W32.Lovena.A@mm
Pagina 1 di 1
W32.Lovena.A@mm
Admin Mer Dic 02, 2009 11:49 pm
CARTA D'IDENTITA'
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Media
Si diffonde via mail, attraverso programmi di file sharing e modifica l'home page di internet explorer
COSA FA
Quando viene eseguito, W32.Lovena.A@mm si comporta nel modo seguente:
1. Crea i seguenti files:
* C:\WINDOWS\system32\Alicia.exe
* C:\WINDOWS\system32\Emira.exe
* C:\WINDOWS\system32\msconfig.exe
* C:\WINDOWS\system32\msvbvm60.Renova
* C:\WINDOWS\system32\Nova.exe
* C:\WINDOWS\system32\OLD10.tmp
* C:\WINDOWS\system32\OLDE.tmp
* C:\WINDOWS\system32\regedit.exe
* C:\WINDOWS\system32\startpage.exe
* C:\WINDOWS\LastGood\regedit.exe
* C:\WINDOWS\LastGood\system32\taskmgr.exe
* C:\WINDOWS\Mstry.exe
* C:\WINDOWS\OLDB.tmp
* C:\AVONER.txt
* C:\Renova\Renova.htm
2. Aggiunge il valore:
"Debugger" = "C:\WINDOWS\Mstry.exe"
alla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msrun.exe
e si avvia automaticamente ad ogni avvio del pc.
3. Aggiunge il valore:
"Shell" = "C:\Program Files\Common Files\Renova.exe"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. Aggiunge il valore:
"[VALUE]" = "Nova.exe"
alla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Aggiunge il valore:
"DisableCMD" = "0"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
per disabilitare alcuni componenti di sistema condivisi.
6. Aggiunge il valore:
"DisableConfig" = "1"
"DisableSR" = "1"
alla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
7. Aggiunge il valore:
"NoSaveSettings" = "0"
"NoFolderOptions" = "0"
"NoFind" = "1"
"NoRun" = "0"
"NoControlPanel" = "0"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
per disabilitare alcuni componenti di sistema condivisi.
8. Aggiunge il valore:
"DisableRegistryTools" = "1"
"DisabletaskMgr" = "1"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
9. Adds the value:
"Warn on Mapi Send" = "0"
alla chiave di registro:
HKEY_CURRENT_USER\Identities\[DEFAULT USER ID]\Software\Microsoft\Outlook Express\5.0\Mail
10. Modifica il valore:
"Start Page" = "C:\Renova\Renova.htm"
nelle chiavi di registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
11. Modifica il valore:
"Type" = ""
nella chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
12. Modifica i valori:
"ProductName" = "Renova"
"RegisteredOrganization" = "Renova"
"RegisteredOwner" = "Renova"
"ProductId"= "Renova"
nella chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
13. Modifica il valore:
"AlternateShell" = "C:\Program Files\Common Files\Renova.exe"
nelle chiavi di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
14. Modifica i valori:
"AutoEndTasks" = "1"
"PaintDesktopVersion" = "1"
nella chiave di registro:
HKEY_ALL_USERS\Control Panel\Desktop
15. Modifica i valori:
"Shell" = "explorer.exe "[DRIVE]:\Program Files\Common Files\Renova.exe"
"Userinit" = "explorer.exe "[DRIVE]:\Program Files\Common Files\Renova.exe"
nella chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
16. Crea backup dei files originali nelle seguenti destinazioni:
* C:\WINDOWS\system32\dllcache\regedit.exe
* C:\WINDOWS\system32\dllcache\taskmgr.exe
17. Crea i seguenti files, se la destinazione C:\Program Files\Winamp esiste:
C:\Program Files\Winamp\winamp.exe
18. Tenta di copiarsi nelle seguenti destinazioni:
* [DRIVE]\Program Files\Common Files\Renova.exe
* [DRIVE]\Documents and Settings\[Current User]\Application Data\Reno.exe
