MemBasmi virus VB / VB WORM ……

May 14, 2007

Cara mudah untuk menggagalkan proses aplikasi yang dibuat dari bahasa Visual Basic 6.0 adalah dengan menghapus file runtime msvbvm60.dll pada direktori System Windows, ini adalah file dynamic link library dari Microsoft Visual Basic Virtual Machine versi 6.0(msvbvm50.dll untuk VB 5.0, mscoree.dll untuk VB.Net).

1. DIRECT PROTECTION
Saat aplikasi berbasis Visual Basic tereksekusi dan aktif pada memory maka tidak ada satu carapun yang bisa dilakukan untuk menghapus file msvbvm60.dll tanpa terlebih dahulu mematikan proses aplikasi tersebut, jika user mencoba untuk menghapus file msvbvm60.dll melalui Windows Explorer maka sistem akan segera menampilkan sebuah kotak pesan sebagai berikut.

Pada Windows 98 dan ME user juga tidak dapat mengubah nama (rename) ataupun memindah file (move), namun pada Windows 2000 dan XP, user walaupun tidak mampu untuk menghapus file msvbvm60.dll tapi tetap dengan mudah dapat mengubah nama atau memindah ke folder lain, hal ini akan menggagalkan proses aplikasi Visual Basic tersebut pada eksekusi berikutnya. Untuk mencegah user menghapus atau memindah file msvbvm60.dll ini pada Windows 2000 ataupun XP maka file tersebut harus berada pada kondisi terbuka, lalu bagaimana cara membuka file yang notabene bukan dokumen tersebut? Penulis mengutip sedikit teknik pada buku Computer Worm 1 yaitu membuka atau membaca file msvbvm60.dll tersebut sebagai file binary ataupun text, perhatikan 2 contoh code Visual Basic berikut ini.

  1. Open c:\windows\system32\msvbvm60.dll For Binary Access Read As #1
  2. Open c:\windows\system32\msvbvm60.dll For Input As #1

Selama code tersebut tidak menutupnya dengan statement Close #1 maka file msvbvm60.dll tersebut tidak akan dapat dihapus, diubah nama ataupun dipindah tempatkan, namun jika user tetap nekat untuk mencoba mengubah nama ataupun memindah file msvbvm60.dll melalui Windows Explorer maka sistem akan segera menampilkan kotak pesan sebagai berikut.

2. MSVBVM60.DLL EVERYWHERE
Proteksi secara langsung sudah dilakukan, lalu bagaimana jika user mencoba untuk menghapus file msvbvm60.dll tersebut pada saat worm sedang tidak aktif, misalnya saja user menggunakan multi OS ataupun boot dengan disk operating system (DOS) sehingga file launcher suatu worm tidak dapat tereksekusi pada environment tersebut? Pada saat suatu file aplikasi Visual Basic tereksekusi maka secara default aplikasi tersebut akan mencari dan me-load file msvbvm60.dll, nah file msvbvm60.dll secara default ada pada direktori %windir%\system untuk sistem operasi Windows 98 dan ME, kemudian pada direktori %windir%\system32 untuk Windows 2000 dan XP, tapi tahukah anda jika pertama kali aplikasi tersebut sebenarnya mencari file msvbvm60.dll bukan pada direktori default melainkan pada direktori yang sama dengan file aplikasi tersebut?! Ya Penulis tahu saat ini Anda berfikir untuk membuat backup file msvbvm60.dll disetiap direktori yang memuat aplikasi tersebut bukan? :) .

