berburu biyawak

berburu biyawak

Rabu, 19 Mei 2010

Massanger vrus (yahoo massanger, Gtalk, MSN, SKype)


Masih ingat film McGyver yang dibintangi oleh Richard Dean Sanderson ? Di tangan McGyver, barang apapun yang ada di dekatnya bisa dijadikan sebagai alat atau senjata yang ampuh. Dengan bantuan Victorinox dan kreativitasnya, ia bisa meracik bahan-bahan yang biasa ada di rumah menjadi senjata mematikan seperti pelontar api sampai merakit bom. Rupanya hal yang sama terjadi pada dunia maya dimana hanya dengan bahasa pemrograman yang dipandang sebelah mata (VB Script) oleh para programmer diciptakan satu virus yang secara de Facto hari ini menjadi virus yang paling ganas dan paling banyak mengganggu di awal tahun 2010. Siapakah dia ? Tidak lain dan tidak bukan adalah Messenger yang di deteksi secara generik dengan nama W32/VBTroj.CEPA. Virus ini mampu melakukan banyak sekali hal seperti menginstal rootkit, memblok akses jaringan dan memanipulasi file hosts Windows supaya bisa melakukan pemblokiran akses ke situs-situs sekuriti pada komputer korbannya. Dan canggihnya lagi, file hosts tersebut di enkrip untuk menghindari deteksi dan perbaikan oleh program antivirus.



Baru-baru ini telah muncul satu virus lain ikut merampaikan acara tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.

Virus ini juga akan melakukan blok akses ke beberapa situs sekuriti atau situs lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik www.google.com (lihat gambar 1), hal ini secara tidak langsung sebenarnya menyebabkan Ddos terhadap situs Google.com. Apakah ada hubungan atau tidak dengan serangan terhadap Google di China yang mengakibatkan Google mempertimbangkan untuk hengkang .... kita lihat saja. Yang jelas, makin banyak komputer yang terinfeksi oleh virus ini, maka akses (yang secara tidak langsung menyebabkan Ddos) terhadap situs awal Google akan makin tinggi.

Sehingga setiap kali user mencoba untuk akses ke website tertentu termasuk website security / antivirus, maka yang muncul adalah situs www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file HOSTS yang berada di direktori [C:\Windows\System32\Drivers\etc]


Photobucket
Gambar 1, Alamat website yang dialihkan oleh virus




Virus ini menyebar sangat cepat dengan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, MSN Messenger dan Skype dengan cara mengirimkan sebuah pesan dan melampirkan link untuk download sebuah file yang direkayasa seolah-olah file gambar (JPG) tetapi sebenarnya merupakan file virus yang sudah dikompres dengan nama file [%file%.JPG.ZIP] dengan ukuran yang berdeda-beda tegantung pada varian yang menginfeksi komputer tersebut, file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan walaupun dari kontak Messenger teman yang anda kenal, memang bukan teman anda yang mengirimkan virus tetapi virus yang menginfeksi komputernya dan memanfaatkan rekening Messengernya. (lihat gambar 2)


Photobucket
Gambar 2, Contoh pesan yang dikirimkan oleh virus



Salah satu hal yang menyebabkan virus ini sukses menyebar selain menggunakan media yang disebutkan di atas, ia juga akan melakukan update untuk memperbaharui dirinya hal inilah yang menyebabkan scaner antivirus tidak dapat mendeteksi virus tersebut. Virus ini semakin kuat bercokol dengan bantuan sebuah file rootkit yang bertugas untuk melindungi file induk yang aktif di memori, sehingga pembersihan yang dilakukan melalui windows Normal, Safe Mode atau safe Mode With Command Prompt terkadang tidak dapat menyelesaikan masalah, bagaimana mengatasi hal ini ? Silahkan simak pada bagian terakhir artikel ini.

Seperti yang sudah di jelaskan di atas bahwa virus ini dibuat dengan menggunakan bahasa Visual Basic, untuk file induk virus ini mempunyai ukuran yang bervariasi tergantung dari varian yang menginfeksi komputer target, biasanya akan mempunyai ukuran di atas 200 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda yang akan di simpan didirektori yang berbeda-beda. (lihat gambar 3)


Photobucket
Gambar 3, File induk virus



Virus ini akan menggunakan icon Project Visual Basic dan untuk beberapa kasus akan menggunakan icon MSN Messanger untuk mengelabui user.