19. Rinomina la destinazione C:\WINDOWS\system32\msvbvm60.dll con la seguente:
C:\WINDOWS\system32\msvbvm60.Renova
21. Manda una copia di se stesso a tutti gli indirizzi email presenti nella rubrica di outlook express:
To: [INDIRIZZO DEL MITTENTE]
Subject: RE: [OGGETTO]
Messaggio: Sorry, Saya lupa nih
Allegato: Nova.scr
23. Usa i programmi di condivisione di file per diffondersi con i seguenti nomi:
* Sexy Wallpaper.exe
* A Brave History.exe
* Love Story.exe
* Password Cracker.exe
* Hacking Tutorial.exe
* 17 Tahun Keatas.exe
* Grand Tourismo.exe
25. Chiude le finestre di windows che hanno i seguenti nomi:
* Advanced Registry Tracer
* Antivirus Scanner
* Close Program
* Close Programs
* CompactbyteAV
* EULA
* Folder Options
* Getting Started with Windows 2000
* Group Policy
* HijackThis
* HijackThis - v1.99.1
* iKnowPS
* Installation
* Microsoft Configuration Utility
* Norman Generic Fix
* Norman Virus Control - InstallShield Wizard
* NVC v5.81 Setup
* P3K Document Word Virus Diary.exe
* Pocket Killbox
* PowerDVD
* Process Explorer - Sysinternals: www.sysinternals.com
* RamCleaner
* RegCleaner 4.1 by Jouni Vuorio
* Registry Editor
* Restrictions
* Security Task Manager
* Security Task Manager Versi shareware tanpa registrasi
* Setup - iKnowPS
* System Cleaner
* System Configuration Utility
* System Restore
* Task Manager
* TuneUp RegistryCleaner
* Windows Media Player
* Windows Script Host
* Zanda's little helper
26. Riduce a icona le finestre che hanno nel nome le seguenti stringhe di testo:
* 10 2 5
* 10 TO 5
* AB THREE
* ADA BAND
* ADABAND
* ADRIANO
* ADVANCED REGISTRY TRACER
* AGNES
* AGUILERA
* AIMAR
* AKITOSHI KAWAZU
* ALICIA KEYS
* ALTER
* AMERICAN IDOL
* ANANG
* ANDRE HEHANU
* ANGELA AKI
* ANGELLI
* ANIM
* ANJASMARA
* ANTHEM
* ANTI
* ARI LASO
* ARI LASSO
* ARISTOTELES
* ARSENAL
* ARTIKA
* ARTIS
* ARY LASO
* ARY LASSO
* AUDIO
* AUDY
* AURIL
* AVAST
* AVG
* AVRIL
* AZAHRI
* AZHARI
* BAGASKARA
* BAIM
* BARCA
* BARCEL
* BARTHEZ
* BASE JAM
* BASEJAM
* BATIGOL
* BATISTUA
* BECKHAM
* BEDING
* BENINGTON
* BENNINGTON
* BLUR
* BOCA J
* BOLYWOOD
* BOOMERANG
* BORAX
* BORDEUX
* BOY ZONE
* BRITNEY
* BRONTOK
* BUFFON
* BUNGA
* BUNGLON
* CAFEIN
* CAFFEIN
* CAMPBEL
* CANDIL
* CANNAVARO
* CARLOS
* CASTLECOPS
* CELEBRI
* CHEER
* CHELSEA
* CHRISYE
* CILIN
* CILLIN
* CISSE
* CIUM
* CLAUDIO
* CLEANER
* CMD
* CODE-X
* COKELAT
* COLE
* COMMAND BRO !!!
* COMMAND BRO!!!
* COMMAND PROMPT
* COMPACTBYTE
* COUPET
* CRANBER
* CRUZ
* CUEX
* CUMBU
* CUT KEKE
* CUT TARI
* DAHLIA
* DANCE
* DANGDUT
* DECO
* DEDI DOR
* DELON
* DEMOCRA
* DEMOKRA
* DEWA
* DEWI
* DIAH
* DIAN N
* DIAN S
* DICAPRIO
* DIDA
* DORAEMON
* DORTMUND
* DOYOK
* EARTHLINK PROTECTION
* ELEMENT
* EMANSIP
* EMIKO SHIRATORI
* EMINEM
* EMMA WATSON
* ENDANK
* ENNO LERIAN
* ENO LERIAN
* ERTANTO
* ETO O
* ETO'O
* EVANTA
* F-SECURE
* FABREGAS
* FAJAR
* FAYE WONG
* FEBIOLA
* FEBY
* FERDINAND
* FIGO
* FILOSOF
* FILSAFAT
* FLANELA
* FOLDER OPTION
* FRENTE
* FUCK
* GATTUSO
* GATUSO
* GENDER
* GERRAD
* GHAZALI
* GIBRAN
* GIGGS
* GIGI
* GILARD
* GIRL
* GITAR
* GLENN
* GONZALES
* GOSIP
* GOSSIP
* GREEN DAY
* GREENDAY
* GRISOFT
* GROBAN
* GROOVE COVARAGE
* GUITAR
* GUN AND ROSE
* GUN N ROSE
* GUN N'ROSES
* GWEN
* HACKER
* HADAD
* HADDAD
* HAKAN
* HARRY POTTER
* HARUN NAS
* HARY POTTER
* HASAN ALBANA
* HATORI
* HATTORI
* HENRY
* HENTAI
* HIJACK
* HOLYWOOD
* HOOBASTANK
* HOWARD