Aplikasi Visual Basic juga akan mencari pada direktori %windir%\system dan lokasi direktori yang terdaftar pada path Windows. Adapun untuk melihat lokasi yang ada pada path Windows, dapat menggunakan perintah PATH seperti yang akan Penulis contohkan pada command prompt berikut ini:

Terlihat path-path yang terdaftar dipisahkan dengan tanda “;”. Dengan melihat path diatas dapat disimpulkan bahwa lokasi pencarian akan berada pada path berikut ini:

1. Path direktori yang sama dengan file aplikasi VB tersebut
2. Direktori C:\WINDOWS\system
3. Direktori C:\WINDOWS\system32
4. Direktori C:\WINDOWS
5. Direktori C:\WINDOWS\System32\Wbem
Kita juga bisa menambahkan path tertentu yang kita inginkan, pada Windows 98 dan ME pengaturan ini berada pada file autoexec.bat yang secara default berada pada root direktori C: namun worm-worm yang Penulis temukan sepertinya lebih suka mengoverwrite file tersebut ketimbang menambah atau mengeditnya, berikut baris yang ditambahkan atau dimanipulasi:

SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND;C:\WINDOWS\WSAR

Pada contoh diatas Penulis menambahkan sebuah path baru yaitu direktori %windir%\WSAR. Untuk Windows 2000 dan XP pengaturannya berada pada registry dengan key sebagai berikut:

Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
Value Path
Type REG_EXPAND_SZ
Data %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem; %SystemRoot%\WSar; C:\Documents and Settings\All Users\Desktop

Pada contoh diatas Penulis kembali menambahkan sebuah path baru yaitu direktori %windir%\WSar dan C:\Documents and Settings\All Users\Desktop.

3. MSVBVM60.DLL??? GAK BUTUH LA YAU
Proteksi secara langsung sudah dilakukan, file msvbvm60.dll pun sudah ada dimana-mana, tapi begitu mengetahui aplikasi tetap berjalan sementara file msvbvm60.dll pada direktori default sudah berhasil dihapus membuat user penganalisa menjadi bertanya-tanya, tak lama kemudian user ini melihat fenomena yang sangat aneh bin ajaib, file msvbvm60.dll bertebaran dimana-mana dengan menyandang attribut super hidden :) . Hilang sudah sabar dihati, user ini pun kemudian mengeluarkan senjata andalannya program KillVB yang dapat didownload gratis pada url http://www.compactbyte.com, program yang mampu melumpuhkan proses semua worm lokal maupun non lokal yang dibuat dengan bahasa pemrograman Visual Basic tanpa terkecuali sehingga worm Brontok varian terakhir dan mutakhirpun tidak akan berkutik, program KillVB ini pun semula memang dirancang khusus untuk memerangi worm Brontok.
Agar mudah dihapus user ini kemudian mengatur attribut file msvbvm60.dll menjadi normal kembali dengan menggunakan perintah command prompt berikut ini:

Kemudian menggunakan fasilitas Find atau Search untuk mendapatkan semua file msvbvm60.dll untuk kemudian menghapusnya, atau bisa dengan perintah command prompt berikut ini:

Dengan berakhirnya proses suatu worm maka system defender yang digunakan pun juga berakhir, dengan demikian user bisa menggunakan aplikasi apa saja untuk memperbaiki konfigurasi yang telah dimanipulasi suatu worm.

Akhirnya Penulis kembali melakukan serangkaian percobaan, Penulis membuat sebuah aplikasi sederhana dengan menggunakan Visual Basic, kemudian menghapus file msvbvm60.dll pada direktorinya, saat aplikasi tersebut dieksekusi yang terjadi adalah Windows memberikan pesan sebagai berikut:

Pesan tersebut memberikan informasi bahwa file msvbvm60.dll tidak berhasil ditemukan, tiba-tiba saja terbesit sebuah ide untuk melihat body program tersebut pada aplikasi hex editor, gambarannya akan terlihat sebagai berikut:

Penulis menemukan strings MSVBVM60.DLL pada body program tersebut, iseng-iseng Penulis kemudian menggantinya menjadi BLAHBLAH.TXT, saat dieksekusi tampil lagi sebuah pesan dengan isi yang sedikit berbeda, perhatikan gambar berikut ini:

Hei… untuk apa program ini mencari file BLAHBLAH.TXT ??? :) , seperti yang baru saja Anda duga Penulis kemudian membuat salinan file msvbvm60.dll baru yang sebelumnya terhapus dan mengubah nama file tersebut menjadi blahblah.txt, alhasil era baru pembuatan aplikasi visual basic pun dimulai, program tersebut berjalan dengan baik tanpa menggunakan file yang bernama msvbvm60.dll lagi tetapi kini menggunakan runtime blahblah.txt, siapa mengira file dengan ekstensi txt ternyata adalah file runtime Microsoft Visual Basic Virtual Machine, adapun ekstensi yang digunakan tidak terbatas pada ekstensi yang telah terasosiasi saja. Dengan mengacu file runtime yang tidak mengandung string “msvbvm” pada nama filenya tentu saja worm tersebut kini akan meloloskan diri dengan sangat mudah dari program KillVB.

Suatu worm dapat mengaplikasikan teknik ini dengan algoritma sebagai berikut; saat file infector worm tereksekusi, worm kemudian membuat salinan sebagai file launchernya pada suatu direktori tertentu, kemudian mengedit file tersebut dan mengubah string MSVBVM60.DLL menjadi nama acak lainnya, setelah itu worm kemudian membuat salinan file msvbvm60.dll pada direktori yang terdaftar pada path Windows dan segera mengubah nama file tersebut dengan nama acak yang digunakan sebelumnya, adapun file infectornya nanti tetap akan menggunakan string MSVBVM60.DLL ini.

Beberapa exe compressor, mengenkripsi string msvbvm60.dll ini sehingga tidak dapat diubah secara langsung, adapun salah satu program compressor yang tetap membiarkan string ini eksis pada body program adalah UPX (the ultimate packer for executables).

4. YANG PAKE VB MINGGIR!!
Setelah mampu berjalan tanpa menggunakan file yang bernama msvbvm60.dll, worm yang lupa daratan ini pun kini ikut-ikutan worm lain dengan mencegah eksekusi aplikasi atau worm yang dibuat dengan menggunakan bahasa Visual Basic 6.0, namun untuk menghindari penggunaan cara lamerz yang akan menimbulkan kecurigaan maka worm ini tidak akan menghapus file msvbvm60.dll tetapi memanipulasi body file tersebut, untuk manipulasi ini pun harus berhati-hati, jangan sampai saat mengeksekusi program user kemudian melihat pesan sebagai berikut:

Pesan tersebut akan menimbulkan pertanyaan oleh user, “Ada apa dengan msvbvm60.dll?”, adapun salah satu manipulasi yang Penulis kira aman adalah sebagai berikut:

Mengganti string “@..@.reloc” yang memiliki nilai hex [40 00 00 40 2E 72 65 6C 6F 63] menjadi nilai hex [00 00 00 00 00 00 00 00 00 00], adapun pesan yang akan tampil saat suatu program Visual Basic 6.0 dieksekusi adalah sebagai berikut:

Melihat kotak pesan yang tampil, kini pertanyaan user yang akan timbul adalah “Ada apa dengan program Project1.exe?”. ”Mene ke tehe …:)” Nah.. hari gini masih menggunakan cara lamerz yang sudah terlalu kuno untuk melumpuhkan VB?. “Actually… it’s not about the language, but the trick!”

Leave a Comment » | Tips & trik | Permalink
Posted by san4you

Email Flooding Technique

May 10, 2007

Saya (setelah sekian lama) baru menemukan konsep yang menarik setelah membaca ulang sebuah email yang dikirim ke saya. Isi email persisnya saya lupa, intinya saya mendapati email forward yang berisikan tawaran menarik apabila saya memforward lagi ke teman-teman dengan tetap menambahkan CC (carbon copy) ke email tertentu.

