Aplikasi untuk hapus virus Sality & Ramnit(Shortcut/Recycle)

Minggu, 06 Mei 2012

Ramnit yaa???. Sebelumnya saya ingin minta maaf karena jarangnya meng-update blog ini, bukan karena malas tapi karena belum sempat, dan saat tulisan ini dibuat, sebetulnya saya sedang sedikit “bad mood” untuk posting karena banyaknya kesibukan tapi karena tugas sekolah udah selesai posting dah (agak terlambat juga, karena serangan virus ramnit ini kalau tidak salah sudah ada sekitar awal Januari 2011) , daripada bolak-balik menceritakan apa atau bagaimana atau cara hapusnya … ada baiknya diposting saja. Let’s begin the class….
Ok, kenali dulu ciri-ciri komputer yang terjangkit virus ramnit ini, diantaranya :
  • Muncul file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” dan folder RECYCLER di  Flashdisk
  • Komputer  menunjukkan informasi “Virtual Memory Minimum Too Low” sementara komputer tidak menjalankan banyak aplikasi
  • Pada beberapa komputer Icon Removable media (USB Flash) berubah menjadi icon Folder
  • Pada beberapa komputer User tidak dapat m engakses USB Flash  dengan menampilkan pesan ”Access is denied”
  • Virus ini  menginjeksi file yang mempunyai ekstensi EXE, dll dan HTM/HTML
  • komputer menjadi lambat pastinya…
Keunikan Ramnit ini antara lain adalah jika komputer diinstal ulang maka virus ini akan muncul lagi karena semua hasil infeksi dari virus ini merupakan induk virus.  Virus Ramnit setelah berhasil menginfeksi flashdisk, dalam penularannya  akan langsung membuat folder bernama C:\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft  dikomputer korbannya, lalu membuat backup file didalam Folder System Volume Information dan Recycle pada setiap Harddrive, menginfeksi  data berekstensi EXE, dll dan HTM/HTML sehingga jika kita menginstal ulang komputer maka backup virus yang ada di System Volume Information dan Recycle setiap Harddrive akan kembali menginfeksi dan membuat file watermark.exe didalam :\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft… Setelah W32/Ramnit berhasil menginfeksi komputer ia juga akan mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon] kemudian memanggil file induk lainnya yang ditugaskan untuk aktif di memori, memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe].. Wow, kita harus mengakui ini adalah tehnik yang smart dalam menjaga kelangsungan hidup sang virus.  TOP deh… salut.. salut.. saat ini sudah banyak antivirus yang berhasil mendeteksi keberadaannya tapi terkadang belum bisa melakukan pembersihan secara maksimal, karena menyerang file EXE, DLL dan HTM/HTML maka metode pembersihan terbaik adalah melalui mode DOS.
Ada beberapa pengalaman berbeda dalam penghapusan virus ini, “berbeda” karena saat ini telah banyak muncul variannya seperti :  Ramnit.A.dropper, Ramnit.B.dropper,   Ramnit.C.dropper dan seterusnya hingga Ramnit.Y.dropper (mungkin akan terus berkembang)
Ok, diantara cara penghapusan yang pernah dilakukan :
- Dengan cara menghapus Watermark.exe :
  1. Matikan system restore, putuskan sementara koneksi internet
  2. Buka Task Manager (Ctrl+Alt+Del)
  3. Pada Tab Process cari svchost.exe yang usernamenya bukan LOCAL SERVICE, SYSTEM atau NETWORK SERVICE. melainkan nama komputer (biasanya terdapat 2 process, klik End Process.
  4. Buka START pilih RUN (Win+R) ketik cmd tekan enter
  5. Ketik: CD..  tekan enter, ketik lagi CD.. enter lagi hingga pada Command Prompt hanya terlihat “C:/” saja.
  6. Ketik: cd program files/microsoft tekan enter
  7. Ketik: del WaterMark.exe /a /s tekan enter
  8. Ketik: md watermark.exe tekan enter.