Bagaimana mengenali virus ini?

§ Akan menampilkan website www.google.com pada saat user mengakses web security / web antivirus, untuk beberapa varian tidak akan menampilkan website di atas.

§ Disable CMD dengan cara menutup aplikasi ini secara otomatis saat dijalankan.

§ Untuk beberapa varian, komputer yang terinfeksi akan dapat mengakses komputer lain dalam jaringan. Tetapi sebaliknya, komputer tersebut tidak akan dapat diakses oleh komputer lain dalam jaringan. Salah satu kemungkinan aksi ini dilakukan adalah untuk mempersulit pembersihan dan sekaligus mencegah infeksi ulang pada komptuer yang sudah terinfeksi.

§ Terdapat perubahan pada file [C:\Windows\system32\drivers\etc\hosts], dengan menambahkan daftar alamat website yang akan di blok dengan format penulisan ip 209.85.225.99 yang di ikuti alamat website, untuk beberapa kasus virus ini akan mengenkripsi file hosts tersebut sehingga user tidak dapat mengetahui isi script yang di ubah, dengan bantuan tools maka anda dapat melihat dengan jelas isi dari file hosts tersebut. (lihat gambar 4 dan 5)


Photobucket
Gambar 4, Isi file hosts yang di ubah oleh virus


Photobucket
Gambar 5, Dengan bantuan HijackThis dapat melihat isi file hosts yang diubah dan dienkripsi oleh virus



Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.CEPA (lihat gambar 6)
Photobucket
Gambar 6, Norman Security Suite mendeteksi virus Messenger sebagai W32/VBTroj.CEPA



File induk Virus

Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk yang akan di simpan dibeberapa lokasi yang berbeda-beda yang akan di aktifkan setiap kali komputer dinyalakan. Selain itu virus ini juga akan menyamarkan dirinya sebagai sebuah service Windows dan sebuah drivers yang berfungsi sebagai rootkit yang salah satu tugasnya akan melindungi proses virus yang aktif dimemori sehingga mempersulit dalam proses pembersihan dengan nama file yang berbeda-beda.



Berikut beberapa file yang akan dibuat oleh virus:

* C:\windows\System32

ü Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.

ü %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.

ü secupdat.dat

* C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi). File ini akan disembunyikan oleh virus guna mempersulit dalam penghapusan.
* C:\Windows\System32\drivers

ü Kernelx86.sys

ü %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

ü Ndisvvan.sys

ü krndrv32.sys

* C:\Documents and Settings\%user%\secupdat.dat
* C:\Windows\INF

ü netsf.inf

ü netsf_m.inf



Autorun

Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada registri dengan memanipulasi file windows dengan nama ctfmon.exe, Sebenarnya trik ini digunakan agar user tidak curiga, tapi jika dilusuri lebih jauh ini adalah langkah yang brilian karena file ini justru mempunyai peranan yang sangat penting agar dirinya dapat aktif secara otomatis dengan menjalankan file virus yang sudah ditentukan. Selain itu ia juga akan aktif setiap kali user menjalankan file “explorer.exe” atau membuka aplikasi “Windows Explorer”



Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run

· ctfmon.exe

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

· Debugger = %file_induk_virus%.exe (contoh : wmistpl.exe)

Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

· shell = explorer.exe "C:\Documents and Settings\%user%\%xx%.exe”

Catatan: %xx%, adalah karakter acak, contoh: rllx.exe

Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services

· %xx% menunjukan file acak

o Image path = System32\drivers\%xx%.sys (contoh: jdwjlyju.sys)

Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services

· %xx% menunjukan file acak

o Image path = System32\drivers\%xx%.sys (contoh: jdwjlyju.sys)



Blok fungsi Windows

Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable System Restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 dan tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:



Ø HKEY_LOCAL_MACHINE\software\microsoft\ole

· EnableDCOM = N



Ø HKEY_LOCAL_MACHINE\software\microsoft\security center

· AntiVirusDisableNotify = 1

· FirewallDisableNotify = 1

· AntiVirusOverride = 1

· FirewallOverride = 1



Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

· DisableConfig = 1



Ø HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate

· DoNotAllowXPSP2 = 1



Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

· DefaultValue = 0

· CheckedValue = 1



Ø HKEY_LOCAL_MACHINE\system\ControlSet001\control\lsa

· restrictanonymous = 1



Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\lsa

· restrictanonymous = 1



Ia juga akan merubah registry berikut:



Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

· userinit = C:\WINDOWS\system32\Userinit.exe, ,C:\Documents and Settings\%user%\%files_virus%.exe \s (%file_virus, menunjukan nama file yang berbeda-beda tergantung varian yang menginfeksi, ontohnya: fnhh.exe).



Agar file virus tersebut dapat aktif secara bebas di computer target, ia juga akan mendaftarkan file induk virus tersebut dan rule windows firewall berikut :



Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

· C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) = C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall



Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

· C:\windows\system32\ file_induk_virus%.exe (contoh: wmistpl.exe) = C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall



Selain dengan membuat string registry tersebut, ia juga akan blok “hampir” semua tools sekuriti yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.



Blok akses Internet

Sebagai oleh-oleh ia akan mencoba untuk blok akses ke website security termasuk antivirus, dengan cara menampilkan website www.google.com (untuk beberapa varian tertentu untuk blok akses web sekuriti tidak akan menampilkan web www.google.com).



Untuk melakukan hal ini ia akan merubah isi file Hosts Windows yang berada di direktori [C:\Windows\System32\Drivers\Etc\Hosts] dengan cara menambahkan nomor ip publik www.google.com di ikuti dengan alamat website yang akan diblok dan untuk beberapa kasus virus ini akan mengenkripsi file tersebut sehingga user tidak dapat mengetahui isi dari tersebut. (lihat gambar 7dan 8)


Photobucket
Gambar 7, Isi hosts file windows yang telah di enkripsi


Photobucket
Gambar 8, Isi hosts file windows yang telah diubah oleh virus setelah di dekrip



Update layaknya antivirus

Virus ini dapat melakukan update layaknya program antivirus dengan mendownload beberapa file dari website yang telah ditentukan, file ini biasanya akan di simpan didirektori [C:\Windows\System32] dengan format file %xxx%.exe@, dimana %xxx% merupakan nama file dan ukuran yang berbeda-beda (contoh: qxzv85.exe@)



Blok akses “Safe Mode” dan ”Safe Mode with command prompt”

Untuk beberapa kasus virus ini juga akan berupaya untuk menghapus key “safeboot” sehingga komputer tidak dapat booting ke mode “safe mode” dan “safe mode with command prompt”. Untuk melakukan hal ini ia akan menghapus string berikut:



Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot



Media Penyebaran

Untuk menyebarkan dirinya ia akan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, Gtalk, Skype dan MSN Messenger dengan mengirimkan sebuah pesan kesemua alamat ID yang ada di komputer target dengan menyertakan link untuk mendownload sebuahlampiran yang sudah dikompresi dengan ukuran yang bervariasi sesuai dengan varian yang menginfeksi, file tersebut mempunyai nama file [%file%.JPG.ZIP], file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan kecuali anda mau terinfeksi virus ini.

Pesan yang akan disampaikan mempunyai isi yang berbeda-beda, sedangkan untuk link yang di sertakan salah satunya mengarah kesebuah alamat 208.77.45.10. (lihat gambar 9 dan 10)
Photobucket
Gambar 9, Pesan yang dikirimkan oleh virus


Photobucket
Gambar 10, Salah satu domain tempat untuk download file virus



Cara membersihkan Virus YM



1. Putuskan komputer yang akan di bersihkan dari jaringan maupun internet

2. Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.

3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus. Silahkan download software tersebut di alamat http://soft-rapidshare.com/2009/11/10/minipe-xt-v2k50903.html



Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara : (lihat gambar 11)



· Klik menu [Mini PE2XT]

· Klik menu [Programs]

· Klik menu [File Management]

· Klik menu [Windows Explorer]

· Kemudian hapus file berikut:



ü C:\Windows\System32

§ Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.

