Set as HomepageFavorite this site
B.Malaysia中文Wide screen

CariDotMy

 Forgot password?
 Register

ADVERTISEMENT

Carian Thread & Lain-lain
CariDotMy»Forum IT & Gajet Komputer & Teknikal File Restore Rogueware - Langkah2 menyahaktifkan
Return to list New
View: 1829|Reply: 0

File Restore Rogueware - Langkah2 menyahaktifkan

[Copy link]
yurigagarin
Post time 13-12-2012 02:27 AM | Show all posts |Read mode
Salam Forumers,

Hari ini saya ingin berkongsi ilmu dalam menangani masalah2 rogueware seperti FakeAV, Fake System Restore dan sebagainya. Bagi yang tidak biasa melakukan benda2 yang terlalu teknikal diminta untuk tidak mengikuti langkah2 ini. Baiklah, mari kita mulakan.

Sebelum itu, fake application ni akan nampak seperti aplikasi yang biasa cuma dia akan menganggu pengguna dan banyak lagi aktiviti yang dilakukan. Dibawah adalah screenshot bagi aplikasi palsu tersebut.


File Restore

Untuk pengetahuan forumers, aplikasi2 seperti ini mempunyai "key" tersendiri. Dimana ia akan meminta mangsanya untuk melakukan pembayaran dan sekaligus akan jadi fraud. Oleh itu, saya melakukan teknik reverse engineering / kejuruteraan terbalik (sila rujuk thread yang saya buka sebelum ni) untuk mendapatkan kunci tersembunyi didalam aplikasi ini.

Lesen File Restore : 08467206738602987934024759008355

Jika kunci ini tidak berjaya untuk diaktifkan, mungkin saudara/i terkena jangkitan "variant" baru. Jika kunci ini berjaya diaktifkan, anda telah berjaya menyahaktifkan aplikasi tersebut (dan anda bolehlah "remove" aplikasi tersebut). Okay, berbalik kepada cara2 untuk menyahaktifkan secara manual.

1. Sebagai permulaan, "boot"kan Windows anda ke dalam "Safe Mode in Networking". Anda juga boleh memilih "Safe Mode" sahaja. Selepas itu, Windows akan membawa anda masuk ke dalam Safe Mode.  PERHATIAN: Sesetengah daripada aplikasi palsu ini boleh aktif didalam Safe Mode.

2. Seterusnya, seperti biasa anda masuk ke dalam disk (C:\). Apa yang perlu dilakukan disini, anda perlu mencari komponen yang dibawa masuk oleh malware tersebut.

    - %AllUsersProfile%\random.exe
    - %AppData%\Roaming\Microsoft\Windows\Templates\random.exe
    - %Temp%\random.exe
    - %AppData%\NPSWF32.dll
    - %AppData%\result.db
    - %AppData%\Protector-[rnd].exe

3. Setelah anda berjaya mencari lokasi komponen2 tersebut, tolong "delete" dan kalau boleh gunakan kekunci shortcut "Shift + Delete". Sesetengah daripada komponen2 ini ada potensi untuk mencuri data dimana ia akan menghantar ke server utama malware tersebut. Terdapat juga sebahagian daripada keluarga malware ini yang boleh mengunci folder, file dan sebagainya yang  ada dalam PC anda.

4. Setelah anda selesai membuang malware2 tersebut, anda perlu membuka Registry Editor. Kenapa anda perlu masuk ke dalam sini? Malware dan sebagainya akan terlebih dahulu mendaftarkan "dirinya" sebagai salah 1 komponen Windows. Dalam hal itu, mangsa2 yang terkena serangan ini akan merasakan komputer menjadi slow dan sebagainya. Okay, tolak tepi dahulu cerita tu, kita akan pergi kepada kemasukan registry yang ada.

    - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[RANDOM CHAR].exe
    - HKCU\Software\Microsoft\Windows\CurrentVersion\Run 'Inspector'
    - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\protector.exe
    - HKCU\Software\Win 7 Antispyware 2013
    - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
        'DisableTaskMgr' = 0
    - HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\File Restore
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ERROR_PAGE_BYPASS_ZONE_CHECK_FOR_HTTPS_KB954312
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = 0
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 0
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Inspector"
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "ID" = 0
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "net" = "2012-2-17_2"
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "UID" = "rudbxijemb"
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avp32.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avpcc.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashDisp.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\divx.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mostat.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\platin.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tapinstall.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapsetup3001.exe

5. Berjaya menjumpai registry tersebut? Sesetengah daripadanya mungkin tiada tapi bukan bermakna kita terlepas pandang, tetapi terpulang daripada keluarga malware tersebut. Okay seperti biasa, dah jumpa registry itu, straight to the point, anda hanya perlu delete registry tersebut.

InsyaAllah dengan tutorial ini, akan dapat membantu forumers2 sekalian tidak kiralah anda sudah terkena atau belum, kita tidak akan tahu kesannya kerana ia akan mengambil masa.

p.s: Sekiranya forumers2 ada masalah mengenai malware2 seperti ini, bolehlah anda request dan saya akan cuba sedaya upaya untuk membantu anda.

Sekian. Salam 1 Malaysia.
-Yuri-



Reply

Use magic Report

Return to list New
Advanced Mode
B Color Image Link Quote Code Smilies
You have to log in before you can reply Login | Register

Points Rules

 

Category: IT & Gajet


ADVERTISEMENT


Forum Hot Topic
Acikpor vs. Ngai
maklukpenggodaAcikpor vs. Ngai
Views : 190815 Replies : 7000
V82: HANIS HAIZI B. ABD HAMID Cara Report to ICE (USA IMMI) on post #3566
anony-mousV82: HANIS HAIZI B. ABD HAMID Cara Repor
Views : 112070 Replies : 4892
[SBS/Netflix 2025] LOVE SCOUT - Han Ji Min, Lee Joon Hyuk ~ 3 January 2025
Rahah[SBS/Netflix 2025] LOVE SCOUT - Han Ji M
Views : 61846 Replies : 311
Pendapatan merosot dan deposit rumah sewa mencecah RM5ribu di JB,Suami Isteri Pilih Duduk Dalam Kereta & Hidup Berpindah-Randah
YgBenarPendapatan merosot dan deposit rumah sew
Views : 18506 Replies : 18
Andika Putera dipuji makin hensem, makan sekali sehari je
RalineAndika Putera dipuji makin hensem, makan
Views : 11615 Replies : 18
Boyfriend Ameera khan minum arak?
RalineBoyfriend Ameera khan minum arak?
Views : 23910 Replies : 12
Sindiket kewangan 'cuci' guna selebriti
BicaraHatikuSindiket kewangan 'cuci' guna se
Views : 24925 Replies : 122
Ogy Ahmad Daud Yang Dulunya Comel, Sekarang Garang!
piaoOgy Ahmad Daud Yang Dulunya Comel, Sekar
Views : 6921 Replies : 10
Bengang Thalita kena kutuk, Shuib ajak orang yang kutuk jumpa face to face
RalineBengang Thalita kena kutuk, Shuib ajak o
Views : 30941 Replies : 32
RUMAH BORAK BORNEO~ARAM BERANDAU
VellfireRUMAH BORAK BORNEO~ARAM BERANDAU
Views : 67022 Replies : 507

 

ADVERTISEMENT


 

Cari Dot My FB


ADVERTISEMENT
Follow Us

ADVERTISEMENT


Mobile|Archiver|Mobile*default|About Us|CariDotMy

8-2-2025 01:55 PM GMT+8 , Processed in 0.074629 second(s), 12 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

Quick Reply To Top Return to the list