 memperkenalkan dan menerapkan beberapa fitur lama yang hilang dari 5.6.1 ke 6.0 (pembuat Trainer) Lingkungan Lua telah diperpanjang dan beberapa fitur baru telah ditambahkan yang dapat membuat program lebih mudah membedah (misalnya struktur laba-laba, cabang recordign record terakhir pada Intel Fam6 dan peta string, komentar dalam assembler, dll) ..
Juga, dukungan penerjemahan telah ditambahkan sehingga kini Anda dapat membuat file terjemahan (. PO file) yang dapat digunakan untuk menerjemahkan Cheat Engine. Sudah ada file terjemahan Russian. Jika Anda melakukan terjemahan kirimkan ke dark_byte@hotmail.com atau pm di forum dan akan di-upload ke situs
Cheat Engine 6.1
Perbaikan:
# Fixed dbvm dari tidak bekerja
# Fixed kernelmode debugging dengan dbvm di 64-bit # Beberapa perbaikan disassembler Kesalahan # Pemindaian sekarang menunjukkan kesalahan # Fixed 16-bit assembler beberapa instruksi # Fixed klik dua kali scan assembler akan 00000000
# Fixed scan assembler pergi dari FFFFFFFF kembali ke 0 dan mulai lagi # Fixed autoattach menyebabkan kebocoran memori yang besar # Fixed mengklik nextscan ketika memiliki 0 hasil # Tetap 8 byte scan sehingga mereka sekarang dapat memindai nilai negatif
# Mencegah plugin 32-bit dari muncul pesan kesalahan ketika dimuat dalam versi 64-bit ce (Ini tidak akan bekerja)
# Fixed debugger tidak menangani VEH dari int3 Breakpoints benar
XMM # Fixed register di debugger VEH
# Fixed debugger VEH dari menyebabkan program untuk menggantung ketika Cheat Engine ditutup biasanya
Perubahan sejak rilis publik: (max 7 hari) # 4 Juni 2011: Tambahkan fungsi ShellExecute Lua # 5 Juni 2011: Memperbaiki perakitan movq
# 7 Juni 2011: Memperbaiki memuat tabel setelah tabel dengan file. Dan memperbaiki listbox dan combobox pada designer. Dan AOBscan memperbaiki naskah
# 9 Juni 2011: Memperbaiki Lua scan memory penciptaan dan membacakan hasil

Perubahan:
# Ditambahkan struktur laba-laba yang dapat membantu dalam menemukan cara untuk membedakan antara dua benda
# Pemindaian Nilai sekarang dapat mengambil rumus # Ditambahkan desainer formulir untuk membuat ekstensi Lua
# Ditambahkan generator pelatih otomatis yang akan menghasilkan script pelatih untuk Anda
# Ditambahkan banyak dan banyak fungsi baru untuk mesin Lua. Periksa helpfile atau main.lua
# Ditambahkan kemampuan untuk menyimpan file biner ke dalam tabel curang
# Ditambahkan xm pemain # Ditambahkan kolom ke jendela stackview
# Ditambahkan pilihan untuk memilih apakah Disassembler harus menunjukkan kode 32-bit atau 64-bit
# Ditambahkan dukungan untuk menerjemahkan cheat engine untuk bahasa apapun yang Anda inginkan (cek folder bahasa untuk info lebih lanjut)
# Peningkatan kecepatan Beberapa di beberapa alat bantu
# Ditambahkan membatalkan last edit (ctrl + z) saat mengedit nilai dalam tabel curang
# Ditambahkan pilihan tambahan untuk penunjuk menelusuri ulang sehingga Anda dapat menyaring keluar jalur lebih spesifik
# Ditambahkan kustom komentar ke jendela assembler
# Ditambahkan kemampuan untuk menggunakan variabel Lua dalam assembler otomatis ($ luavariable)
# Ditambahkan sintaks penyorotan untuk Lua
# Changed dll Lua dengan versi yang tidak perlu C + + runtime diinstal
# Berubah perpustakaan Lua untuk mendukung 64-bit dll yang
# Script Lua telah dipindahkan dari jendela komentar ke menu itu sendiri di atas
# Pada tampilan heksadesimal ketika memilih 4 byte dan kemudian ruang menekan akan membuat Anda pergi ke sana. Backspace kembali
# Ditambahkan ekstensi file. Cetrainer sehingga Anda dapat men-download file yang sangat kecil dan memiliki pelatih yang hebat