§ %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.

§ secupdat.dat



ü C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi).



ü C:\Windows\System32\drivers

§ Kernelx86.sys

§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

§ Ndisvvan.sys

§ krndrv32.sys



ü C:\Documents and Settings\%user%\secupdat.dat



ü C:\Windows\INF

§ netsf.inf

§ netsf_m.inf




Photobucket
Gambar 11, Gunakan Windows Mini PE untuk menghapus file virus



4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya : (lihat gambar 12)

· Klik menu [Mini PE2XT]

· Klik menu [Programs]

· Klik menu [Registry Tools]

· Klik [Avast! Registry Editor]

· Jika muncul layar konfirmasi kelik tombol "Load....."

· Kemudain hapus registry:



ü LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentverson\run\\ctfmon.exe

ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kernelx86

ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\kernelx86

ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\passthru

ü LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe

ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon

§ Ubah value pada string Userinit menjadi = userinit.exe,

ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon

§ Ubah value pada string Shell menjadi = Explorer.exe

ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%

ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\%xx%

ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)

ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)



Catatan:

%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]


Photobucket
Gambar 12, Menghapus registry yang diubah oleh virus



5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install



[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, software\microsoft\ole, EnableDCOM,0, "Y"

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0

HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe

HKLM, SYSTEM\ControlSet001\Services\kernelx86

HKLM, SYSTEM\ControlSet002\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\mojbtjlt

HKLM, SYSTEM\ControlSet002\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\Passthru

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe



6. Fix registry Windows untuk mengembalikan agar komputer dapat booting “safe mode with command prompt” dengan download file FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara :



o Klik menu [Start]

o Klik [Run]

o Ketik REGEDIT.EXE kemudian klik tombol [OK]

o Pada layar “Registry Editor”, klik menu [File | Import]

o Tentukan file .REG yang baru anda buat

o Klik tombol [Open]



7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe



8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html (lihat gambar 13)

Photobucket
Gambar 13, Restore Host File Windows dengan menggunakan HosterExpert



Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.



9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman.com/support/support_tools/58732/en (lihat gambar 14)
Photobucket
Gambar 14, Hasil deteksi Norman Security Suite

Membuat Ucapan Happy Birthday dengan cs2


Ini adalah postingan saya di Tahun 2010 .. dan Hari ini bertepatan dengan Hari Ulang Tahun Istri Saya tercinta.. Saya akan buat tutorial membuat Ucapan Ulang Tahun yang Unik..

Image yang dibutuhkan :

rumput kayu Coccinella

Klik untuk memperbesar lalu save…



Buat dokumen baru

happy birthday 1

Sekarang gunakan Pen Tool untuk membuat bentuk seperti ini.. nanti format nya PATH ya.. gunanya untuk REL huruf.

happy birthday 2

Klik Type tool untuk membuat Huruf. Klik ditengah Path tadi.. tulis ” Happy”

warna gak jadi soal .. nanti akan diseting belakangan..

happy birthday 3

Gunakan cara yang sama .. buat bentuk seperti ini

happy birthday 4

Gunakan Type tool lagi untuk membuat kata birthday.

happy birthday 5

Klik kanan layer happy > rasterize layer.. klik kanan juga layer birthday > rasterize layer

happy birthday 6

gabungkan keduanya dengan menekan CTRL + E. kursor harus berada di paling atas ( layer birthday)

happy birthday 7

Klik kanan layer hasil penggabungan tadi > Blending Options, atau klik 2x. ikuti setting nya seperti dibawah

happy birthday 8

duplikat layer Happy dengan menekan tombol CTRL +J.. Klik kanan di layer hasl duplikat > Clear layer style untuk menghilangkan efek blending

happy birthday 9

buat layer baru dibawah layer Happy

happy birthday 10

gabungkan layer Happy dengan layer dibawahnya dengan menekan CTRL + E

happy birthday 11

Buka file gambar kayu.. lalu drag ke dalam dokumen yang baru saja dibuat.

