[balikpapan-ict] Re: Virus atau apa nih & FTP port di block, YM juga

[steven nathaniel]

rian hidayat wrote: Dear all, mau tanya nih, kenapa ya? Task manager disable, registry editor juga disable removable disk gak bisa di unplug/eject file-fle yang ekstensi .exe diaggap virus oleh AVG free 8.0 pake PCMAV 1.8 gak detect virus tertangkap mohon pencerahannya Bambang Herlandi wrote: Salam buat semua sahabat Balikpapan ICT, Saya punya sedikit masalah nih, moga2 ada yg bisa bantu :) Masalahnya begini: - Aplikasi FTP saya g bisa konek ke server. sptnya FTP port-nya di block virus ato trojan. - Aplikasi YM saya juga g bisa konek ke server (g bisa login), setelah saya uninstal dan sy coba instal lagi, malah g bisa diinstal sama sekali. tapi anehnya Google Talk masih mau konek tuh. Mohon bantuan rekan2 semua untuk mengatasi masalah tsb. sebegai referensi: - Proc Intel T5550 - Memory 2.5 Gb - Space HDD masih 200 Gb (dari 320 Gb) - OS: Windows Vista Home Basic (Ori)   Mohon bantuannya ya :), Bambang Herlandi kalau masalah task manager disable, registri editor disable, itu memang bisa jadi merupakan salah satu teknik pertahanan virus dari usaha kita menghapusnya dari komputer. dari artikel-artikel yg saya baca di internet biasanya teknik pertahanan diri seperti ini dimanfaatkan oleh virus lokal/virus yg katanya bikinan indonesia. virus lokal biasanya bermain-main di windows registry. jadi dia mengubah-ubah nilai yg ada di settingan registry windows. Sebagai catatan penjelasan saya ini merupakan hasil pengkajian pada OS windows XP untuk windows vista saya belum sempat mencari-cari refrensinya. tapi semoga bisa membukakan wawasan kita sebelum melangkah mempelajari windows vista. ini contoh referensi mengenai pertahanan virus lokal yg saya dapatkan dari situs ilmukomputer.com : Judul artikel : REKAYASA TEKNIK PENYERANGAN & PERTAHANAN VIRUS LOKAL MENGGUNAKAN API-VISUAL BASIC Penulis : Junaidi Judul artikel : TEKNIK MEMBONGKAR PERTAHANAN VIRUS LOKAL MENGGUNAKAN VISUAL BASIC SCRIPT DAN TEXT EDITOR UNTUK   PENCEGAHAN Penulis : Junaidi nah ini saya ambilkan cuplikan dari artikel nomer 2 diatas yg berkaitan dengan pemblokiran task manager & registry editor. untuk registry editor cara memblokirnya adalah dengan mengubah nilai registry windows yang berada di : Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Key : DisableRegistryTools Value : 1 untuk task manager cara memblokirnya adalah dengan mengubah nilai registry windows yang berada di : Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Key : DisableTaskMgr Value : 1 Pada artikel nomer 2 tersebut penulisnya juga menyertakan source code yg ditulis dalam bentuk file visual basic script (.vbs) yg berfungsi sebagai pembuka fitur-fitur windows yg telah dikunci\blokir oleh virus. Ini saya sertakan source code tersebut : on error resume next dim infreg, almreg rem--dapat memilih beberapa baris script saja sesuai kebutuhan set infreg=createobject("WScript.Shell") rem--membongkar beberapa fasilitas yang diblokir almreg="HKCU\Software\Policies\Microsoft\Windows\System\" infreg.RegWrite almreg & "DisableCMD","0","REG_DWORD" almreg="HKCU\Software\Microsoft\Windows\CurrentVersion\" infreg.RegWrite almreg & "Policies\System\DisableTaskMgr","0","REG_DWORD" infreg.RegWrite almreg & "Policies\System\DisableMsConfig","0","REG_DWORD" infreg.RegWrite almreg & "Policies\System\DisableRegistryTools","0","REG_DWORD" rem--membongkar beberapa fasilitas yang dihidden infreg.RegWrite almreg & "Explorer\Advanced\Hidden","0","REG_DWORD" infreg.RegWrite almreg & "Explorer\Advanced\HideFileExt","0","REG_DWORD" infreg.RegWrite almreg & "Explorer\Advanced\ShowSuperHidden","0x00000000" almreg="HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\" infreg.RegWrite almreg & "DisableSR","0","REG_DWORD" almreg="HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\" infreg.Regwrite almreg & "Folder\SuperHidden\type","Checkbox" infreg.Regwrite almreg & "Folder\HideFileExt\type","Checkbox" rem--membongkar kembali beberapa fasilitas yang disembunyikan untuk dimunculkan almreg="HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\" infreg.RegWrite almreg & "NoRun","0","REG_DWORD" infreg.RegWrite almreg & "NoFind","0","REG_DWORD" infreg.RegWrite almreg & "NoClose","0","REG_DWORD" infreg.RegWrite almreg & "NoViewOnDrive","0","REG_DWORD" infreg.RegWrite almreg & "NoControlPanel","0","REG_DWORD" infreg.RegWrite almreg & "NoFolderOptions","0","REG_DWORD" infreg.RegWrite almreg & "NoViewContextMenu","0","REG_DWORD" infreg.RegWrite almreg & "NoStartMenuMorePrograms","0","REG_DWORD" rem--mengembalikan beberapa inisial yang dirubah untuk mempublikasikan virus almreg="HKCU\Software\Microsoft\InternetExplorer\Main\" infreg.Regwrite almreg & "Start page","About:blank" almreg="HKLM\Software\Microsoft\Windows NT\Current Version\" infreg.Regwrite almreg & "ProductID","Your ID" infreg.Regwrite almreg & "RegisteredOwner","Owner" infreg.Regwrite almreg & "RegisteredOrganization","Organization" Ada juga artikel di situs ilmu komputer.com yg berisi cara memproteksi task manager menggunakan _javascript_, jadi task managernya di disable juga. Carilah artikel berikut di situs ilmukomputer.com atau menggunakan search engine Google: Judul artikel : Proteksi Task Manager dengan _javascript_ Penulis : Yonatan Prasdikatama Di artikel nomer 3 diatas berisi script _javascript_ yg berisi source code berikut ini : // Program Ramping Mengamankan Task Manager // Nama Program: tsk_mgr.js function prakata(pesan) { natan.popup(pesan,0,"Menjaga Task Manager"); } function catat(harga) { natan.RegWrite("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion"+ "\\Policies\\System\\DisableTaskMgr",harga,"REG_DWORD"); } var vbYesNoCancel = 3, vbYes = 6, vbNo = 7, harga, pesan, tanya, natan; natan = WScript.CreateObject("WScript.Shell"); pesan = "Menu Pilihan :\n\n"+ "Klik [Yes] untuk Nonaktifkan Task Manager.\n"+ "Klik [No] untuk Aktifkan Task Manager.\n"+ "Klik [Cancel] untuk Keluar.\n\n"+ "[+] mailto:[EMAIL PROTECTED] [+]\n\n"+ "NonAktifkan Task Manager sekarang?"; tanya = natan.popup(pesan,0,"Menjaga Task Manager",vbYesNoCancel); if (tanya == vbYes) { harga=1; pesan="Task Manager DiNonAktifkan!"; catat(harga); prakata(pesan); } else if (tanya == vbNo) { harga=0; pesan="Task Manager DiAktifkan!"; catat(harga); prakata(pesan); } else { pesan="Sampai jumpa lagi."; prakata(pesan); } Tujuan script di artikel nomer 3 diatas memang untuk digunakan untuk perbuatan baik yaitu melindungi task manager dari orang-orang yg tidak berkepentingan agar tidak mengubah atau mematikan program yg terdaftar di task manager. Namun yg namanya orang jahil ada saja akalnya untuk mengubah pengetahuan yg sebenarnya bisa dimanfaatkan untuk perbuatan baik malah dimanfaatkan untuk membuat orang lain menjadi bingung atau merusak milik orang lain. Saya khawatir ada orang jahil yg menanamkan/menaruh file script seperti yg terdapat pada artikel nomer 3 diatas di komputer anda. jadi proses menanamkan/menaruh file