* IHYA
* IKHWANUL MUSLIMIN
* IMAMAH
* INDONESIAN IDOL
* INUL
* INUYASHA
* INZAGHI
* IRAMA
* IWAN FAL
* IZUTSU
* JAMRUD
* JAVA JIVE
* JENIFER
* JENNIFER
* JEREM
* JIHAN
* JIKUSTIK
* JOSHUA
* JOWOBOT
* JULIET
* JUVE
* KABUTO
* KADIR
* KAHN
* KAKA
* KANGEN
* KANTUK
* KAPTEN
* KASPERSKY
* KATE WIN
* KATON
* KEANE
* KENSHIN HIMURA
* KEWEL
* KILL
* KILLBOX
* KINDI
* KISS
* KOES P
* KOMENG
* KOTAK BAND
* KOTARO MINAMI
* KRISDAYANTI
* KRISTIN
* KYOKO
* LAGU
* LALUNA
* LAMPARD
* LARSON
* LARSSON
* LAZIO
* LEONARDO
* LEVERKUSEN
* LIBERAL
* LINKIN PARK
* LINKINPARK
* LIVERPOOL
* LOPEZ
* MACHINE
* MADONA
* MADONNA
* MADRID
* MANCHESTER
* MANCINI
* MANGA
* MANTIK
* MARADONA
* MARAWIS
* MARCEL
* MAROON
* MARTIN
* MARTYN
* MATURID
* MAYANG S
* MAYANG SARI
* MCAFEE
* MEDIA PLAYER
* MELLY
* MELODI
* MELODY
* MELY
* METALLICA
* MICHAEL
* MICHEAL
* MICHEL
* MIDO
* MILAN
* MINORU
* MLTR
* MONACO
* MONTELA
* MONTELLA
* MOVIC
* MP 3
* MP3
* MU'TAZILAH
* MUNCHEN
* MUNICH
* MUSIC
* MUSIK
* MUTAZILAH
* NAFF
* NAIF
* NAKE
* NASYID
* NAZARE
* NESTA
* NEWCASTLE
* NIA DANIAT
* NIA R
* NIKE ARD
* NOBITA
* NOBUO
* NORMAN
* NORTON
* NOUBUO
* NUDE
* NUGIE
* NUNO
* NUOBUO
* NURHALIZA
* NVC
* NYANYI
* OPICK
* OWEN
* PADI
* PANDA
* PARMA
* PARTAI
* PAS BAND
* PATAH HATI
* PCMAV
* PEARL
* PELE
* PERUZZI
* PETER
* PHILOSOP
* PIERO
* PINNACLE
* PIRLO
* PLATO
* PLURALISME
* PORN
* PRIMUS
* PROCESS EXPLORER - SYSINTERNALS
* PROCEXP
* PRODIGY
* QUTH
* RABI'AH
* RABIAH
* RADIO HEAD
* RADIOHEAD
* RADJA
* RAIHAN
* RATNASARI
* RATU
* RAUL
* RAYHAN
* RAYU
* REALPLAYER
* RECOBA
* REGISTRYFIX
* REMOVAL
* REMOVER
* REVALDO
* REZA
* RIKE DIAH
* RIRIN
* RIVALDO
* ROBERTO
* ROBINHO
* ROMA
* ROMEO
* RONALDINHO
* RONALDO
* ROONEY
* ROSA
* SALAS
* SAMIR
* SAMMY
* SAMSON
* SAMURAI X
* SAMURAI-X
* SARAH
* SASTRA
* SATRIO
* SAYBIA
* SCORPION
* SECUNIA
* SEKS
* SELEB
* SENANDUNG
* SENI
* SERIEUS
* SERIUES
* SEURIUS
* SEVILLA
* SEX
* SHEARER
* SHEILA
* SHERINA
* SHEVA
* SHEVCHENKO
* SHIZUKA
* SINETRON
* SING
* SLAM DUNK
* SLANK
* SNADA
* SO7
* SONG
* SOPHIA
* SOPHOS
* SOPIA
* SPARK
* SPICE
* SPYWARE
* STEFAN
* STING
* STINGKY
* SUCK
* SUFI
* SYI'AH
* SYIAH
* SYMANTEC
* SYSTEM32
* TAHRIR
* TAMARA
* TASAWUF
* TATA YOUNG
* TEAM LO
* TEEN
* TEN 2 FIVE
* TEN TO FIVE
* TEN2FIVE
* TENTOFIVE
* TEOLOGI
* TERE
* TERRY
* THE RAIN
* THOMAS
* TIC BAND
* TIPE X
* TIPE-X
* TITIEK PUSPA
* TITIK PUSPA
* TITTA
* TOLDO
* TOTTI
* TREND
* TREZEG
* TROJAN
* TSUBASA
* TUNE
* UEMATSU
* ULFA
* UMIT
* UNGU
* UTOPIA
* VAGANZA
* VAKSIN
* VALENCIA
* VALENTINE
* VAN DE
* VIDUKA
* VIERI
* VIROLOG
* VIRUS
* WASHER
* WAYANG
* WEST
* WIBOWO
* WINAMP
* WORM
* YOHAN
* YOVI
* YUNAN
* ZANDA
* ZANETI
* ZANETTI
* ZAYANT
* ZLATAN
* ZUBIR
27. Termina i seguenti processi:
* ACDSEE.EXE
* ACRORD32.EXE
* ACT.EXE
* AKU BISA TANPAMU.EXE
* AKU KECEWA.EXE
* ALEXANDRIA.EXE
* ALLMYLIFETOLIVE.EXE
* ALOGSERV.EXE
* ANIMASI.EXE
* ANTIVIRUS STARTUP.EXE
* ART.EXE
* ARTIKA_SARI.EXE
* ARTIKA_SARI.SCR
* ARTIKA_SARI_DEVI.SCR
* ASHQUICK.EXE
* ASHSIMPL.EXE
* AVGCC.EXE
* AVGEMC.EXE
* AVGNT.EXE
* AVGWB.DAT
* AVP32.EXE
* AVPCC.EXE
* AVPM.EXE
* AVWIN.EXE
* AVWUPSRV.EXE
* BLUEFANTASY.EXE
* BR5271ON.EXE
* CAV-0.78.EXE
* CAV.EXE
* CCAPPS.EXE
* CCLAW.EXE
* CEWENAKAL.SCR
* CKERNEL.PIF
* CM GRDIAN.EXE
* CMD.EXE
* CMGRDIAN.EXE
* COMMAND.COM
* COMMAND.COM.BAT
* CONFIRM.EXE
* COULDNOTBREAK.EXE
* CreateToolhelp32Snapshot
* CTFMON.EXE
* CUEX44.EXE
* DEFAULT.PIF
