Wednesday, April 29, 2009

Flashdisk kena virus, data hilang

Kesal sekali, file hilang semua, padahal aku yakin telah menyimpan semua dokumen word ke flasdisk. Dalam file document tersebut ada yang berisi data penting mengenai surat perjanjian jual beli tanah. Data Company Profile CV. Kaliandra juga menghilang, termasuk daftar alamat pengrajin sepatu di Cibaduyut, Bandung.

Bukan itu saja, hasil download lagu terbaru Rihanna, umbrella, Good Girl Gone Bad dan mp3 file dari 4shared pun lenyap. Film 3GP yang diam-diam ku salin dari komputer si mamo juga tidak ada, padahal itu filem anu (aduh kejedot .. aku baru tahu dataku hilang ketika ingin menontonnya).

Menurut tabloid info komputer yang kubaca, file-file tersebut sebenarnya tidak hilang atau terhapus. Ini adalah perbuatan virus yang menyembunyikan semua isi flashdisk, lalu aku ikuti petunjuknya tentang bagaimana cara menampilkan kembali file atau folder yang di hidden.

Petunjuknya begini:
Klik start -> run lalu ketik cmd
Setelah jendela Command Promt tampil, ketiklah drive atau Removable Disk tujuan yang ingin dirubah attribut nya.

C:\Document and Settings\user>i: (lalu tekan enter)
( flashdrive ku ada di drive i, kamu dapat mengetahuinya dengan membuka Windows Explorer.)
Jika sudah pindah drive, ketik
I:\>attrib[spasi]-r[spasi]-h[spasi]-s[spasi]*.*[spasi]/s[spasi]/d (kemudian tekan ENTER)

change-file-attribute
Apa berhasil? ya dan tidak. Ketika mempraktekannya di komputer temanku hidden folder dan semua file ada kembali, tetapi begitu flashdisk tersebut ditancap ke PC ku huilang lagi.

Read more!

Friday, April 17, 2009

Port 1900 apa bahaya?

Begitu modem ku konek ke Internet, langsung muncul pemberitahuan dari Software Firewall yang ku install. . . ini gambarnya.

warning port 1900
Karena penasaran aku klik YES saja, dan coba cari tahu.
Port 1900 adalah port UDP (User Datagram Protocol), port ini memang terbuka dan digunakan oleh windows untuk menjalankan Universal Plug and Play (UPnP) service.

Untuk menjalankan UPnP service tersebut windows menggunakan:
  • Simple Service Discovery Protocol (SSDP). Servis ini untuk menemukan perangkat UPnP di dalam jaringan/network.
  • Universal Plug and Play Device Host. Servis ini menyediakan suport ke host dari perangkat Universal Plug and Play(mungkin ini artinya server, komputer, atau mesin lain ya?)
Setiap perangkat UPnP saling mengirimkan dan menerima paket data atau pesan dari perangkat UPnP lainnya. Dibawah ini Gambar dari Packet Log firewall.

Firewall Packet Log
Tapi kenapa kok broadcast nya ke IP 239.255.255.250 ?
Setelah di trace dan di lihat dengan whois lookup, hasilnya ini:
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 224.0.0.0 - 239.255.255.255
CIDR: 224.0.0.0/4
NetName: MCAST-NET
NetHandle: NET-224-0-0-0-1
Parent:
NetType: IANA Special Use
NameServer: FLAG.EP.NET
NameServer: STRUL.STUPI.SE
NameServer: NS.ISI.EDU
NameServer: NIC.NEAR.NET
Comment: This block is reserved for special purposes.
Comment: Please see RFC 3171 for additional information.
Comment:
RegDate: 1991-05-22
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2009-04-15 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Nomer IP tersebut digunakan untuk alamat IP multicast. Dan daripada aku pusing mengartikan n ngetiknya, tak kasih link nya aja deh..

IP Multicast Protocol Multicast-address RFC 3171
http://en.wikipedia.org/wiki/IP_multicast
http://www.iana.org/protocols/
http://www.iana.org/assignments/multicast-addresses/multicast-addresses.xhtml
http://tools.ietf.org/html/rfc3171

Waduh ini ada yang muncul lagi..
"Generic Host Process for Win32 Services (svchost.exe) is trying to broadcast to [224.0.0.22]. Do you want to allow this program to access the network?"
"NT Kernel System (NTOSKRNL.EXE) is trying to broadcast to [224.0.0.22]. Do you want to allow this program to access the network?"
Ini pasti akibat di klik YES.
Terus harusnya bagaimana apa port 1900 itu ditutup saja, ada yang bilang sih bahaya kalau otomatis terbuka.

Biar tau bahaya apa nggak, download 2 file PDF di ziddu
http://www.ziddu.com/download/4325636/Port1900.rar.html dan http://www.ziddu.com/download/4325635/Port_Plug_n_Pray.rar.html

Read more!

Monday, April 13, 2009

tipuan trojan atau malware

Whether you know it or not your computer is always at risk of becoming infected with viruses, worms, trojans, rootkits, dialers, spyware, and malware that are constantly evolving and becoming harder to detect and remove. Only the most sophisticated anti-malware techniques can detect and remove these malicious programs from your computer.

Setiap komputerku konek ke internet pasti muncul pop up halaman promofromoffer, dilanjutkan dengan munculnya popup yang memberitahukan bahwa komputer ku tidak aman, "segera download antivirus-xp 2009".

Untung aku nggak ketipu untuk mengklik popup tersebut, pokoknya jangan klik yes atau cancel, termasuk meng-klik tanda silang, karena itu juga tipuan. Matikan Internet Explorernya dengan menggunakan Task Manager, emang sih cara ini gak efektif karena semua halaman yang kita buka pake IE bakalan ketutup.

Selain kejadian tersebut PC ku juga berusaha terhubung ke situs griehe.com, 299979593048282496.joeplz.com, dan situs-situs gak bener lainnya. Antivirus, anti trojan, anti malware yang ku punya pada buta semua alias gak ngedeteksi.

Setelah googling akhirnya ketemu juga software untuk membasmi trojan dan malware yang ampuh, yaitu Malwarebytes' Anti-Malware yang bisa didownload di malwarebytes.org
malware perform full-scan
hasil-scan-malwarebytesDibawah ini adalah laporannya:
Malwarebytes' Anti-Malware 1.36
Database version: 1945
Windows 5.1.2600 Service Pack 2

4/13/2009 11:48:52 AM
mbam-log-2009-04-13 (11-48-52).txt

Scan type: Full Scan (C:\|)
Objects scanned: 165780
Time elapsed: 1 hour(s), 39 minute(s), 11 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 2
Registry Keys Infected: 14
Registry Values Infected: 2
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\WINDOWS\system32\qoMdDvVl.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\emehqb.dll (Trojan.Vundo.H) -> Delete on reboot.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53fa93af-2925-4fd0-bba9-c7382527c235} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{53fa93af-2925-4fd0-bba9-c7382527c235} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9737d1ab-9ee1-499a-936e-640b1782d7ad} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9737d1ab-9ee1-499a-936e-640b1782d7ad} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7ec6076b-b489-405f-8262-b0d733617b73} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9737d1ab-9ee1-499a-936e-640b1782d7ad} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{53fa93af-2925-4fd0-bba9-c7382527c235} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7ec6076b-b489-405f-8262-b0d733617b73} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{7ec6076b-b489-405f-8262-b0d733617b73} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\qomddvvl -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\qomddvvl -> Delete on reboot.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\qoMdDvVl.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lVvDdMoq.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lVvDdMoq.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emehqb.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\gtlfvnha.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
:)

Read more!