Arsip

Archive for the ‘Virus / MalSpyware’ Category

Mengatasi Virus / Worm YM, wmpvk1.exe

Juli 6, 2010 4 komentar

Jika YM anda ada keanehan, ada keganjalan, ada error, mengirim pesan sendiri, mouse & keyboard ga bisa digunakan, hehe dipastikan komputer anda terkena worm yang sekarang ini lagi marak menyebar keseluruh pengguna IM ( YM,GT,Skype,dll ). Virus ini banyak memakan korban penggunan IM yang teledor akan pesan yang mereka terima, karena worm akan mengirimkan sebuah link download yang membikin penasaran untuk diklik, karena dipengguna merasa penasaran pesan apakah itu ?? akhirnya mereka klik … dan tidak bisa dielakkan, komputernya dalam hitungan detik telah terinfeksi worm YM tsb.

Beberapa effek worm YM :

  1. Aplikasi chat seperti YM, GT, Skype akan mengirimkan pesan link virus/worm ke semua teman yang ada pada daftar ID teman
  2. Worm akan mengambil alih komputer anda saat proses penyebaran dirinya lewat YM,GT,Skype. akibatnya keyboard dan mouse hang tidak bisa digerakkan :D hehe kueren
  3. Internet menjadi sangat lambat sekali ( lueemooott ) … karena worm akan mengupdate dirinya ke beberapa domain. melalui service http, microsoft DS, port UDP, dll. Dan jg mengubah host file windows
  4. Jaringan sudah pasti akan menjadi lambat, untuk sharing folder dan printer
  5. Huuwaaaa…. worm ini cepat sekali menyebar ;-(

Ciri – ciri komputer yang terkena wormYM :

  1. YM,GT,Skype terkadang gerak2 sendiri dan mengirimkan pesan worm
  2. Internet & Jaringan lambat
  3. System file ke hidden, dan tidak bisa di show hidden, ( folder option )
  4. Worm mengcreat file acak ” tempxxx” di document&setting/user/local data/temp dan di windows/system32/temp
  5. Juga meng-create file induk worm, di windows/system32 terhidden system file dg nama acak ” wmpvk1/2/3/…exe “
  6. Meng-create lagi-lagi meng-create file, … di C:/recycle/nomer2 acak/games.exe dan explorer.exe dan ini masuk diregistry untuk dijalankan pertama kali saat login windows, HKCU & HKLM/softwre/microsft/windws/current/run
  7. create registry HKLM/../../../run conime.exe ( ini bukan virus, tp service windows console image, yang digunakan worm unutk menjalankan dirinya )
  8. Membuat jalan pintas ke internet untuk mengupdate dirinya melalui firewall, dg nama LAN Router, dan dengan mengaktifkan file induk virus “….” di windows/system32

Trus bagaimana cara mengatasinya ??? hehe … alhamdulilah dengan ketekunan dan ketelitian, akhirnya bisa juga wormYM ini dihilangkan :D sip sip. Berikut step by step menghapus wormYM :

  1. Putuskan koneksi komputer dari jaringan atau disable dulu LAN/WAN-nya
  2. Jalankan antivirus SMADAV 8.1, untuk yang belum ada, silahkan download di sini !
  3. Klik SCAN setelah selesei klik FIX ALL, lakukan beberapa kali, … ini untuk mengembalikan registry yg dirubah worm tentang safemode windows, karena worm memblokir safemode.
  4. Kemudian langsung restart windows dan masuk ke safemode, … caranya sebelum windows proses loading, tekan F8, kemudian pilih safemode dan enter.
  5. Skrang sudah masuk safemode. buka explorer, masuk folder option, rubah ke show hidden system file, semuanya di show :)
  6. Nah, … saatnya kita petan-memetan, haha, metani satu-satu file2 wormnya
  7. Masuk ke C:/windows/system32 … cari file induknya dg nama ” wmpvk1.exe ” dan DELETE
  8. Lalu masuk ke C:/document n setting/”user”/local setting/temp … DELETE semua yang ada disitu :) jgn kuatir tempory adalah file2 sampah, jadi hapus saja jng pandang bulu hehe :D
  9. Oh iyach lupa hehe, ada file worm yg di run pertama kali saat windows nyala, … DELETE jg C:/recycle/xxxx(acak), di dalamnya terdapat fle worm, games.exe dan explorer,exe dan lebih baek delete semuanya
  10. Nah untuk menghapus registry yg dibuat worm, gunakan aplikasi monitoring registry, saya menggunakan autoruns, anda bisa download disini !
  11. Jalankan autoruns, dan delete registry run yaitu : conime.exe, games.exe, explorer.exe. masuk jg di tab winlogon, kemudian hapus registry games.exe/explorer.exe
  12. Untuk memastikan registry kembali normal, SCAN lagi dg Smadav. dan jika ada error, klik FIXAll … setelah semuanya selesai, silahkan restart komputer
  13. Sebelum konek jaringan, masuk setting firewall terlebih dahulu, control panel – windows firewall – TAB exception, dan hapus LAN router dari daftar.
  14. Setelah itu enable-kan kembali LAN/WAN, atau koneksikan kembali komputer ke jaringan
  15. Alhamdulillah, komputer telah bebas dari wormYM yg bikin sebel hehehe :D

