Saturday, 13 August 2011

Mengatasi Virus win32.Ramnit.J ala chef Prazz

Ciri-ciri terkena virus ramnit yang paling utama adalah:

1. File WATERMARK.EXE yang menjengkelkan ini ternyata ada di dua tempat yaitu :
- C:\Program Files\Microsoft
- C:\Program Files\Common Files\Microsoft
Dan virus ini akan menyebar menjadi namaacakMGR.exe

2. Virus ini menyerang flashdisk sangat mudah . dia menyiapkan 4 buat dshortcut 1 buah file recycler dan autorun.inf

3. Setiap drive jika terkena virus ini akan terkena pula autorun.inf

Cara kerja virus RAMNIT ini:

1. Virus ini menular melalui FD. Dan walaupun autorun sudah kita matikan. Kita bias saja terkena virus ini

2. Saat kita masuk ke desktop PC atau Laptop kita tanpa kita sadari itu adalah manipulasi dari virus ramnit sendiri. Semua system adalah manipulasi dari ramnit. Biangkeroknya adalah watermark.exe

3. Jika diinstal ulang maka virus ini akan muncul lagi apapun alasannya karena virus ini tidak mempunyai file anak. Jadi semua induk. Cara kerjanya:
- Virus dari fd langsung membuat folder bernama C:\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft
- Dan dia membuat backupan file didalam Folder System Volume Information dan Recycle setiap Harddrive.
- Setelah itu dia menginfeksi semua data dikomputer. Tidak tanggung-tanggung juga. Biar dihapus sama usernya . misalkan di sudah menginfeksi fileku yang ada di D:\aaa\aaa.exe (hanya contoh). Dan folder aaa pun saya hapus
- Lalu kita berpikir jika restart ulang itu bias berhasil. Dan akhirnya memang berhasil. Tetapi jika kita menginstal software aaa.exe td di D:\aaa\ maka virus hasil backupan yang ada di System Volume Information dan Recycle setiap Harddrive akan terbangun dari tidurnya dan kembali menginfeksi virus itu dan dia membuat file watermark lagi didalam :\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft
CARA 1
Langkah langkah mengatasi virus ini ( tidak mengheal, tapi menanggulangi kerja nih virus )

1. Pastikan udah install software unlocker assisten..
2. Pastikan udah di matiin system restore nya..
3. Bagi yang sudah terinfeksi parah, silahkan hapus file satu persatu dari nomer 1. di beberapa bagian berikut :
Quote:
1. C:\Program Files\Microsoft\Watermark.exe
2. C:\Program Files\Common Files\Microsoft\Watermark.exe
3. C:\Documents and Settings\%UsernamePC%\Microsoft\Watermark.exe
4. c:\documents and settings\%UsernamePC%\application data\Microsoft\Watermark.exe
5. C:\WINDOWS\system32\Microsoft\Watermark.exe
6. C:\WINDOWS\Microsoft\Watermark.exe
7. c:\windows\temp\microsoft\Watermark.exe

Hapus nanti ada notif tidak bisa dihapus, nah fungsi unlocker asisten ini untuk mengkill process dengan paksa.. pilih delete dan kill process..
4. Bagi yang sudah terdeteksi letak file dimana watermark berada, silahkan buat file bernama Microsoft (without extention format) di ke 7 bagian tersebut. Agar si virus tidak bisa menduplicatkan watermark nya di beberapa tujuan tersebut. hapus file dmlconf.dat dan buat juga file dmlconf.dat di C:\WINDOWS\system32. semua file di bikin read only saja.
5. Scan registry menggunakan smadav dan repair all
6. Scan file dengan PCMAV atau anvir yang sudah mendeteksi virus ramnit ini
7. Selesai, ingat ini bukan mengheal, tapi cuma menutup eksekusi dari watermark nya

CARA2
cara mudah nya ya di search di drive c dan gunakan penghapus file bandel.. nama software nya fileassasin silakan download disini http://www.malwarebytes.org/fileassassin.php

1. set folder option -> view - >

- show hidden for known file types (centang bagian ini)
- hidden extension for hidden files & folder (hilangkan centang bila ada pertanyaan klik yes/ok)
- hide protected hidden files (hilangkan centang bila ada pertanyaan klik yes/ok)


2. windows + f (search) tentukan drive yang akan dicari file watermark nya,
pada bagian advance centang hidden files & folder. masukan kata pencari nya "watermark" (tanpa tanda kutip). search dan whalaaa .. file watermark ditemukan

3. jalankan fileassasin centang opsi delete file. arahkan ke lokasi dimana file watermark ditemukan .. execute!!! crot!! file watermark dihapus paksa ^_^

4. pada folder dimana file virus tersebut berada buat aplikasi (dengan asumsi pilihan pada folder option masih seperti yg saya perintahkan ) dengan klik kanan new -> text document -> rename jadi watermark.exe nah ukuran file nya otomatis "0kb" karena masih aplikasi kosong .. jika berubah maka file tersebut jadi virus kembali... oh iya juga buat klik kanan -> new -> text document -> rename jadi microsoft (tanpa akhiran extensi apapun / file tak terbaca).