* DETAILS.EXE
* DIBALAS DENGAN DUSTA.EXE
* DKERNEL.EXE
* DKERNEL.PIF
* DLHOST.EXE
* DOCUMENTS.EXE
* DRIVER PATCH.EXE
* EKERNEL.PIF
* EKSPLORASI.EXE
* ELNORB.EXE
* EMUSICCLIENT.EXE
* EnumProcesses
* EnumProcessModules
* EVERCOMES.SCR
* EXCEL.EXE
* EXPLOSEX.EXE
* FF.EXE
* FIREFOX.EXE
* FKERNEL.PIF
* FOOBAR2000.EXE
* FOTO.SCR
* FRONTPG.EXE
* GetModuleBaseNameA
* IEXPLORE.EXE
* IEXPLORER.EXE
* INSTRUCTIONS.EXE
* ISASS.EXE
* KANGEN.EXE
* KANGEN.HTM
* KAU PIKIR KAULAH SEGALANYA.EXE
* Kernel32.DLL
* KESENJANGANSOSIAL.EXE
* KISAH CINTA.EXE
* LEXPLORER.EXE
* LIVEFOREVER
* LIVEFOREVER.EXE
* LNETINFO.EXE
* LODCTR32.EXE
* LOVE STORIES.EXE
* LOVE STORY.EXE
* LOVEOFYOURLIFE
* MESSAGE.EXE
* MICROSOFT OFFICE.PIF
* MMSVC32.EXE
* MNTRNG.EXE
* Module32First
* Module32Next
* MOVIEX.EXE
* MR.ABRAM'S.EXE
* MR_COOLFACE.COM
* MS04028.EXE
* MSACCESS.EXE
* MSCONFIG.EXE
* MSFRWLL.EXE
* MSPAINT.EXE
* MSPATCH.EXE
* MSTRAY.EXE
* NAVW32.EXE
* NETSECR.EXE
* NEVERSTOP.EXE
* NEWNAME.BAT
* NIU.EXE
* NOTEPAD.EXE
* NVCCF.EXE
* NVCOD.EXE
* NVCTE.EXE
* NVCUT.EXE
* OGHIE.EXE
* OPERA.EXE
* OUTLOOK.EXE
* PACARGUE.SCR
* PARIS_HILTON.SCR
* PIECESOFTHEPEACE.EXE
* POWERPNT.EXE
* PROCCES.EXE
* Process32First
* Process32Next
* PSAPI.DLL
* PUBSHR.EXE
* RAKYATKELAPARAN.EXE
* README123.EXE
* REALPLAY.EXE
* REGEDIT.EXE
* REGSVCCHK.EXE
* RIYANI_JANGKARU.EXE
* ROMANTIC-DEVIL.R.EXE
* RULAUNCH.EXE
* RUNDLL.EXE
* RUNDLL32.EXE
* SARAHAZHARI.SCR
* SEJAUH MUNGKIN.EXE
* SERVICES.COM
* SHARE32.EXE
* SISTINURHALIZA.EXE
* SITI.EXE
* SMAN1_PKP.COM
* SMAN1_PKP.PIF
* SMANSA_PKP.COM
* SMANSA_PKP.PIF
* SOFFICE.EXE
* SRVHANDLE.EXE
* STILLALIVE.EXE
* SURAT_BUAT_PRESIDEN.EXE
* SVCH0ST.EXE
* SVCHOST.PIF
* SVCSPOOL.EXE
* SYS-ROMANTIC-DEVIL.R.VBS
* SYSLOVE.EXE
* SYSTEM.EXE
* SYSTEM32.EXE
* SYSTRAY.EXE
* TAK SEPERTI DULU.EXE
* TASKMAN.EXE
* TASKMGR.EXE
* TROJAN GUARDER.EXE
* TSKMGR.EXE
* TWINK_12.EXE
* TWINK_16.EXE
* TWINK_32.EXE
* TWUNK_12.EXE
* TWUNK_16.EXE
* UNINSTALLFIREFOX.EXE
* Unknown
* UNTUKMU.EXE
* UPDATE.EXE
* VIRUS.EXE
* VIVA ELEKTRO.EXE
* VSMAIN.EXE
* WELCOME.COM
* WELCOMETOSYSTEM.EXE
* WI.EXE
* WIN32.COM
* WINAMP.DLL.EXE
* WINAMP.EXE
* WINAMPA.EXE
* WINDOWS.EXE
* WINFILE.EXE
* WINL0G0N.EXE
* WINLOGON.COM
* WINNT.EXE
* WINWORD.EXE
* WINZIP.EXE
* WORDPAD.EXE
* WOWEXEC.EXE
* XMPLAYER.EXE
* XPSHARE.EXE
* ZANARKAND.EXE
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Tipo di minaccia: worm
Colpisce i sistemi operativi: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
* Distribuzione geografica: Bassa
* Contenimento della minaccia: Facile
* Rimozione: Media
Si diffonde via mail, attraverso programmi di file sharing e modifica l'home page di internet explorer
COSA FA
Quando viene eseguito, W32.Lovena.A@mm si comporta nel modo seguente:
1. Crea i seguenti files:
* C:\WINDOWS\system32\Alicia.exe
* C:\WINDOWS\system32\Emira.exe
* C:\WINDOWS\system32\msconfig.exe
* C:\WINDOWS\system32\msvbvm60.Renova
* C:\WINDOWS\system32\Nova.exe
* C:\WINDOWS\system32\OLD10.tmp
* C:\WINDOWS\system32\OLDE.tmp
* C:\WINDOWS\system32\regedit.exe
* C:\WINDOWS\system32\startpage.exe
* C:\WINDOWS\LastGood\regedit.exe
* C:\WINDOWS\LastGood\system32\taskmgr.exe
* C:\WINDOWS\Mstry.exe
* C:\WINDOWS\OLDB.tmp
* C:\AVONER.txt
* C:\Renova\Renova.htm
2. Aggiunge il valore:
"Debugger" = "C:\WINDOWS\Mstry.exe"
alla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msrun.exe
e si avvia automaticamente ad ogni avvio del pc.