Demikian informasi yang bisa saya share ke rekan2 sekalian, ini adalah pengalaman nyata, kisah nyata yang dituangkan kedalam sebuah tulisan blog, semoga bermanfaat, terima kasih

Salam, Andry Li

Worm/Virus/Spy/Malware yang bikin Gak Bisa Browsing !!!

Juni 6, 2009 4 komentar

Alhamdulillah … akhirnya sudah ku temukan cara / alat untuk menghapus worm/virus tsb dari komputerq 🙂 🙂

Lusa kemaren tepatnya pada hari kamis, 4 Juni 2009, salah satu komputer di kantor mengalami gejala-gejala aneh. Gejalanya sebagai berikut :

  • Komputer tidak bisa digunakan untuk browsing / internet, sebab port http di blok oleh si virus/worm
  • Muncul Task Process aneh ” unwise_.exe ” dipastikan ini adalah file virus/worm yg aktif, dan ketika mau di delete/end prosess, secara otomatis unwise_.exe aktif kembali. hehehe ini yang bikin pusing, file virus ga mau dimatikan.
  • Jika komputer terhubung ke sebuah router, komputer tsb akan nampak mencoba melakukan koneksi ke internet dg melalui beberapa port. Saya masih ga tau apa tujuannya, apakah untuk memperlambat jaringan, atau mau meng-update file virus/wormnya.
  • Selain memblokir http, virus juga memblok POP3 dan smtp, akibatnya komputer tidak bisa digunakan untuk email2an

Hmm … langsung saja saya googling mencari2 informasi, dan akhirnya saya temukan sebuah blog yang mengalami juga seperti apa yang saya alami.

Malwarebytes namanya, sebuah software free yang cukup membantu saya untuk membersihkan system komputer dari worm/virus2. Langkahnya adalah, download – install – scanning, setelah proses scan akan muncul daftar2 virus/worm yg kedeteck kemudian tinggal delete – restart komputer – dan akhirnya komputer menjadi normal dan dapat digunakan untuk browsing/internet.

software malwarebytes deleter virus/worm dapat didownload di sini

Tips Virus W32/virut, W32.Virut, W32/sality, W32/Alman

Maret 14, 2009 4 komentar

Berbagai macam virus yang menginjeksi file aplication ( .exe ) yang saya tahu dan pernah menjadi korban virus tsb, diantaranya w32/virut atau w32.virut, w32.sality, w32/alman. Ke-3 virus tersebut pernah menginfeksi semua file aplikasi ( .exe ) tidak peduli itu file system windows atau file program lain, sehingga kapasitas file .exe yang telah terinfeksi menjadi bertambah karena diinjeksi oleh si virus. Mungkin efek virus tsb tidak seberapa mengganggu sih, karna proses kinerja komputer juga masih normal dan masih dapat digunakan dg lancar. Namun entah apa maksud si pembuat virus menginjeksi file2 aplikasi (.exe), pasti tidak mungkin tidak ada tujuan tertentu membuat demikian, hehe tapi apa tujuannya juga saya pribadi tidak tau.

Dalam perkembangannya menurut “vaksin.com” virus sality.AE telah dapat menginjeksi komputer melewati jaringan/workstation, serta mampu mengubah settingan2 default windows menjadi kacau dan membuat rentan komputer tsb untuk terserang virus2 selainnya, sebab dapat mematikan antivirus dan memblok situs antivirus jika akan melakukan update ke internet.