Dalam hal ini alamat email CC adalah si target flooding email. Dengan memakai metode ini kemungkinan email masuk kategori SPAM akan kecil, karena dikirim oleh alamat email yang valid (legit) dan tentu saja memenuhi inbox si target.
Ya, ini adalah teknik yang digunakan oleh penyerang (A) untuk membanjiri INBOX targetnya (B).

Kisah yang mungkin bisa ditelaah seperti berikut:
A seorang Kepala divisi Marketing Perusahaan XYZ yang baru saja dipecat karena telah difitnah oleh B (boss dari A, koruptor sebenarnya) dengan tuduhan korupsi sebesar 2Milyar.
Maka si A pun memutar otak bagaimana supaya bisa balas dendam terhadap B. Kesalahan dilakukan oleh manajemen Perusahaan XYZ (keberuntungan buat si A) karena tidak segera menghapus email account si A, maka dia pun pergi ke warnet dan login ke webmail Perusahaan XYZ dan memulai mengetikkan jari-jarinya ke keyboard.
Singkat kata, A mengirim email ke 10 orang temannya yang isinya kurang lebih:

Hello Teman,

Saya adalah Kepala divisi Marketing Perusahaan XYZ.
Dalam rangka perayaan ULTAH yang ke-10, Perusahaan kami sedang mengadakan sayembara berhadiah 1 mobil Ford Focus bagi siapa saja yang mengirimkan/memforward email ini ke teman yang lain dengan mengikutsertakan CC: ke email B. Ini kami perlukan untuk mendata siapa dan berapa jumlah forward yang telah dikirim. Bagi pengirim terbanyak akan segera mendapat email konfirmasi dari kami paling lambat 1 minggu setelah sayembara ini ditutup.


bla bla bla

~ditambah attachment sehingga email size: 100Kb

Siapa yang tidak tertarik dengan iming-iming Ford Focus? Apalagi hanya butuh beberapa klik dan sentuhan keyboard. Hasilnya, 10 teman si A tadi segera memforward ke daftar kontak mereka. Paling sedikit masing-masing memforward ke 10 teman yang lain

A –> A’ –> A” –> A”’–> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | | |-> A””
| | |-> A”’
| | |-> A”’
| | |-> A”’
| | |-> A”’
| | |-> A”’
| | |-> A”’
| | |-> A”’
| | |-> A”’
| | |-> A”’
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
|
|-> A’ –> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
| |-> A”
|-> A’
|-> A’
|-> A’
|-> A’
|-> A’
|-> A’
|-> A’
|-> A’

Dengan hitungan kasar:
A’ -> A” = 10 x 1 = 10 –> CC ke INBOX B
A” -> A”’ = 10 x 10 = 100 –> CC ke INBOX B
A”’ -> A”” -> 10 x 10 x 10 = 1000 –> CC ke INBOX B

Sampai sini bisa kita hitung:
Total EMail yang di-CC ke B = 10+100+1000=1110
Total Size yang di-CC ke B = 1110×100Kb= 111.000Kb
= 111Mb

111 Mb email (sampah) masuk ke INBOX B!!
Belum lagi apabila A”” memforward ke masing-masing 10 teman lagi dan seterusnya. Mungkin tidak hanya 10 teman, bukankah semakin banyak memforward akan semakin besar kemungkinan Ford Focus ada di garasi kita? Ok saya mempunyai 100 daftar kontak mulai dari teman SD, SMP, SMA, teman kuliah sampai teman kantor, saya pasti akan memforward ke mereka semua. Katakan tingkat keberhasilan (yang memforward lagi) ada 25%, maka 25 dari mereka akan melakukan hal yang sama ke daftar kontak mereka. Dan BUMMM!!

Apabila kapasitas mailserver B hanya 100MB maka hancurlah Perusahaan XYZ, karena Mailbox nya dipenuhi oleh Sampah hasil balas dendam si A. Mengingat semua transaksi yang masuk hanya melalui email si B, maka email yang masuk akan segera mengalami BOUNCE (dikirim balik ke pengirim) karena mailbox sudah penuh (overload). Dalam beberapa bulan saja Perusahaan XYZ gulung tikar karena tidak ada transaksi sama sekali.