3. Aggiunge il valore:
"Shell" = "C:\Program Files\Common Files\Renova.exe"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. Aggiunge il valore:
"[VALUE]" = "Nova.exe"
alla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Aggiunge il valore:
"DisableCMD" = "0"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
per disabilitare alcuni componenti di sistema condivisi.
6. Aggiunge il valore:
"DisableConfig" = "1"
"DisableSR" = "1"
alla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
7. Aggiunge il valore:
"NoSaveSettings" = "0"
"NoFolderOptions" = "0"
"NoFind" = "1"
"NoRun" = "0"
"NoControlPanel" = "0"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
per disabilitare alcuni componenti di sistema condivisi.
8. Aggiunge il valore:
"DisableRegistryTools" = "1"
"DisabletaskMgr" = "1"
alla chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
9. Adds the value:
"Warn on Mapi Send" = "0"
alla chiave di registro:
HKEY_CURRENT_USER\Identities\[DEFAULT USER ID]\Software\Microsoft\Outlook Express\5.0\Mail
10. Modifica il valore:
"Start Page" = "C:\Renova\Renova.htm"
nelle chiavi di registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
11. Modifica il valore:
"Type" = ""
nella chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
12. Modifica i valori:
"ProductName" = "Renova"
"RegisteredOrganization" = "Renova"
"RegisteredOwner" = "Renova"
"ProductId"= "Renova"
nella chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
13. Modifica il valore:
"AlternateShell" = "C:\Program Files\Common Files\Renova.exe"
nelle chiavi di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
14. Modifica i valori:
"AutoEndTasks" = "1"
"PaintDesktopVersion" = "1"
nella chiave di registro:
HKEY_ALL_USERS\Control Panel\Desktop
15. Modifica i valori:
"Shell" = "explorer.exe "[DRIVE]:\Program Files\Common Files\Renova.exe"
"Userinit" = "explorer.exe "[DRIVE]:\Program Files\Common Files\Renova.exe"
nella chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
16. Crea backup dei files originali nelle seguenti destinazioni:
* C:\WINDOWS\system32\dllcache\regedit.exe
* C:\WINDOWS\system32\dllcache\taskmgr.exe
17. Crea i seguenti files, se la destinazione C:\Program Files\Winamp esiste:
C:\Program Files\Winamp\winamp.exe
18. Tenta di copiarsi nelle seguenti destinazioni:
* [DRIVE]\Program Files\Common Files\Renova.exe
* [DRIVE]\Documents and Settings\[Current User]\Application Data\Reno.exe
19. Rinomina la destinazione C:\WINDOWS\system32\msvbvm60.dll con la seguente:
C:\WINDOWS\system32\msvbvm60.Renova
21. Manda una copia di se stesso a tutti gli indirizzi email presenti nella rubrica di outlook express:
To: [INDIRIZZO DEL MITTENTE]
Subject: RE: [OGGETTO]
Messaggio: Sorry, Saya lupa nih
Allegato: Nova.scr
23. Usa i programmi di condivisione di file per diffondersi con i seguenti nomi:
* Sexy Wallpaper.exe
* A Brave History.exe
* Love Story.exe
* Password Cracker.exe
* Hacking Tutorial.exe