5. file induk ramnit sudah kena. dan sisanya diteruskan oleh antivirus anda hehehe file bandel sudah hilang
CARA 3

Langkah detil dalam pembersihan RAMNIT:
1. Backup data file HTML ke media eksternal.
2. Bersihkan file HTML dari kode virus RAMNIT dengan VBS dropper malware remover tools (pembuat: Jing Ge, googling juga pasti dapat!).
3. Jalankan Process Explorer (bisa diambil dari Hirens Boot CD), klik suspend all svchost.exe (di dalam proses explorer.exe, bukan di dalam services.exe) lalu terminate process tree
4. Matikan System Restore Selama proses pembersihan.
5. Hapus folder recycler, recycled dan "system volume information" folders, dengan cara:
(misal root directory adalah C:, dan akan dilakukan pembersihan pada D:)
-run cmd.exe,
c:\>rd /s /q "c:\recylcer" [enter]
c:\>cacls "c:\system volume information" /t /e /c /g everyone:F [enter]
c:\>rd /s /q "c:\system volume information" [enter]
d:\>rd /s /q "recycled" [enter]

6. Buatlah file RamNit_removal.bat dan RAMNit_removal.reg, letakkan dalam folder yang sama. Caranya:
-run notepad, copy perintah berikut dan simpan dengan nama RamNit_removal.bat
@echo off
REM "This is for erase Main worm files"
del /f /s /q /a "%ProgramFiles%\Microsoft\WaterMark.exe">Delete_Log.txt
del /f /s /q /a "%ProgramFiles%\Microsoft\DesktopLayer.exe">>Delete_Log.txt
del /f /s /q /a "%systemroot%\System32\dmlconf.dat">>Delete_Log.txt

REM "This is for erase another tricky worm files, if it exist"
del /f /s /q /a "%Systemroot%\dmlconf.dat">>Delete_Log.txt
del /f /s /q /a "%Systemroot%\lssas.exe">>Delete_Log.txt
del /f /s /q /a "%systemroot%\ExplorerSrv.exe">>Delete_Log.txt
del /f /s /q /a "%systemroot%\System32\rundll32Srv.exe">>Delete_Log.txt
del /f /s /q /a "%ProgramFiles%\synaptics\syntp\SynTPEnhSrv.exe">>Delete_Log.txt
del /f /s /q /a "%UserProfile%\Local-Settings\Application Data\\.exe">>Delete_Log.txt

REM "This is for prevent infections of Ramnit worm"
mkdir "%ProgramFiles%\Microsoft\WaterMark.exe"
attrib +r +s -h -a "%ProgramFiles%\Microsoft\WaterMark.exe" /s /d
mkdir "%ProgramFiles%\Microsoft\DesktopLayer.exe"
attrib +r +s -h -a "%ProgramFiles%\Microsoft\DesktopLayer.exe" /s /d
mkdir "%systemroot%\System32\dmlconf.dat"
attrib +r +s -h -a "%systemroot%\System32\dmlconf.dat" /s /d
REM "This is for clean hijacked registry settings"
reg import RAMNit_removal.reg
exit


-run notepad, copy perintah berikut, simpan dengan nama RAMNit_removal.reg

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="c:\\windows\\system32\\userinit.exe"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\inffile\shell\open\command]
@=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

7. Jalankan RamNit_removal.bat, lakukan perbaikan registry lainnya dengan ccleaner (googling pasti dapat!).
8. Reboot dan masuk ke safe mode, lalu lakukan scan dengan AntiVirus andalan Anda untuk membersihkan file-file aplikasi yang terinfeksi (Antivirus yang mengenal virus Ramnit di antaranya avast antivirus, avira rescue CD, clamwin, ESET)

9. Reboot, masuk Windows normal.

10. Gunakan Antivirus yang dapat melindungi dari serangan melalui jaringan.
11. Selesai.
Perlu diketahui bahwa sebagian besar virus akan mengalami penambahan varian, demikian juga dengan Ramnit. Tentunya diperlukan penyesuaian dalam langkah-langkah pembersihan jika varian Ramnit yang menyerang komputer dari jenis yang berbeda.
Secara garis besar, langkah-langkah yang kami tempuh adalah:
1. Backup data file HTML ke media eksternal.
2. Bersihkan file HTML dari kode virus RAMNIT.
3. Pasang AntiVirus terpercaya (updated), scan semua file di harddisk internal
4. Salin file HTML yg bersih ke harddisk internal

0 comments:

Post a Comment