Yang dapat kita petik dari sepenggal kisah di atas yaitu kita jangan mudah tertipu oleh email yang menawarkan iming-iming uang, diskon belanja, hadiah mobil, dll yang pada dasarnya hanyalah usaha untuk melakukan Flooding ke Mailbox sesorang yang telah menjadi target.

Nb :

pemulis tidak bertanggung jawab terhadap penyalahgunaan artikel ini, awalnya penulis “kesal” akibat inbox message FRIENDSTER penulis selalu mendapat pesan dengan subject “FW: Forwardin pesan ini ke at least 20 temen kamu ato FS mu akan di delete!! ” , tapi penulis tidak menforward pesan ini, karena tidak mungkin FRIENDSTER melakukan hal tersebut, hanya orang Lugu yang akan menforward pesan bodoh ini. so, bagi temen2 yang mendapat pesan seperti ini, cuekin aja !!!!!!!!!!

Leave a Comment » | Tips & trik | Permalink
Posted by san4you

Waspadai ” W32.Trafox.A Worm Semi Virus buatan lokal: Sebuah Evolusi Malware Lokal”

May 10, 2007

Sebuah Evolusi Malware Lokal yang perlu diwaspadai, “W32.Trafox.A”, malware lokal ini tidak hanya menggandakan diri seperti kebanyakan worm lokal Indonesia, tetapi juga menginfeksi file-file eksekutable bertipe .EXE, sehingga lebih pantas disebut sebagai Worm semi virus,karena dia menggandakan diri dan juga mampu menjadi parasit dalam tubuh program lainnya.

Memang beberapa worm lokal lainnya ( sebelumnya ) juga ada yang melakukan modifikasi pada file/program lainnya, contohnya worm Grogotix, tapi kenapa worm grogotik tidak disebut sebagai Worm semi virus? padahal dia juga melakukan modifikasi pada file EXE lainnya. Tidak, Grogotix tidak memodifikasi file/program lainnya, seandainya iya pasti hanya berupa modifikasi yang tak berarti, Grogotix justru malah memodifikasi tubuhnya sendiri dan tentu saja hal ini tidak bisa dimasukkan dalam katagori infeksi, karena modifikasi tubuhnya sendiri itu maksudnya hanya menyimpan file/program lainnya kedalam tubuh worm yang tepatnya pada offset terakhir file-nya dan menjadi Overlays Data pada tubuh Grogotix sendiri, sehingga file/program asli tidak jalan dengan semestinya karena Grogotix butuh untuk mengekstraknya terlebih dahulu ke direktori tertentu ( dalam kasus ini direktori Temp ) dan menjalankan program tersebut dari situ, sehingga tidak semua program bisa jalan dengan sewajarnya, terutama program-program yang meletakkan runtime pada direktori instalasinya, sehingga tidak bisa disebut sebagai infeksi. hal ini berbeda dengan worm semi virus W32.Trafox.A yang saya dapatkan ini, karena virus ini benar-benar melakukan modifikasi pada program lainnya dan tidak hanya menumpuki atau meng-Append (menempelkan) file rawnya saja seperti Grogotix