tersebut dilakukan secara manual, kalau virus kan sepertinya dieksekusi secara otomatis. tapi kegiatan orang jahil itu ketika memakai komputer anda tidak disadari oleh anda sendiri. Istilah kerennya pakai teknik "Social Enginering" gitu. Contohnya kejadian yg terjadi pada diri saya sendiri, beberapa waktu yg lalu ada orang jahil yg mengubah password login windows XP saya sehingga saya tidak bisa login ke komputer. Untunglah masalah ini bisa diatasi dengan menekan tombol-tombol ctrl + alt + del sebanyak 2 kali pada saat windows menampilkan halaman login. kemudian di kotak kecil window yg muncul isikan username : administrator, sementara di bagian password dikosongkan saja, kemudian click tombol login. setelah berhasil login masuklah ke bagian control panel, click dua kali di user account, pilih account kita dan hapus password yg dibuat oleh orang jahil untuk account kita. dari kejadian ini saya jadi tambah pengetahuan, ternyata di OS windows XP Professional SP2 itu walau account kita statusnya sudah administrator, ternyata masih ada account administrator yg disembunyikan secara default oleh Microsoft, menurut saya mungkin account admin yg ini statusnya kayak account root pada Linux, dan account super administrator ini lebih sakti daripada account administrator. Dan ternyata password login windows XP juga bisa dibobol/diubah menggunakan software Hiren Bootcd atau dengan menghapus file SAM di folder C:\Windows\System32\config  . maka windows akan mereset passwordnya. kalau mengenai antivirus AVG Free versi 8.0, saya juga sudah menggunakannya. memang antivirus ini sensitif terhadap beberapa file berextensi .exe . misalnya AVG seringkali mendeteksi sejumlah program crack/keygen yg terdapat di beberapa CD software bajakan sebagai  virus/trojan. memang di sejumlah situs atau forum yg membahas tentang keamanan komputer kita seringkali menemukan tulisan yg menyarankan agar kita tidak menginstal software bajakan, karena katanya seringkali disusupkan malware di dalamnya. kadang AVG juga mengeluarkan false alarm (peringatan yg salah), misalnya kadang dia mendeteksi bahwa salah satu file yg merupakan bagian dari file software yg telah kita instal, sebagai virus, worm, trojan. sehingga pada saat kita hapus maka software itu tidak dapat berfungsi dengan baik. untuk masalah false alarm ini sebaiknya bapak rian mencoba juga mencari info tambahan dari berbagai situs, blog, atau forum yg mengulas tentang software yg bapak instalkan ke komputer. apakah memang sudah di uji secara mendalam tentang adanya malware didalamnya. pada waktu yg lalu PCMAV juga pernah terdeteksi sebagai virus oleh AVG. solusinya dengan menonaktifkan fitur resident shield yg ada di AVG. pada dasarnya antivirus mengenali ada atau tidaknya virus pada file yg di scan dengan cara mencocokannya dengan virus heuristic/virus signature/ algoritma virus yg terdapat di database virusnya. jika cocok maka antivirus akan memberikan peringatan pada kita tentang adanya virus. saran saya update terus AVG anda sehingga terus terjadi perbaikan pada software antivirus AVG. lebih baik & mudah dengan menggunakan online update ketimbang manual update. beberapa virus memiliki kemampuan melakukan overwrite terhadap file yg diinfeksinya, sehingga source code asli file tersebut baris kode programnya sudah diubah atau ditambah oleh virus. untuk masalah yg di tanyakan oleh bapak Bambang Herlandi, sebelumnya saya ingin bertanya, untuk instalasi Yahoo Messanger nya bapak menggunakan file instalasi