  9. Ketik: cd watermark.exe tekan enter
  10. Ketik: md con\\tekan enter lalu Restart windows
  11. Setelah masuk windows buka START – RUN (Win+R) ketik: regedit tekan enter
  12. Buka di [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], cari Userinit Klik 2 kali Userinit. lihat value Data nya c:\windows\system32\userinit.exe, c:\program files\microsoft\WaterMark.exe ganti dengan “c:\windows\system32\userinit.exe
Proses diatas tujuannya adalah dengan melalui mode DOS menghapus file watermark.exe  menjadi folder watermark.exe sehingga kita dapat memutuskan eksekusi proses virus tersebut.
Selanjutnya untuk pembersihan virus, restart komputer dan scan komputer dengan antivirus. Ada baiknya uninstal dulu antivirus terdahulu karena ada kemungkinan telah terinfeksi, lalu instal lagi antivirus yang terbaru (terupdate). beberapa yang pernah saya coba adalah menggunakan avira, kaspersky, Norman malware cleaner atau boleh juga dengan smadav terbaru.
- Pengalaman lain penghapusan virus ini untuk komputer yang telah benar-benar parah adalah :
Jika anda memutuskan untuk melakukan instal ulang karena file-file berekstensi EXE telah banyak terinfeksi apalagi jika yang tertular kebanyakan adalah instalan driver komputer, maka dari pada menginstal ulang driver-driver  tersebut untuk menghemat waktu baiknya instal ulang saja… nah, agar setelah komputer selesai instal ulang dan tidak kembali tertular maka sebelum instal ulang lakukan dulu beberapa hal dibawah :
  1. Download dulu PCMAV Express for Ramnit (googling aja) dari koputer yang bersih simpan di flashdisk
  2. Matikan system restore, putuskan sementara koneksi internet
  3. Restart komputer dan masuk ke safe mode (F8)
  4. Colok flashdisk dan jalankan RamnitKiller dari PCMAV yang sudah anda download tadi.. tool tersebut adalah program portable sehingga tidak perlu diinstal, tunggu proses pembersihan sampai benar-benar selesai… (jika kurang yakin ulangi sekali lagi karena proses pembersihan sudah tergolong cepat)
  5. Silakan instal ulang windows anda tetapi jangan langsung menginstal driver
  6. Restart komputer dan masuk safe mode lagi, colok flashdisk dan jalankan RamnitKiller sekali lagi.. (terkadang masih ditemukan adanya induk virus yang masih aktif di drive selain c)
  7. kalau sudah silahkan restart komputer, baru instalkan driver.
  8. selesai.
Beberapa referensi lain, adalah dengan cara:
  • Dengan cara menggunakan RamnitKiller dari PCMAV
  • Dengan cara menggunakan Dr Web Live CD yang baru (proses scaningnya agak lama)
  • Dengan cara mencabut hardisk yang terinfeksi virus ramnit kemudian menggandengnya dengan komputer yang bersih (tentunya autorunnya dimatikan dulu) lalu scan menggunakan Bitdefender Internet Security 2010
  • Dengan cara menggunakan Malware Script VB Dropper Remover (harus sudah terinstal program Java)
  • Dengan cara menggunakan CHANET SPLITTER II (hanya untuk menghentikan process ramnit dan memperbaiki file HTM/HTML yang di injeksi oleh Ramnit)
  • Dengan cara menggunakan SALITY KILLER
  • Dengan cara menggunakan Norman Ramnit Cleaner atau Norman Malware Cleaner
  • Sesudahnya sangat disarankan untuk instal security patch Windows (MS10-046 KB2286198)
Dari yang pernah saya alami dalam pembersihan ramnit ini, kebanyakan tehnik yang digunakan untuk hasil terbaik adalah dengan cara instal ulang diatas, karena file-file berekstensi EXE telah banyak terinfeksi apalagi jika yang tertular kebanyakan adalah instalan driver komputer..
Ok, begitu saja, semoga bermanfaat….
Salam…

0 komentar:

Poskan Komentar