Name : dKernel
Filename : dkernel.exe
Perintah : C:\Windows\System32\I75-D2\dkernel.exe
Deskripsi : Added by the W32/Decoy-A worm.
Lokasi File : C:\Windows\System32\I75-D2\dkernel.exe
Startup Type : Akan jalan otomatis melalui Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.
TANDA - TANDA
1. File .doc anda akan disembunyikan dan diganti sesuai dengan namanya. Misalnya namanya coba.doc akan diganti oleh virus menjadi coba.doc.exe
2. Windows berjalan agak lelet. Karena virus tersebut memakai timer untuk menjalankan prosesnya.
3. Di task manager ada IEXPLORER.EXE dan DKERNEL.EXE
REGISTRY
Virus ini merubah beberapa file registry windows yaitu :
Alamat : HKLM/Software/Microsoft/Windows/CurrentVersion/Run
Key : dKernel
Value : "C:\Windows\System32\I75-D2\dkernel.exe"
PENANGGULANGAN
4. Jika masih tidak bisa tekan ctrl+alt+delete , lalu klik TASK MANAGER.
5. kemudian lihat pada task manager dkernel.exe, klik Processes
6. Pilih dkernel.exe dan klik kanan lalu pilih End Process Tree
Masih gak bisa lagi…
1a. Masuk ke MS-DOS dengan klik start-> run-> cmd kemudian enter
2a. Ketik kode dibawah ini pada dos:
C:\>TASKKILL /S system /F /IM dkernel.exe /T
3a. kemudian enter.
Setelah hilang proses dkernel.exe tersebut, ikuti langkah di bawah ini :
1. buka windows explorer
2. Masuk ke direktori :
C:\Windows\System32\I75-D2\
3. Cari file dkernel.exe, jika masih hidden set file tersebut ke file normal atau unhide.
4. Hapus file tersebut.
5. Kemudian klik start -> Search -> For File or Folder
6. Ketik *.doc.exe
7. Hapus file - file tersebut, jika ada yang tidak bisa terhapus berarti file lagi dipakai, nah file itu yang harus dihentikan prosesnya terlebih dahulu.
Untuk menghentikannya:
1. Tekan ctrl+alt+
2. Klik task manager, kemudian cari proses sesuai dengan nama file yang tidak bisa terhapus
3. Kemudian klik kanan dan pilih End Process Tree
Setelah itu hapus filenya.
Untuk mengembalikan file .doc yang disembunyikan, cukup download file P3KDiary.exe di www.virologi.info/download
Selasa, 09 Desember 2008
worm dkernel
menghilangkan worm sasser
Jika anda memakai Microsoft® Windows® XP atau Windows XP Service Pack 1 (SP1) dan komputer anda telah terinfeksi
Worm Sasser, anda dapat mengikuti langkah berikut ini untuk mengganti perangkat lunak anda, menghilangkan
wormnya, dan memberikan perlindungan dari serangan berikutnya. Jika anda memakai Microsoft® Windows® XP atau
Windows XP Service Pack 1 (SP1) dan komputer anda telah terinfeksi Worm Sasser, anda dapat mengikuti langkah
berikut ini untuk mengganti perangkat lunak anda, menghilangkan wormnya, dan memberikan perlindungan dari
serangan berikutnya.
Langkah 1: Putuskan sambungan komputer anda ke Internet Untuk mencegah masalah selanjutnya, pustuskan
sambungan komputer anda dari Internet:
- Bagi Penguuna Sambungan Internet Broadband Cari kabel yang menghubungkan komputer ke modem eksternal DSL
atau kabel yang menghubungkan komputer ke modem atau ke sambungan telepon.Cabutlah kabel itu dari modem atau
dari sambungan telepon, sehingga sambungan komputer anda ke Internet terputus.
- Dial-up connection users: Carilah kabel yang menghubungkan modem internal dalam komputer anda ke sambungan
telepon, kemudian cabutlah kabel itu agar tidak menghubungkan komputer anda ke Internet. Langkah 2: Hentikan Siklus
Shutdown Worm ini akan menyebabkan file LSASS.EXE tidak bereaksi atas perintah lainnya (stop responding), yang
kemudian menyebabkan sistem operasi kembali shut down setelah 60 detik. Jika komputer anda mulai shut down,
ikutilah langkah berikut ini agar system tidak mengalami shutdown.
- Pada taskbar dibawah layar komputer anda, click Start, lalu click Run.
- Ketikan: cmd dan kemudian click OK.