* 17 Tahun Keatas.exe
* Grand Tourismo.exe
25. Chiude le finestre di windows che hanno i seguenti nomi:
* Advanced Registry Tracer
* Antivirus Scanner
* Close Program
* Close Programs
* CompactbyteAV
* EULA
* Folder Options
* Getting Started with Windows 2000
* Group Policy
* HijackThis
* HijackThis - v1.99.1
* iKnowPS
* Installation
* Microsoft Configuration Utility
* Norman Generic Fix
* Norman Virus Control - InstallShield Wizard
* NVC v5.81 Setup
* P3K Document Word Virus Diary.exe
* Pocket Killbox
* PowerDVD
* Process Explorer - Sysinternals: www.sysinternals.com
* RamCleaner
* RegCleaner 4.1 by Jouni Vuorio
* Registry Editor
* Restrictions
* Security Task Manager
* Security Task Manager Versi shareware tanpa registrasi
* Setup - iKnowPS
* System Cleaner
* System Configuration Utility
* System Restore
* Task Manager
* TuneUp RegistryCleaner
* Windows Media Player
* Windows Script Host
* Zanda's little helper
26. Riduce a icona le finestre che hanno nel nome le seguenti stringhe di testo:
* 10 2 5
* 10 TO 5
* AB THREE
* ADA BAND
* ADABAND
* ADRIANO
* ADVANCED REGISTRY TRACER
* AGNES
* AGUILERA
* AIMAR
* AKITOSHI KAWAZU
* ALICIA KEYS
* ALTER
* AMERICAN IDOL
* ANANG
* ANDRE HEHANU
* ANGELA AKI
* ANGELLI
* ANIM
* ANJASMARA
* ANTHEM
* ANTI
* ARI LASO
* ARI LASSO
* ARISTOTELES
* ARSENAL
* ARTIKA
* ARTIS
* ARY LASO
* ARY LASSO
* AUDIO
* AUDY
* AURIL
* AVAST
* AVG
* AVRIL
* AZAHRI
* AZHARI
* BAGASKARA
* BAIM
* BARCA
* BARCEL
* BARTHEZ
* BASE JAM
* BASEJAM
* BATIGOL
* BATISTUA
* BECKHAM
* BEDING
* BENINGTON
* BENNINGTON
* BLUR
* BOCA J
* BOLYWOOD
* BOOMERANG
* BORAX
* BORDEUX
* BOY ZONE
* BRITNEY
* BRONTOK
* BUFFON
* BUNGA
* BUNGLON
* CAFEIN
* CAFFEIN
* CAMPBEL
* CANDIL
* CANNAVARO
* CARLOS
* CASTLECOPS
* CELEBRI
* CHEER
* CHELSEA
* CHRISYE
* CILIN
* CILLIN
* CISSE
* CIUM
* CLAUDIO
* CLEANER
* CMD
* CODE-X
* COKELAT
* COLE
* COMMAND BRO !!!
* COMMAND BRO!!!
* COMMAND PROMPT
* COMPACTBYTE
* COUPET
* CRANBER
* CRUZ
* CUEX
* CUMBU
* CUT KEKE
* CUT TARI
* DAHLIA
* DANCE
* DANGDUT
* DECO
* DEDI DOR
* DELON
* DEMOCRA
* DEMOKRA
* DEWA
* DEWI
* DIAH
* DIAN N
* DIAN S
* DICAPRIO
* DIDA
* DORAEMON
* DORTMUND
* DOYOK
* EARTHLINK PROTECTION
* ELEMENT
* EMANSIP
* EMIKO SHIRATORI
* EMINEM
* EMMA WATSON
* ENDANK
* ENNO LERIAN
* ENO LERIAN
* ERTANTO
* ETO O
* ETO'O
* EVANTA
* F-SECURE
* FABREGAS
* FAJAR
* FAYE WONG
* FEBIOLA
* FEBY
* FERDINAND
* FIGO
* FILOSOF
* FILSAFAT
* FLANELA
* FOLDER OPTION
* FRENTE
* FUCK
* GATTUSO
* GATUSO
* GENDER
* GERRAD
* GHAZALI
* GIBRAN
* GIGGS
* GIGI
* GILARD
* GIRL
* GITAR
* GLENN
* GONZALES
* GOSIP
* GOSSIP
* GREEN DAY
* GREENDAY
* GRISOFT
* GROBAN
* GROOVE COVARAGE
* GUITAR
* GUN AND ROSE
* GUN N ROSE
* GUN N'ROSES
* GWEN
* HACKER
* HADAD
* HADDAD
* HAKAN
* HARRY POTTER
* HARUN NAS
* HARY POTTER
* HASAN ALBANA
* HATORI
* HATTORI
* HENRY
* HENTAI
* HIJACK
* HOLYWOOD
* HOOBASTANK
* HOWARD
* IHYA
* IKHWANUL MUSLIMIN
* IMAMAH
* INDONESIAN IDOL
* INUL
* INUYASHA
* INZAGHI
* IRAMA