happy birthday 12

Simpan diantara layer huruf dan layer 1

happy birthday 13

tekan CTRL + Klik di layer 1 untuk menyeleksi.. Klik Select > Inverse . Klik layer kayu lalu tekan DELETE

happy birthday 14

Pilih layer 1 .. Klik kanan > Blending Options .. setting color overlay nya

happy birthday 15

jangan dulu OK.. sekarang kita setting stroke

happy birthday 16

Sekarang kita setting Kayunya supaya keliatan 3D

Klik kanan layer kayu > Blending Options , Kita akan setting Drop shadow, Bevel & Emboss, dan Stroke berturut-turut seperti ini

Drop Shadow

happy birthday 17

Bevel & Emboss

happy birthday 18

Stroke

happy birthday 19

Beres deh Kayu nya..

Sekarang kita ubah hurufnya menjadi beraroma Rerumputan

buka file rumput, Drag ke dokumen tadi, atur sehingga menutupi kata-kata happy birthday.

happy birthday 20

CTRL + KLIK di layer huruf, klik Select > inverse , Klik layer rumput, lalu tekan DELETE.

happy birthday 21

Ayo kita kasih efek hurufnya dengan blending Option

Klik kanan di layer rumput yang udah jadi huruf tadi > Blending Options atau klik 2x … Ikutin setting nya seperti dibawah

DRop shadow

happy birthday 22

Bevel & Emboss

happy birthday 23

Supaya keliatan Lucu (kayak Jojon) kita kasih warna merah.. tapi pake gambar serangga.. supaya gambarnya lebih hidup.

buka gambar serangga lalu drag ke dalam dokumen

happy birthday 24

Atur gambar serangga nya sedemikian rupa, Kecilin, putar, injek, banting , dan perbanyak dengan menekan CTRL + J. sehingga hasilnya seperti ini

happy birthday 25

Selamat Mencoba…

KIS (kaspersky internet security)













Sukses dengan versi sebelumnya kini Pabrikan AntiVirus Terbaik itu kembali merelease Kaspersky Anti virus dan Kaspersky Internet sekurity. Semua pengguna kaspersky sudah tidak meragukan ketangguhannya dalam membasmi virus, trojan, worm, anti dialer, dll bahkan network attack atau spoofing bisa diatasi dengan baik.

Bahkan KAV maupun KIS 2010 sudah menyabet gelar sebagai antivirus terbaik saat ini. saya sendiripun menggunakannya di PC server saya dan juga di PC client saya ditempat saya bekerja. memang terasa nyaman sekali saat menggunakan KAV/ KIS.

Namun sekali lagi saya tidak menjelaskan secara detail dari Kaspersky Internet Security karna saya paham betul bahwa yang masuk ke situs blog saya mesti mereka yang sudah pengalaman dalam dunia IT. Jadi saya hanya akan memberikan Link Download KIS 2010 dan juga Key Activation-nya.

Dikarenakan pekerjaan saya yang harus selalu on-line maka saya sendiri harus meyakinkan kepada anda jika ingin memiliki antivirus terbaik maka saran saya gunakanlah KIS 2010. Saya berani menjamin kebersihan downline dan serta bandwitch data yang anda gunakan benar - benar terlindungi dengan baik. Jadi, apakah anda masih ragu??
Nah jika anda ingin memiliki program ini silahkan download program ini di blog saya
Untuk Kaspersky Internet Security bisa anda download disini dan untuk key activationnya bisa anda download disini Semoga bermanfaat bagi semuanya
Bosan dengan tampilan gom player yang stndart???

Pengen merubahnya???

Gampang ikuti lagkan saya berikut ini….

1. 1. 1. Buka GOM PLAYER anda

2. Setelah terbuka pilihlah preferences



3. Setelah memilih preferences akan muncul seperti di bawah


4. Kemudian klik SKIN kemudian pilihlah SKIN sesuai selera,begitupun logo anda juga dapat mengganti logo dengan cara yang hampir sama denggn menganti skin.

5. Setelah selesai tinggal close preferences dan lihat hasilnya

Contoh tampilan GOM PLAYER saya sebelum saya permak dan sesudah saya permak