- Pada promt, ketikan : shutdown.exe -a kemudian tekan tombol ENTER. Langkah 3: Lakukan Pencegahan Anda bisa
secara periodik membuang semua tanda tanda adanya worm menginfeksi komputer anda dengan cara membuat
sebuah file log. Membuat file log
- Pada taskbar dibawah layar monitor anda, click Start, kemudian click Run.
- Ketikan: cmd kemudian click OK.
- Pada prompt, ketikan: echo dcpromo >%systemroot%\debug\dcpromo.log dan tekan ENTER. Membuat file log
berstatus read-only
- Pada prompt, ketikan: attrib +R %systemroot%\debug\dcpromo.log lalu tekan tombol ENTER. Langkah 4: Ubahlah
Performansi Sistem Jika komputer anda memberikan tanda adanya sambungan Internet yang lambat, worm mungkin
sedang masuk ke jaringan komputer anda. Sehingga mengakibatkan anda sulit melakukan download dan menginstalasi
perangkat lunak upodate nya.Untuk mengubah performansi sistem anda lakukan :
- Tekan CTRL+ALT+DELETE, kemudian click Task Manager.
- Untuk setiap langkah berikut ini yang mungkin ada dalam daftarnya, click task untuk memilihnya, kemudian click End
Task button untuk mengakhirinya.
- Setiap task berakhir dengan _up.exe (contoh , 12345_up.exe).
- Setiap task dimulai dengan avserve (contoh, avserve.exe).
- Setiap task dimulai dengan avserve2 (contoh, avserve2.exe).
- Setiap task dimulai dengan skynetave (contoh, skynetave.exe).
- hkey.exe
- msiwin84.exe
- wmiprvsw.exe
Perhatian Jangan mengakhiri task wmiprvse.exe; sebab ini merupakan task sistem yang sedang dipakai. Langkah 5:
Enable Firewall Sebuah firewall adalah sebagian perangkat lunak ataupun perangkat keras yang dibuat untuk tameng
penghalang antara komputer anda dan Internet. Jika komputer anda terinfeksi, sebuah firewall akan menolong
memperkecil efek dari worm. Windows XP dilengkapi dengan Internet Connection Firewall (ICF). Operaikan ICF:
- Pada taskbar dibawah layar monitor anda, click Start, kemudian click Control Panel.
- Click kategori Network and Internet Connections.
(Jika Network and Internet Connections adalah not visible, click Switch to Category View dalam Control Panel bagian
sisi kiri window Control Panel.)
- Click Network Connections.
- Click tombol kanan mouse anda pada Dial-up, LAN, atau pada sambungan High-Speed Internet yang adan
pergunakan untuk akses ke Internet, lalu click Properties dari menu shortcut.
- Pada tab Advanced, pada Internet Connection Firewall, pilih Protect my computer and network, kemudian click OK.
Windows XP firewall sudah enable sekarang. Langkah 6: Sambungkan Kembali ke Internet Hubungkan kabel seperti
yang disebutkan pada langkah 1, ke bagian belakang komputer anda, ke sambungan telepon atau kemodem. Langkah
7: Installasi File Update Yang Diperlukan Untuk menolong perlindungan komputer anda melawan worm di waktu
mendatang, anda harus mendownload dan menginstalasi file update security 835732, yang telah diumumkan dalam
Microsoft Security Bulletin MS04-011. Untuk mendownload update security 835732, carilah disitus
http://go.microsoft.com/?LinkID=526067 Langkah 8: Pengecekan dan Pembersih Sasser Setelah anda menginstalasi file
update security pada komputer anda dan melakukan restart komputer anda, akseslah halaman web "What You Should
Know About the Sasser Worm and Its Variants" di situs http://www.microsoft.com/security/incident/sasser.asp. Pakailah
Hari Kuswanto's Site
http://hari.000webhost.info Powered by: Joomla! Generated:
perangkat lunak pembersih worm Sasser agar hardisk anda bisa discan dan dibersihkan dari Sasser.A, Sasser.B,
Sasser.C, dan Sasser.D. Tentang Internet Connection Firewall Windows XP Internet Connection Firewall dapat
memblokir task berguna seperti file sharing atau printer melalui jaringan komputer, pengiriman file atau penyimpanan
game multiplayer. Microsoft menyarankan agar anda memakai firewall untuk perlindungan komputer anda. Jika anda
mengoperasikan Internet Connection Firewall dan menemui masalah dimana atas task yang anda inginkan, bacalah
"How to Open Ports in the Windows XP Internet Connection Firewall" dalam situs
http://www.microsoft.com/security/protect/ports.asp. Jika anda memiliki lebih dari satu komputer, dan ingin informasi
teknis lebih lanjut, atau ingin belajar lebih lanjut tentang firewall, bacalah "Frequently Asked Questions About Firewalls"