Memang tidak semua antivirus atau cleaner/deteler dapat membersihkan / meng-clean file .exe yg terinjeksi, kebanyakan malah men-delete. Hmm … namun ketika saya menggunakan antivirus Symantec file .exe yg terinjeksi dapat dibersihkan / di-clean keseluruhan. Dan akhirnya system komputer kembali normal.

Proses pembersihan virus tsb :

  1. Lepas Hard Disk (HDD) , kemudian pasang HDD tsb ke komputer normal dan terinstall antivirus symantec terupdate.
  2. Lakukan full scan pada HDD tsb, kalo banyak data kemungkinan sangat lama menscannya, jadi sabar aja … hehe
  3. Setelah selesei pasang kembali HDD ke komputer semula, dan nyalakan
  4. Untuk menghindari terinfeksi virus serupa, install antivirus yg dapat mengenali virus tsb, misal symantec dan langsung lakukan update database terbaru.
  5. Untuk yang terlanjur menggunakan antivirus lain dan file .exe tersebut beberapa dihapus, apalagi itu file system windows, maka dijamin windows tidak dapat loading dan menjadi cacat. Maka disarankan untuk me-repair Os Windowsnya.

trims all, semoga bermanfaat.

wass …

Mengatasi Virus Conficker / Downadup, ( ga 100% sih )

Februari 20, 2009 1 komentar

Hmm … Onok ae kerjoan … enak2 nyantei, 😀

ini saya alami hampir 2 minggu di kantor saya, hampir semua komputer terinfeksi virus “conficker” begitu mereka menyebutnya, ( terserah jenenge opo ? seng jenenge virus iku mayak kabeh ) … begini ceritanya

Banyak diberitakan mengenai keganasan dan kebrutalan virus conficker ini, telah banyak jatuh korban atasnya semua komputer yang terkoneksi internet dan jaringan. Tidak luput juga workstation milik instansi2 seperti diberitakan di kompas.com. Karna memang proses penyebarannya sangat cepat melalui jaringan, virus tersebut memanfaatkan celah keamanan windows ( service RPC DCom ) yang belum di patch MS08-067 sehingga virus akan menginfeksi komputer kamu. AV symantec mengenali sebagai virus “Downadup.B” AV Norman sebagai “Conficker”, serta banyak nama selainnya. Di vaksin.com sudah di bahas cara mengatasi virus conficker ini, namun masih ada beberapa setingan windows yang tidak dapat dikembalikan meskipun virus tsb sudah tidak aktif di komputer. Sudah ada beberapa removal virus ini, kebetulan aq sudah coba dari symantec, dan menurut q sih mending pake removal dari symantec karena lebih simple dan praktis, namun masih tetep gak bisa 100 % clean. Virus ini memang tidak begitu menggangu jika komputer cuman dipake ngetik/game,dll. tapi kalau online internet koneksi akan menjadi lambat, karna virus mengakses ke beberapa domain untuk mengupdate dirinya, serta tidak dapat mengakses situs-situs security dan AV, misal http://www.symantec.com, http://www.grisoft.com, dll, sebab virus memblokir akses ke sana.

Berikut cara yang saya gunakan untuk membersihkan virus Conficker :

  1. Bila komputer anda terhubung jaringan, putuskan terlebih dahulu dengan mencabut kabel jaringannya atau men-disable LAN.
  2. Download removal virus conficker / downadup di sini/fix.downadup ( saya menyarankan removal dari symantec, luwih praktis karo cepet )
  3. Kemudian scan komputer dengan menjalankan removal tsb, tunggu hingga selesai, boleh disambi ngopi atau ngemil, terserah, hehe
  4. Jika ada error pada proses scaner, lebih baik ulangi proses scan pada saat safe mode windows, restart komputer, klik F8 sebelum booting, pilih safe mode.
  5. Ok, setelah selesai scan, coba restart kembali komputer anda
  6. Lakukan patch security windows anda dengan patch MS08-067
  7. Instalasi Antivirus yang ok punya, dan lakukan update. Agar virus tidak kembali menyerang komputer anda.
  8. Hmm … meskipun conficker sudah tidak aktif dan windows kembali berjalan dengan normal, masih ada beberapa tambahan setingan windows yang tidak dapat dihapus seperti pada service dan registry, lebih lengkapnya silahkan baca artikel cara menghapus conficker dari microsoft ini.

Nah sekian dari saya, saran saya, jangan pernah membuka website yang berbau pornografi dan cracker/keygen, karna situs tersebut rentan dan banyak sekali berkeliaran virus/malware/spyware.

maaf bila ada salah kata / penulisan. trims …