Catatan:
Beberapa program anti-virus keliru mengambil bagian dari Cheat Engine sebagai sebuah trojan / virus. Hal terbaik untuk Anda menonaktifkan anti-virus sebelum menginstal atau menjalankan Cheat Engine

Sumber : http://www.cheatengine.org/
- Cheat Engine 1.6

Selasa, 28 Juni 2011

Cara membuka 2 (atau lebih) account dalam Mozilla Firefox

Biasanya jika kita harus logout terlebih dahulu, baru kemudian login lg kalau kita mau buka akun kita yg satunya, nanti disini kita bisa buka dalam waktu yg bersamaan. (khusus untuk firefox saja)

Cara 1:

Caranya: Install Addons Multifox : Maaf anda tidak memiliki SIM ( Surat Ijin Membaca) Link. Setelah di install lalu restart mozilla, kemudian pilih file lalu pilih lagi new identity profile.Sekarang kita sdh bisa buka 2 Account atau Lebih dalam satu firefox tanpa logout terlebih dahulu.


Cara 2:

Buat profil baru di firefox.Caranya: run > firefox.exe -p -no-remote > okSetelah itu buatlah profil baru, selesai.
- Cara membuka 2 (atau lebih) account dalam Mozilla Firefox

Sabtu, 25 Juni 2011

Mp3 Remix for Winamp - Plus Crak

Kalaini saya akan memberikan sebuah software pendukung winamp. Sebelumnya saya juga pernah posting software pendukung winamp yang fungsinya untuk mencari kundi gitar atau chord sebuag lagu. Untuk sofware yang satu ini berfungsi untuk membuat lagu remix softwarenya bernama Mp3 Remix for Winamp. Dengan software ini, Anda dapat me-remix sebuah lagu selain itu Anda juga bisa menambahkan elemen suara tunggal, seperti ketukan, loop, scratches, instrumen, dan vokal untuk sebuah lagu yang ingin Anda edit untuk dibuat lagu remix. Hasilnya, kita juga bisa untuk merekamnya dengan hasil kompresi yang baik.


Jika Anda ingin mencoba menjadi DJ langsung coba software yang satu ini tentunya Anda harus menginstall dulu aplikasi winamp untuk masternya ANda bisa cari di Google banyak sekali.


Berikut tampilannya MP3 Remix For Wimanp :

Click Here For Download>>>LINK

Silahkan mencoba menjadi DJ ada buat MP3 remix-mu sendiri!!
Semoga bermanfaat!
- Mp3 Remix for Winamp - Plus Crak

PC Tools Registry Mechanic 10 0 1 140 Multilingual WinALL




Posted Image

Posted Image
Quote
Registry Mechanic offers easy-to-use optimization tools to speed up and improve the stability of your Windows 7 Windows Vista , or Windows XP PC. Regardless of your level of expertise, Registry Mechanic safely cleans, repairs, and optimizes the registry and automatically backs up changes for future recovery. Now includes essential tools to fix Windows security loopholes. Permanently erase your Internet activity personal files, and free space to keep your information away from prying eyes


Posted Image
Resized to 87% (was 760 x 505) - Click image to enlargePosted Image



Posted Image
http://www.fileserve.com/file/DHFj7uY


Posted Image
http://www.mediafire.com/?2go0i2dvmlwxpl3


Posted Image
http://www.megaupload.com/?d=S672MY5U
 
Credit BY. Yasir Bakhtiar  


- PC Tools Registry Mechanic 10 0 1 140 Multilingual WinALL

Jumat, 24 Juni 2011

W32/Sality.AE Virus nomor 1 di Indonesia



 
Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.
 
Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.
 
Salah satu virus yang akan menginjeksi file exe/com/scr ini adalah W32/Sality.AE (lihat gambar 1)
Gambar 1, Norman Security Suite dapat mendeteksi Sality.AE dengan baik
 
Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.
 
Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
  • DisableRegistryTools
  • DisableTaskMgr
Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.
  • C:\Windows\system32\syslib32.dll
  • C:\Windows\system32\oledsp32.dll
  • C:\Windows\system32\olemdb32.dll
  • C:\Windows\system32\wcimgr32.dll
  • C:\Windows\system32\wmimgr32.dll
Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]
 
Blok Antivirus dan software security
Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:
 
ALG
InoRPC
aswUpdSv
InoRT
avast! Antivirus
InoTask
avast! Mail Scanner
ISSVC
avast! Web Scanner
KPF4
AVP
LavasoftFirewall
BackWeb Plug-in - 4476822
LIVESRV
bdss
McAfeeFramework
BGLiveSvc
McShield
BlackICE
McTaskManager
CAISafe
navapsvc
ccEvtMgr
NOD32krn
ccProxy
NPFMntor
ccSetMgr
NSCService
F-Prot Antivirus Update Monitor
Outpost Firewall main module
fsbwsys
OutpostFirewall
FSDFWD
PAVFIRES
F-Secure Gatekeeper Handler Starter
PAVFNSVR
fshttps
PavProt
FSMA
PavPrSrv
PAVSRV
Symantec Core LC
PcCtlCom
Tmntsrv
PersonalFirewal
TmPfw
PREVSRV
tmproxy
ProtoPort Firewall service
UmxAgent
PSIMSVC
UmxCfg
RapApp
UmxLU
SmcService
UmxPol
SNDSrvc
vsmon
SPBBCSvc
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
 
XCOMM
 
Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:
  • Cureit
  • Drweb
  • Onlinescan
  • Spywareinfo
  • Ewido
  • Virusscan
  • Windowsecurity
  • Spywareguide
  • Bitdefender
  • Panda software
  • Agnmitum
  • Virustotal
  • Sophos
  • Trend Micro
  • Etrust.com
  • Symantec
  • McAfee
  • F-Secure
  • Eset.com
  • Kaspersky
W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
  • HKEY_CURRENT_USER\Software\[USER NAME]914
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  • AntiVirusDisableNotify
  • AntiVirusOverride
  • FirewallDisableNotify
  • FirewallOverride
  • UacDisableNotify
  • UpdatesDisableNotify
dan membuat key “SVC” serta string berikut dengan value 1
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
  • AntiVirusDisableNotify
  • AntiVirusOverride
  • FirewallDisableNotify
  • FirewallOverride
  • UacDisableNotify
  • UpdatesDisableNotify
Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.
ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.
 
Blok akses “safe mode”
Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Injeksi file exe/com/scr
Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.
 
Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.
Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.
 
[http://]pedmeo222nb.info
[http://]pzrk.ru
[http://]technican.w.interia.pl
[http://]www.kjwre9fqwieluoi.info
[http://]bpowqbvcfds677.info
[http://]bmakemegood24.com
[http://]bperfectchoice1.com
[http://]bcash-ddt.net
[http://]bddr-cash.net
[http://]btrn-cash.net
[http://]bmoney-frn.net
[http://]bclr-cash.net
[http://]bxxxl-cash.net
[http://]balsfhkewo7i487fksd.info
[http://]buynvf96.info
[http://]89.119.67.154/tes[xxx]
[http://]oceaninfo.co.kr/picas[xxx]
[http://]kukutrustnet777.info/home[xxx]
[http://]kukutrustnet888.info/home[xxx]
[http://]kukutrustnet987.info/home[xxx]
[http://]kukutrustnet777.info
[http://]www.kjwre9fqwieluoi.info
[http://]kjwre77638dfqwieuoi.info
http://mattfoll.eu.interia.pl/[sensor]
http://st1.dist.su.lt/l[sensor]
http://lpbmx.ru/[sensor]
http://bjerm.mass.hc.ru/[sensor]
http://SOSiTE_AVERI_SOSiTEEE.[sensor]
Mengeksploitasi Default Share dan Full Sharing
W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.
 
Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.
 
Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini. (lihat gambar 2 dan 3)
 
Gambar 2, File system.ini sebelum di ubah oleh W32/Sality.AE

Gambar 3, File system.ini setelah di ubah oleh W32/Sality.AE
 
Cara membersihkan W32/Sality.AE
  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet
  2. Matikan System Restore selama proses pembersihan berlangsung.
  3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:
    • Klik kanan repair.inf
    • Klik install
  1. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.
  2. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang oleh W32/Sality.AE. Dalam contoh di bawah, nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. (lihat gambar 4)
     Rename Norman Malware Cleaner
Gambar 4, File “Norman_Malware_Cleaner.exe” yang telah di rename ekstensinya menjadi “Norman_Malware_Cleaner.cmd”, kotak biru
 
Selalu gunakan Norman Malware Cleaner terbaru untuk membersihkan dan membasmi virus baru. Download Norman Malware Cleaner terbaru dari “
Gambar 5, Gunakan Norman Malware Cleaner untuk mendeteksi dan membasmi Sality.
 
Catatan:
  • Agar removal tersebut tidak terinfeksi oleh W32/Sality.AE, Sebaiknya ubah ekstensi dari removal tools tersebut menjadi ekstensi lain [contohnya: CMD] (lihat gambar 4 di atas)
  • Sality.AE ini akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE dan SCR serta COM, file yang sudah berulang kali di infeksi oleh virus ini terkadang akan mengalami kerusakan jika dibersihkan oleh program antivirus, oleh karena itu jika terdapat program yang error setelah di scan oleh antivirus sebaiknya install ulang program tersebut.
PENTING !!!
Harap Backup data penting anda sebelum melakukan pembersihan virus. PT. Vaksincom tidak bertanggung jawab atas kerugian yang diakibatkan oleh proses pembersihan virus ini baik langsung maupun tidak langsung !!!
  1. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting “safe mode”, silahkan restore registry yang sudah di ubah oleh virus.
Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.
 
  1. Fix registry lain yang di ubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara:
    • Klik kanan repair.inf
    • Klik install
  1. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
  2. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.
- W32/Sality.AE Virus nomor 1 di Indonesia

W32/Ramnit, virus bandel saingan Sality yang menginjeksi file exe mendownload virus baru

W32/Ramnit aka Win32.Siggen.8

Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :). Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.

Secara umum virus ini cukup merepotkan,  ia akan selalu melakukan koneksi ke internet untuk memanggil  alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah pembersihan khusus.

Ciri dan gejala
Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit (Win32.Siggen.8)

  1. Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).

Gambar 1, Alamat website yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)

  1. Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)

Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 )

  1. User tidak dapat mengakses USB Flash  dengan menampilkan pesan ”Access is denied” (lihat gambar 3)

Gambar 3, Blok akses USB Flash

  1. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)

Gambar 4, Pesan error saat akses USB Flash

  1. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk s/d “Copy of Shortcut to (4).lnk di USB Flash. (lihat gambar 5)

Gambar 5, File virus yang di drop oleh virus  di USB Flash

  1. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.

Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat gambar 6)

Gambar 6, Hasil deteksi Dr.Web antivirus

Ciri-ciri file induk virus
Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan  file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].

Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.

Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus

Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi  ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda.