* IWAN FAL
* IZUTSU
* JAMRUD
* JAVA JIVE
* JENIFER
* JENNIFER
* JEREM
* JIHAN
* JIKUSTIK
* JOSHUA
* JOWOBOT
* JULIET
* JUVE
* KABUTO
* KADIR
* KAHN
* KAKA
* KANGEN
* KANTUK
* KAPTEN
* KASPERSKY
* KATE WIN
* KATON
* KEANE
* KENSHIN HIMURA
* KEWEL
* KILL
* KILLBOX
* KINDI
* KISS
* KOES P
* KOMENG
* KOTAK BAND
* KOTARO MINAMI
* KRISDAYANTI
* KRISTIN
* KYOKO
* LAGU
* LALUNA
* LAMPARD
* LARSON
* LARSSON
* LAZIO
* LEONARDO
* LEVERKUSEN
* LIBERAL
* LINKIN PARK
* LINKINPARK
* LIVERPOOL
* LOPEZ
* MACHINE
* MADONA
* MADONNA
* MADRID
* MANCHESTER
* MANCINI
* MANGA
* MANTIK
* MARADONA
* MARAWIS
* MARCEL
* MAROON
* MARTIN
* MARTYN
* MATURID
* MAYANG S
* MAYANG SARI
* MCAFEE
* MEDIA PLAYER
* MELLY
* MELODI
* MELODY
* MELY
* METALLICA
* MICHAEL
* MICHEAL
* MICHEL
* MIDO
* MILAN
* MINORU
* MLTR
* MONACO
* MONTELA
* MONTELLA
* MOVIC
* MP 3
* MP3
* MU'TAZILAH
* MUNCHEN
* MUNICH
* MUSIC
* MUSIK
* MUTAZILAH
* NAFF
* NAIF
* NAKE
* NASYID
* NAZARE
* NESTA
* NEWCASTLE
* NIA DANIAT
* NIA R
* NIKE ARD
* NOBITA
* NOBUO
* NORMAN
* NORTON
* NOUBUO
* NUDE
* NUGIE
* NUNO
* NUOBUO
* NURHALIZA
* NVC
* NYANYI
* OPICK
* OWEN
* PADI
* PANDA
* PARMA
* PARTAI
* PAS BAND
* PATAH HATI
* PCMAV
* PEARL
* PELE
* PERUZZI
* PETER
* PHILOSOP
* PIERO
* PINNACLE
* PIRLO
* PLATO
* PLURALISME
* PORN
* PRIMUS
* PROCESS EXPLORER - SYSINTERNALS
* PROCEXP
* PRODIGY
* QUTH
* RABI'AH
* RABIAH
* RADIO HEAD
* RADIOHEAD
* RADJA
* RAIHAN
* RATNASARI
* RATU
* RAUL
* RAYHAN
* RAYU
* REALPLAYER
* RECOBA
* REGISTRYFIX
* REMOVAL
* REMOVER
* REVALDO
* REZA
* RIKE DIAH
* RIRIN
* RIVALDO
* ROBERTO
* ROBINHO
* ROMA
* ROMEO
* RONALDINHO
* RONALDO
* ROONEY
* ROSA
* SALAS
* SAMIR
* SAMMY
* SAMSON
* SAMURAI X
* SAMURAI-X
* SARAH
* SASTRA
* SATRIO
* SAYBIA
* SCORPION
* SECUNIA
* SEKS
* SELEB
* SENANDUNG
* SENI
* SERIEUS
* SERIUES
* SEURIUS
* SEVILLA
* SEX
* SHEARER
* SHEILA
* SHERINA
* SHEVA
* SHEVCHENKO
* SHIZUKA
* SINETRON
* SING
* SLAM DUNK
* SLANK
* SNADA
* SO7
* SONG
* SOPHIA
* SOPHOS
* SOPIA
* SPARK
* SPICE
* SPYWARE
* STEFAN
* STING
* STINGKY
* SUCK
* SUFI
* SYI'AH
* SYIAH
* SYMANTEC
* SYSTEM32
* TAHRIR
* TAMARA
* TASAWUF
* TATA YOUNG
* TEAM LO
* TEEN
* TEN 2 FIVE
* TEN TO FIVE
* TEN2FIVE
* TENTOFIVE
* TEOLOGI
* TERE
* TERRY
* THE RAIN
* THOMAS
* TIC BAND
* TIPE X
* TIPE-X
* TITIEK PUSPA
* TITIK PUSPA
* TITTA
* TOLDO
* TOTTI
* TREND
* TREZEG
* TROJAN
* TSUBASA
* TUNE
* UEMATSU
* ULFA
* UMIT
* UNGU
* UTOPIA
* VAGANZA
* VAKSIN
* VALENCIA
* VALENTINE
* VAN DE
* VIDUKA
* VIERI
* VIROLOG
* VIRUS
* WASHER
* WAYANG
* WEST
* WIBOWO
* WINAMP
* WORM
* YOHAN
* YOVI
* YUNAN
* ZANDA
* ZANETI
* ZANETTI
* ZAYANT
* ZLATAN
* ZUBIR
27. Termina i seguenti processi:
* ACDSEE.EXE
* ACRORD32.EXE
* ACT.EXE
* AKU BISA TANPAMU.EXE
* AKU KECEWA.EXE
* ALEXANDRIA.EXE
* ALLMYLIFETOLIVE.EXE
* ALOGSERV.EXE
* ANIMASI.EXE
* ANTIVIRUS STARTUP.EXE
* ART.EXE
* ARTIKA_SARI.EXE
* ARTIKA_SARI.SCR
* ARTIKA_SARI_DEVI.SCR
* ASHQUICK.EXE
* ASHSIMPL.EXE
* AVGCC.EXE
* AVGEMC.EXE
* AVGNT.EXE
* AVGWB.DAT