Adapun yang dilakukan Trafox untuk menginfeksi file EXE adalah dengan cara membelokkan entrypoint program aslinya ke tubuh virus, hal ini bisa dilakukan dengan cara menempelkan tubuh virus ke program lain dengan membuat section baru pada section terakhir, section tersebut memiliki nama ‘.idata’ ( ini pada varian virus yang saya dapatkan, pada varian lainnya mungkin akan berubah/berbeda ) dan virus ini akan membelokkan entrypoint program aslinya ke entrypoint virus. Sebentar…, apa itu entrypoint? Entrypoint adalah alamat awal suatu program yang akan dibaca dan dieksekusi terlebih dahulu ketika program pertama kali dijalankan, jadi apabila misalnya program kita asumsikan Winamp.exe (program pemutar musik paling terkenal) apabila winamp.exe tersebut terinfeksi oleh virus ini dan Anda mencoba menjalankan winamp, maka winamp akan tetap berjalan seperti biasa tetapi.., ini ada tetapi berarti anda juga secara tidak langsung telah menjalankan virus-nya, mengapa? Karena kode virus akan terlebih dahulu dieksekusi oleh komputer sebelum kode asli program winamp dijalankan, adapun apa yang akan diperbuat oleh kode virus ini adalah dengan cara menjalankan rutin untuk mengekstrak file (berupa worm induk) pada direktori System dan menjalankan worm induk tersebut dari sana, setelah proses tersebut selesai, virus akan segera mengembalikan kendali ke program yang sebenarnya (winamp.exe) sehingga sangat sulit untuk mengidentifikasi keberadaan virus ini, hal ini berpengaruh juga pada proses pembersihan virus tersebut, proses pembersihan menjadi lebih sulit dibandingkan membersihkan worm lokal lainnya, mengapa? karena kita harus panda-pandai memisahkan antara program asli dengan virus, jadi tidak bisa langsung Seek And Delete, karena apabila asal delete file program aslinya pun akan ikut hilang beserta virusnya, dan jarang ada orang yang berkeinginan demikian.

Worm ini saya rasa cukup arogan, karena pada tubuh raw-nya, terdapat salah saru source :

<HTML>
<head>
</head>
<body bgcolor="red">
<center><h1>W32.TR4F0X.A</h1><br>
<br><font face="arial black" size="5">
- Say War To #VM Community (Jowoboot)<br>
- Kill all AV<br>
- Destroy all fuckin company.<br>
<br><br>
[ IVS * INDONESIAN VIRUS SOCIETY ]</font></center>
</body>

Anda tentunya sudah bisa menebak apa yang akan terjadi dengan pesan diatas, Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu “Say War To #VM Community (Jowoboot)“, mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat virus-virus baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro, dan saya yakin Anda pasti tidak mengharapkan yang demikian ini terjadi ~_~”.

Namun Anda tak perlu khawatir, karena untuk mengobati kompi Anda yng telah terinfeksi malware ini tidaklah begitu sulit,berikut adalah cara membersihkannya :

  • Matikan fasilitas system restore pada Windows versi 2K/XP keatas
  • Matikan proses dengan nama “Services_test.exe”, bisa menggunakan Windows Task Manager.
  • Jalankan remover “Ansav SE w32.trafox.A Cleaner” (Anda bisa cari di Mbah google

Insya’Allah kompi Anda akan terobati.

1 Comment | Teknologi Informasi | Permalink
Posted by san4you

no idea

April 23, 2007

hari ini q g’ ada ide,
cos energiku banyak terkuras oleh tugas2 ku.
tpi aku lega, akhirnya tugasku bisa selesai….

Leave a Comment » | Laen-laen | Permalink
Posted by san4you

Wes da cape’

April 21, 2007

sehariAN q cari bahaN, pi tetp ga dapet.
ya wis terpaksa q harus ngibulin dosenku….
ha,……………….10000000x

mending q pulang ja, nyusun concept.

Leave a Comment » | Laen-laen | Permalink
Posted by san4you

tugas elektrO bikin kepalAng

April 21, 2007

yups, akhir2 minggu aku disibukkan ama tuGAs elektrO yg menjengkelKan , bagaimana tidak ??? tugas kali iNi dipoles sang dosen agar aku N temen2ku g’ saliNg cOntek, sang doSen menyediakaN tuGas dg Judul Yg berbedA2 tiap indiVidu ???? upsss….. pusingnya Aku, tiap malaAm ku JadI penunGGu kampus, ya aku Ngenet carI bahan setiap malem. bahKan q jugA sering pulAng pag!.