Berikut beberapa contoh file induk Win32.Siggen.8

  • C:\WINDOWS\Temp\dbww\setup.exe

  • C:\Documents and Settings\%user%\Application Data

·         %xx%.exe, dimana %xx% adalah acak

  • C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll

Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (lihat gambar 8)
               
                Gambar 8, File induk virus
               
File ini di deteksi  oleh Dr.Web anti-virus sebagai Win32.Siggen.8
               
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup
·         %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)

  • C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe

Catatan:  %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)

                Gambar 9, File induk virus

  • C:\Windows\task\%acak%.job

Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10)
Gambar 10, Task Schedule Win32.Siggen.8

  • C:\Windows\System32\ms.dll (Trojan.Starter.1602)
  • C:\Windows\System32\dll (Trojan.Hottrend.34)
  • C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
  • C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232

Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe]. (lihat gambar 11)

Gambar 11, proses virus Win32.siggen.8

Registri Windows
Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registri berikut:

  • HKEY_CURRENT_USER\Software\CE8SIIFGSU
  • HKEY_CURRENT_USER\Software\Microsoft\Handle
  • HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
  • HKEY_CURRENT_USER\Software\XML
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
    • Microsoft Driver Setup = C:\Windows\ggdrive32.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□

Menampilkan website
Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)

Gambar 12, Virtual memory low

Injeksi file EXE, DLL dan HTM/HTML
Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows.   Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.

Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. (lihat gambar 7)

Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232

Blok akses Removable Media (USB Flash)
Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)

Gambar 13, Blok akses USB Flash

Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash (lihat gambar 14)

Gambar 14, Pesan error saat akses USB Flash

Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended” pada aplikasi [Services.msc] (lihat gambar 15)

Gambar 15, Blok akses services (Extended)

Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan  USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:
  • Autorun.inf
  • 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
  • RECYCLER\%XX%
    • %xx%.exe dengan ukuran 105 KB
    • %xx%.cpl dengan ukuran 4 KB

Catatan: %xx% adalah folder/file dengan nama acak (lihat gambar 16)

Gambar 16, File yang dibuat oleh virus

Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori  [RECYCLER\%XX% ]

File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori  [RECYCLER\%XX% ] (lihat gambar 17)

Gambar 17, script autorun.inf

Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)
Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.

Silahkan download Dr.Web CureIt! di alamat berikut

1.       Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.

2.       Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara  sebagai berikut:

·         Klik menu [Start]
·         Klik [Run]
·         Pada dialog box RUN, ketik SECPOL.MSC  kemudian klik tombol [OK]
·         Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
·         Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” (lihat gambar 18)
Gambar 18, blok file virus

·         Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse]  dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK] (lihat gambar 19)

Gambar 19, menentukan file virus yang akan di blok

3.       Hubungkan USB Flash dan HDD eksternal ke komputer

Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut:

PENTING !!!
Anda disarankan untuk selalu mendownload Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika anda menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di dalam CD tersebut akan mengikuti saat terakhir anda download Dr Web Live CD tersebut. Alternatif lain adalah anda menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan / download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis.

  1. Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
  2. Hubungkan USB Flash dan HDD eksternal ke komputer
  3. Booting komputer melalui CD/DVD ROM
  4. Kemudian akan muncul layar “Welcome to Dr.Web LiveCD” (lihat gambar 20)
Gambar 20, Pilihan booting Dr.Web LiveCD

  1. Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
  2. Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus  (lihat gambar 21)
Gambar 21, Dr.Web LiveCD

  1. Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
  2. Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
  3. Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
  4. Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
  5. kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
  6. Tunggu sampai proses pembersihan selesai dilakukan
  7. Scan ulang komputer untuk memastikan komputer bersih dari virus
  8. Restart komputer.
- W32/Ramnit, virus bandel saingan Sality yang menginjeksi file exe mendownload virus baru
IKRFM Tangerang © 2011. Sponsored by: Dekorresley™ .