* AVP32.EXE
* AVPCC.EXE
* AVPM.EXE
* AVWIN.EXE
* AVWUPSRV.EXE
* BLUEFANTASY.EXE
* BR5271ON.EXE
* CAV-0.78.EXE
* CAV.EXE
* CCAPPS.EXE
* CCLAW.EXE
* CEWENAKAL.SCR
* CKERNEL.PIF
* CM GRDIAN.EXE
* CMD.EXE
* CMGRDIAN.EXE
* COMMAND.COM
* COMMAND.COM.BAT
* CONFIRM.EXE
* COULDNOTBREAK.EXE
* CreateToolhelp32Snapshot
* CTFMON.EXE
* CUEX44.EXE
* DEFAULT.PIF
* DETAILS.EXE
* DIBALAS DENGAN DUSTA.EXE
* DKERNEL.EXE
* DKERNEL.PIF
* DLHOST.EXE
* DOCUMENTS.EXE
* DRIVER PATCH.EXE
* EKERNEL.PIF
* EKSPLORASI.EXE
* ELNORB.EXE
* EMUSICCLIENT.EXE
* EnumProcesses
* EnumProcessModules
* EVERCOMES.SCR
* EXCEL.EXE
* EXPLOSEX.EXE
* FF.EXE
* FIREFOX.EXE
* FKERNEL.PIF
* FOOBAR2000.EXE
* FOTO.SCR
* FRONTPG.EXE
* GetModuleBaseNameA
* IEXPLORE.EXE
* IEXPLORER.EXE
* INSTRUCTIONS.EXE
* ISASS.EXE
* KANGEN.EXE
* KANGEN.HTM
* KAU PIKIR KAULAH SEGALANYA.EXE
* Kernel32.DLL
* KESENJANGANSOSIAL.EXE
* KISAH CINTA.EXE
* LEXPLORER.EXE
* LIVEFOREVER
* LIVEFOREVER.EXE
* LNETINFO.EXE
* LODCTR32.EXE
* LOVE STORIES.EXE
* LOVE STORY.EXE
* LOVEOFYOURLIFE
* MESSAGE.EXE
* MICROSOFT OFFICE.PIF
* MMSVC32.EXE
* MNTRNG.EXE
* Module32First
* Module32Next
* MOVIEX.EXE
* MR.ABRAM'S.EXE
* MR_COOLFACE.COM
* MS04028.EXE
* MSACCESS.EXE
* MSCONFIG.EXE
* MSFRWLL.EXE
* MSPAINT.EXE
* MSPATCH.EXE
* MSTRAY.EXE
* NAVW32.EXE
* NETSECR.EXE
* NEVERSTOP.EXE
* NEWNAME.BAT
* NIU.EXE
* NOTEPAD.EXE
* NVCCF.EXE
* NVCOD.EXE
* NVCTE.EXE
* NVCUT.EXE
* OGHIE.EXE
* OPERA.EXE
* OUTLOOK.EXE
* PACARGUE.SCR
* PARIS_HILTON.SCR
* PIECESOFTHEPEACE.EXE
* POWERPNT.EXE
* PROCCES.EXE
* Process32First
* Process32Next
* PSAPI.DLL
* PUBSHR.EXE
* RAKYATKELAPARAN.EXE
* README123.EXE
* REALPLAY.EXE
* REGEDIT.EXE
* REGSVCCHK.EXE
* RIYANI_JANGKARU.EXE
* ROMANTIC-DEVIL.R.EXE
* RULAUNCH.EXE
* RUNDLL.EXE
* RUNDLL32.EXE
* SARAHAZHARI.SCR
* SEJAUH MUNGKIN.EXE
* SERVICES.COM
* SHARE32.EXE
* SISTINURHALIZA.EXE
* SITI.EXE
* SMAN1_PKP.COM
* SMAN1_PKP.PIF
* SMANSA_PKP.COM
* SMANSA_PKP.PIF
* SOFFICE.EXE
* SRVHANDLE.EXE
* STILLALIVE.EXE
* SURAT_BUAT_PRESIDEN.EXE
* SVCH0ST.EXE
* SVCHOST.PIF
* SVCSPOOL.EXE
* SYS-ROMANTIC-DEVIL.R.VBS
* SYSLOVE.EXE
* SYSTEM.EXE
* SYSTEM32.EXE
* SYSTRAY.EXE
* TAK SEPERTI DULU.EXE
* TASKMAN.EXE
* TASKMGR.EXE
* TROJAN GUARDER.EXE
* TSKMGR.EXE
* TWINK_12.EXE
* TWINK_16.EXE
* TWINK_32.EXE
* TWUNK_12.EXE
* TWUNK_16.EXE
* UNINSTALLFIREFOX.EXE
* Unknown
* UNTUKMU.EXE
* UPDATE.EXE
* VIRUS.EXE
* VIVA ELEKTRO.EXE
* VSMAIN.EXE
* WELCOME.COM
* WELCOMETOSYSTEM.EXE
* WI.EXE
* WIN32.COM
* WINAMP.DLL.EXE
* WINAMP.EXE
* WINAMPA.EXE
* WINDOWS.EXE
* WINFILE.EXE
* WINL0G0N.EXE
* WINLOGON.COM
* WINNT.EXE
* WINWORD.EXE
* WINZIP.EXE
* WORDPAD.EXE
* WOWEXEC.EXE
* XMPLAYER.EXE
* XPSHARE.EXE
* ZANARKAND.EXE
COME RIMUOVERLO
1. Disattivare il Ripristino configurazione di sistema.
2. Aggiornare il proprio antivirus.
3. Eseguire una scansione completa del sistema in modalità provvisoria.
Admin- Admin
- Messaggi : 156
Data di iscrizione : 01.12.09 -
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.