kaLo boleh aku JujuR, ini meruPakan tugas terPusiNg yang aku alAmi selama aku di KampuS baruku. bahKAn aku juga sempat jengkel ama dOsenku, bahkan aku berpikir yg macem2, mungkiN saja sang dosen meLAmpiaskan dendamnya kpd mahasiswanya, kareNa mungkin saNg dosen juGa sering dI oprak-aprik ama dosennya SendirI sewakTu kuliAh dulu…..

tapi aku cuMa berharAp, denGAn tugas ini aKu semakin bertambah wawasan dAN pengetAhuan ….
terima Kasih dosenkU “Mr.Da*S**o”….
good bless with u ………

2 Comments | Laen-laen | Permalink
Posted by san4you

Ngakalin “billing explorer” saat ngenet

April 20, 2007

Sering kita ke warnet yang banyak mengunci berbagai akses seperti windows explorer tidak bisa dibuka,
klik kanan di desktop tidak bisa, klik kanan di folderpun tidak bisa…betapa sedihnyakan…
apalagi bagi saya yang telah terbiasa dengan shortcut windows xp, misalnya membuka windows explorer:
Win +E, membuka run: Win +R, mencari file di dalam harddisk Win +F, yang mana tombol Win terletak antara
tombol Ctrl dan tombol alt. ingin tahu caranya…nih silakan coba…
Sebenarnya cara ini telah lama saya coba dan ternyata berhasil (praktek di komputer sendiri dan beberapa warnet yang menggunakan billing explorer) Mohon maaf kepada pembuat Billing Explorer…untuk tidak berpanjang lebar langsung aja ya…

  • Pertama Buka GPEdit.msc dulu

caranya:
C:\Windows\System32\GPEdit.msc <– double Click

<!– Mulai –>
//GPEdit.msc

1. Jika Klik Kanan di Desktop tidak bisa
Masuk Ke GPEdit.msc
Masuk ke [User Configuration/Administrative Templates/Desktop]
- Disable (Hide and disable all items on the desktop)

Jika MyComputer tidak ada
- Disable (Remove My Computer icon on the Desktop)

2. Jika Ingin mengubah properties pada taskbar start menu
masuk ke [User Configuration/Administrative Templates/Start Menu and Taskbar]
- Disable (Prevent changes to Taskbar and Start Menu Settings)

Jika Menu Run tidak muncul
- Disable (Remove Run menu from Start Menu)

Jika menu pada taskbar saat klik kanan tidak muncul
- Disable (Remove access to the context menus for the taskbar)
3. Apabila Control Panel tidak bisa di akses
Masuk ke [User Configuration/Administrative Templates/Control Panel]
- Disable (Prohibit access to the Control Panel)

4. Jika Command Prompt tidak bisa di akses
Masuk ke [User Configuration/Administrative Templates/System]
- Disable (Prevent access to the command prompt)

Jika Registry Editor tidak bisa di akses
- Disable (Prevent access to registry editing tools)

5. Jika Task Manager tidak bisa di akses
Masuk ke [User Configuration/Administrative Templates/System/Ctrl+Alt+Del Options]
- Disable (Remove Task Manager)

6. Jika Folder Options pada Windows Explorer tidak muncul
Masuk ke [User Configuration/Administrative Templates/Windows Component/Windows Explorer]
- Disable (Remove these Folder Options menu item from the Tools menu)

Jika Windows Key tidak berfungsi
- Disable (Turn off Windows+X hotkeys)

// GPEdit.msc
<!–Akhir–>

  • Setelah GPEdit.msc terbuka baru buka Registry Tools

caranya:
C:\Windows\System32\regedit.exe <– double Click
— atau —
C:\Windows\regedit.exe <– double Click