yg mana, apakah file instalasi yg di download langsung dari situs resmi Yahoo, yaitu file instalasi yg kalau kita lihat melalui windows explorer akan muncul penjelasan deskripsi/description : Yahoo! Messenger Suite Instal Bootstrapper Setup ? atau kah file instalasi YM yg menggunakan crack? soalnya kan kalau file instalasi YM yg asli itu kan pas proses instalnya dia mesti download file-file aplikasi YM dari situs yahoo kemudian baru diinstalkan ke windows kita (mirip update nya windows). nah prosesnya ini kan lama, saya pernah coba proses instal YM original pakai telkom speedy, proses instalasinya cukup memakan waktu meskipun dilakukan ditengah malam, pas jaringan PSTN dan server-server di Indonesia cukup lengang/nggak macet oleh orang-orang yg lagi menggunakan. Jadi seringkali orang-orang lebih senang memakai file instalasi YM yg ada crack nya. kalau yg ini kan nggak perlu proses download file-file lagi dari server/situs yahoo pada proses instalasinya. yang saya tahu yg banyak beredar di masyarakat untuk versi crack ini adalah YM versi 7. sementara untuk YM versi asli berbahasa indonesia, terakhir kali saya download adalah versi 9. saya pernah coba YM pakai crack yg versi tujuh itu, saya instal di komputer, tapi pas dipakai sering hang, jadi saya ganti sama YM versi  9 yg original. Sampai sekarang YM originalnya jalan dengan normal. alasan mengapa yahoo selalu melakukan update terhadap yahoo messanger, menurut saya, salah satunya adalah karena yahoo messanger pun tidak lolos dari aksi pembobolan. misalnya penggunaan software yintai untuk melihat webcam chatter lain tanpa seijin chatter itu. software ini juga menggunakan fasilitas port untuk melakukan aksinya. sehingga yahoo memperbaharui atau mengubah port yg digunakan untuk menghubungi servernya. saran saya update terus YM anda agar dapat terus mengikuti pembaharuan yg dilakukan oleh yahoo. installah aplikasi YM yg asli yg didownload langsung dari yahoo, jangan yg pakai crack. untuk software FTP nya apakah juga sudah anda pastikan itu asli, atau pakai crack. biasanya kalau kita download software dari situs-situs warez, itu juga softwarenya sudah dicrack. seringkali produsen software komersial melacak penggunaan software yg merupakan bajakan produknya. mereka berusaha mendisable software-software bajakan yg terkoneksi ke internet. untuk software FTP yg asli gratis setahu saya adalah filezilla. jangan lupa juga selalu cek spesifikasi software yg anda instal, apakah di informasi softwarenya memang bisa berjalan penuh di windows vista. karena ada software yg berjalan penuh&baik di windows XP, tapi kalau di vista belum dijamin sepenuhnya. periksa juga hardware jaringan yg anda gunakan, misalnya modem atau router, apakah disana ada internal firewall nya, coba cek settingan internal firewallnya, termasuk port & IP address nya. setahu saya modem speedy yg merek prolink ada internal firewall nya. saya ucapkan terimakasih juga untuk teman-teman yg sudah memberikan komentar tentang cara mencek keaslian windows. --~--~---------~--~----~------------~-------~--~----~ You received this message because you are subscribed to the Google Groups "Balikpapan Information, Communication & Technology Community" group.  To post to this group, send email to balikpapan-ict@googlegroups.com  To unsubscribe from this group, send email to [EMAIL PROTECTED]  For more options, visit this group at http://groups.google.com/group/balikpapan-ict?hl=en-GB -~----------~----~----~----~------~----~------~--~---