Jika dibandingkan, kedua virus ini memiliki kelakuan yang sama dengan sedikit variasi. Maka tak salah lagi kalau ini virus yang sama dengan varian yang berbeda.
Spesifikasi:
Laptop ACER ASPIRE 5315, Windows XP SP2, Antivirus AVG terinstall namun tidak aktif. Filenya error. Ada juga Folder Kaspersky namun tidak aktif.
Gejala:
- sebelum login muncul warning
maaf jika kebahagiaan yang aku minta adalah teman sepanjang hidupku...meskipun kebersamaan kita hanya sebentar tapi bagiku sangat berarti...Mencintaimu adalah al terindah dalam hidupku Memimpikanmu adalah sesuatu yang sangat membahagiakanku Merindukanmu tak pernah membosankan Namun aku sadar, sangat menyadari bahwa keberadaanku bukanlah disisimu tapi hanya lamunan dalam sesal Untuk memilikimu adalah hal yang paling tak mungkin Ada sebuah dinding pemisah terbentang luas membatas untuk kekasih yang tak pernah kumiliki I'm sorry good by
good by... haha! duduk depan kompie bikin virus, bahasa Inggris parah, ga heran lah engkau tak laku.
- Task Manager, Folder Option, Regedit semua disabled.
- Colok portable drive, muncul file: "Master Baru.exe"
file ini menggunakan icon folder di Windows Vista. Karena laptop ini menggunakan Windows XP, jadi file ini terlihat beda sendiri.
Walaupun terlihat cupu dan n00b, file ini tidak terdeteksi oleh AVG.
Solusi:
Kurang lebih mirip dengan postingan saya sebelumnya di sini.
- Buka CurrProcess.
Ada 4 file virus terdeteksi. Ciri-cirinya:
> file .exe dengan icon berbentuk folder (untuk penyamaran)
> Product Name: Project1 (nama default ketika membuat program dengan Visual Basic dll)
Catat dulu masing-masing lokasi file tersebut lalu kill keempat proses tersebut.
C:\Windows\system32\drivers\csrss.exe
C:\Windows\system32\Duhur.exe
C:\Windows\system32\Magrib.exe
C:\Windows\system32\Subuh.exe
- Jalankan unhook.inf
untuk membuka registry.
Cara membuat file ada di sini. Maaf, untuk sementara saya belum menyiapkan link untuk download.
- Periksa registry berikut ini:
(HKey_Local_Machine) HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon
pada jendela sebelah kanan, cari: LegalNoticeText
double click, lalu hapus isi pesannya.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
di kanan, cari lalu hapus:
Optimize Windows --- Magrib.exe
System32 --- csrss.exe
W32.formalin.Beta --- Subuh.exe
(HKey_Current_User) HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
untuk membuka folder options.
di kanan, cari: NoFolderOptions
double click, lalu ganti nilainya menjadi 0 (nol)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
untuk mengaktifkan Task Manager.
di kanan, cari: DisableTaskMgr
double click, lalu ganti nilainya menjadi 0 (nol)
- Hapus File Virus.
- buka folder options, pilih "show all hidden files"
- hilangkan contreng pada "hide file extension..." dan "hide system files..."
Hapus file sesuai dengan alamat yang sudah dicatat di atas.
C:\Windows\system32\drivers\csrss.exe
C:\Windows\system32\Duhur.exe
C:\Windows\system32\Magrib.exe
C:\Windows\system32\Subuh.exe
dan juga hapus:
X:\Master Baru.exe
X = semua drive penyimpanan data, termasuk flash disk. CD/DVD drive tidak termasuk.
- Selesai
Restart komputer anda. Jika masih ada masalah, kemungkinan besar ada virus lain yang belum ditangani.
More info
Saya coba mengirim file "Master Baru.exe" ke http://virusscan.jotti.org/
hasilnya adalah sebagai berikut:
| A-Squared | Found BehavesLike!IK |
| AntiVir | Found nothing |
| ArcaVir | Found nothing |
| Avast | Found nothing |
| AVG Antivirus | Found nothing |
| BitDefender | Found BehavesLike:Win32.Malware (probable variant) |
| ClamAV | Found nothing |
| CPsecure | Found nothing |
| Dr.Web | Found nothing |
| F-Prot Antivirus | Found nothing |
| F-Secure Anti-Virus | Found nothing |
| Ikarus | Found BehavesLike |
| Kaspersky Anti-Virus | Found nothing |
| NOD32 | Found probably a variant of Win32/VB.NPV (probable variant) |
| Norman Virus Control | Found nothing |
| Panda Antivirus | Found nothing |
| Quick Heal | Found nothing |
| Sophos Antivirus | Found nothing |
| VirusBuster | Found nothing |
| VBA32 | Found nothing |
No comments:
Post a Comment