<!–start–>
// Regedit
Regedit4

[HKEY_LOCAL_MACHINE\Software\ResearchMachines\NOATTRIB.VXD]
“loadvxd”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoDrives”=dword:00000000
“LinkResolveIgnoreLinkInfo”=dword:00000000
“NoFolderOptions”=dword:00000000
“ClearRecentDocsOnExit”=dword:00000000
“NoTrayContextMenu”=dword:00000000
“EnforceShellExtensionSecurity”=dword:00000000
“NoPrinterTabs”=dword:00000000
“NoDeletePrinter”=dword:00000000
“NoAddPrinter”=dword:00000000
“NoRun”=dword:00000000
“NoSetFolders”=dword:00000000
“NoSetTaskbar”=dword:00000000
“NoClose”=dword:00000000
“NoViewContextMenu”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
“NoDispScrSavPage”=dword:00000000
“NoDispAppearancePage”=dword:00000000
“NoDispSettingsPage”=dword:00000000
“NoAdminPage”=dword:00000000
“NoProfilePage”=dword:00000000
“NoDevMgrPage”=dword:00000000
“NoConfigPage”=dword:0000000
“NoFileSysPage”=dword:00000000
“NoDispCPL”=dword:00000000
“NoDispBackgroundPage”=dword:00000000
“NoVirtMemPage”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
“NoFileSharingControl”=dword:00000000
“NoPrintSharingControl”=dword:00000000
“NoNetSetup”=dword:00000000
“NoNetSetupIDPage”=dword:00000000
“NoNetSetupSecurityPage”=dword:00000000
“NoEntireNetwork”=dword:00000000
“NoWorkgroupContents”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
“NoRealMode”=dword:00000000
“Disable”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
“NoHTMLWallPaper”=dword:00000000
“NoChangingWallPaper”=dword:00000000
“NoCloseDragDropBands”=dword:00000000
“NoMovingBands”=dword:00000000
“NoAddingComponents”=dword:00000000
“NoDeletingComponents”=dword:00000000
“NoEditingComponents”=dword:00000000
“NoClosingComponents”=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoFolderOptions”=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableCMD”=dword:00000000
“DisableRegistryTools”=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Advanced]
“Hidden”=dword:00000000
“HideFileExt”=dword:00000000
“ShowSuperHidden”=dword:00000000

//Regedit

<!–Akhir–>

==> Setelah regedit.exe terbuka baru ubah password administrator <– (Ini yang di tunggu2x)
caranya:
C:\Windows\System32\compmgmt.msc <– double Click

<!–start–>
//Administrator
Pilih: – Computer Management (Local)/System Tools/Local Users and Groups/User

- Klik kanan Administrator -> Set Password

- Ketik New Password: **********
Confirm Password: **********

Selesai ouy.

<!–Selesai–>

NB : mohon maap atas keawaman saya

Leave a Comment » | Internet | Permalink
Posted by san4you

internet “nyendat”, mematikan kreatifitas

April 19, 2007

Memang Internet memiliki dua sisi yang berbeda, tergantung siapa yang menggunakannya. kembali ke hati nurani masing-masing. adakalanya sang Administrator membatasi service-service internet untuk meminimalisir dampak negatif yang akan timbul. fasilitas chatting di block, download file type .exe, .zip, dll tdk diijinkan, browsing ke salah satu atau mungkin beberapa page ditolak, ya… itulah beberapa tindakan Admin di KAMPUS saya. apakah Anda juga pernah mengalami hal tersebut ????

” A*j*i*g ” …… itulah kata yang tepat untuk sang administrator bego yang egois. Tapi bagi anda yang kreatif hal tersebut bukan menjadi kendala dalam menjelajah dunia maya dalam aliran bit-bit yang penuh nada. Maka dari itu janganlah sampai Anda menyerah dengan perbuatan bego si Admin, karena hal itu akan mematikan kreatifitas Anda.

kembangkan terus kreatifitas Anda !!!!!!!!!!!!!!!!!

1 Comment | Internet | Permalink
Posted by san4you