Untuk pengetahuan forumers, aplikasi2 seperti ini mempunyai "key" tersendiri. Dimana ia akan meminta mangsanya untuk melakukan pembayaran dan sekaligus akan jadi fraud. Oleh itu, saya melakukan teknik reverse engineering / kejuruteraan terbalik (sila rujuk thread yang saya buka sebelum ni
) untuk mendapatkan kunci tersembunyi didalam aplikasi ini.
Lesen File Restore : 08467206738602987934024759008355
Jika kunci ini tidak berjaya untuk diaktifkan, mungkin saudara/i terkena jangkitan "variant" baru. Jika kunci ini berjaya diaktifkan, anda telah berjaya menyahaktifkan aplikasi tersebut (dan anda bolehlah "remove" aplikasi tersebut). Okay, berbalik kepada cara2 untuk menyahaktifkan secara manual.
1. Sebagai permulaan, "boot"kan Windows anda ke dalam "Safe Mode in Networking". Anda juga boleh memilih "Safe Mode" sahaja. Selepas itu, Windows akan membawa anda masuk ke dalam Safe Mode. PERHATIAN: Sesetengah daripada aplikasi palsu ini boleh aktif didalam Safe Mode.
2. Seterusnya, seperti biasa anda masuk ke dalam disk (C:\). Apa yang perlu dilakukan disini, anda perlu mencari komponen yang dibawa masuk oleh malware tersebut.
- %AllUsersProfile%\random.exe
- %AppData%\Roaming\Microsoft\Windows\Templates\random.exe
- %Temp%\random.exe
- %AppData%\NPSWF32.dll
- %AppData%\result.db
- %AppData%\Protector-[rnd].exe
3. Setelah anda berjaya mencari lokasi komponen2 tersebut, tolong "delete" dan kalau boleh gunakan kekunci shortcut "Shift + Delete". Sesetengah daripada komponen2 ini ada potensi untuk mencuri data dimana ia akan menghantar ke server utama malware tersebut. Terdapat juga sebahagian daripada keluarga malware ini yang boleh mengunci folder, file dan sebagainya yang ada dalam PC anda.
4. Setelah anda selesai membuang malware2 tersebut, anda perlu membuka Registry Editor. Kenapa anda perlu masuk ke dalam sini? Malware dan sebagainya akan terlebih dahulu mendaftarkan "dirinya" sebagai salah 1 komponen Windows. Dalam hal itu, mangsa2 yang terkena serangan ini akan merasakan komputer menjadi slow dan sebagainya. Okay, tolak tepi dahulu cerita tu, kita akan pergi kepada kemasukan registry yang ada.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[RANDOM CHAR].exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run 'Inspector'
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protector.exe
- HKCU\Software\Win 7 Antispyware 2013
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
'DisableTaskMgr' = 0
- HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\File Restore
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ERROR_PAGE_BYPASS_ZONE_CHECK_FOR_HTTPS_KB954312
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Inspector"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "ID" = 0
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "net" = "2012-2-17_2"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "UID" = "rudbxijemb"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avp32.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avpcc.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\divx.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mostat.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\platin.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tapinstall.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapsetup3001.exe
5. Berjaya menjumpai registry tersebut? Sesetengah daripadanya mungkin tiada tapi bukan bermakna kita terlepas pandang, tetapi terpulang daripada keluarga malware tersebut. Okay seperti biasa, dah jumpa registry itu, straight to the point, anda hanya perlu delete registry tersebut.
InsyaAllah dengan tutorial ini, akan dapat membantu forumers2 sekalian tidak kiralah anda sudah terkena atau belum, kita tidak akan tahu kesannya kerana ia akan mengambil masa.
p.s: Sekiranya forumers2 ada masalah mengenai malware2 seperti ini, bolehlah anda request dan saya akan cuba sedaya upaya untuk membantu anda.
Sekian. Salam 1 Malaysia.
-Yuri-
Post time 13-12-2012 02:27 AM
变色卡
![[tvN] "When The Stars Gossip / Ask The Stars" 별들에게 물어봐 (2023) ~ Lee Minho, Gong Hyojin, Han Jieun](https://uf.cari.com.my/forumx/mforum/block/08/08339b7d0e264e998bb51608b6598bcc.jpg)
