EoneZone

Yang mau berubah, jarang susah

Virus Alman memakan file .exe

Virus yang dikenali dengan nama ALMAN oleh AVG dan Kaspersky ini terbilang cukup unik karena selain kemampuannya menginfeksi file exe, file induk yang dibuatnya cukup sulit dilacak karena bukan berupa file executable tetapi file berekstensi dll sehingga aktivitasnya tidak akan tampak jika dilihat melalui jendela task manager. Akhirnya program tetap bisa berjalan tanpa anda sadari program telah terinfeksi virus.
Virus Alman ukurannya sekitar 40kb. Jika menginfeksi system, virus alman akan membuat 2 file di direktori system yakni wmdrtc32.dll dan wmdrtc32.dl_. File wmdrtc32.dll dibuat dengan ukuran sekitar 40 KB, diset beratribut normal. File ini ditugaskan untuk menginjeksi file explorer.exe miliknya windows setiap kali dijalankan. Ini dpt dketahui setelah mengintipnya dengan tools gratisan a-squared HijackFree. Ternyata file wmdrtc32.dll terdaftar sebagai salah satu module yang sedang digunakan oleh file explorer.exe. Demikian halnya file-file executable lain yang telah terinfeksi ketika dieksekusi akan menggunakan file tersebut sebagai salah satu modulnya. Ini mirip dengan aksi yang dilakukan oleh file avmeter32.dll atau avwav32.dll milik virus kspoold. Selanjutnya file wmdrtc32.dl_ berukuran sekitar 26,5 KB dan diset beratribut system dan hidden. Disinilah terlihat kelihaian teknik social engineeringnya karena jika dilihat sepintas lalu, file wmdrtc32.dl_ seolah-olah merupakan file milik windows yang telah direname oleh virus dan digantikan dengan file lain dengan ukuran berbeda. Dengan demikian, kita dapat terkecoh hanya menghapus file wmdrtc32.dll (40 KB) kemudian mengembalikan ekstensi dll pada file wmdrtc32.dl_ (26,5 KB) karena mengira itu filenya windows.

Cara membasminya bisa dgn PCMAV terbaru juga bisa pke tool dr AVG yaitu alman remover yang bisa membasmi virus alman tanpa merusak program yang terinfeksi.
  • Yang pake PCMAV :
  1. Booting ulang kompie kamu, trus pas muncul lambang bios buru2 tekan F8 berkali-kali biar bisa masuk menu untuk bisa masuk ke "safe mode". setelah muncul menunya, pilih safe mode, biasanya dipaling atas. tunggu sebentar, biar windows meload semua driver yang dibutuhkan.
  2. Kalo sudah, masuk sebagai admin, buka folder dimana kamu simpan antivirus PCMav. double klik pada PCMAV-CLN.exe. tunggu sebentar lagi, kalo emang ada virus biasanya langsung ke detect pada saat pcmav nyecan memori. kalo bener ada virusnya, nanti akan ditampilkan nama virusnya dan dimana letak virus itu nongkrong, beri tanda centang pada setiap virus yang ditemukan, trus tekan tombol "cure files" kalo gak ada ya "delete files" pokoknya tombol yang bertujuan untuk menghilangkan virus itu..
  3. Kalo gak ada virusnya nanti kamu masuk menu utama, plih Location to Scan, centang aja pada ikon My Computer trus ilangin centang pada setiap drive optic yang kamu punya, biar gak makin lambat. trus klik tombol scan. sembari nunggu bisa kamu tinggal tidur dulu atau jajan diwarung sebelah karena rata-rata nyecannya bervariasi antara 1-5jam tergantung banyak files sama spek komputer kamu..
  4. Slesai scan nanti ditampilkan list virusnya, centang semuanya trus klik "Cure Files"/"Delete Files", pastiin setelah di klik semua virus berstatuskan "This object was cleaned!" kalo ada file yang ga bisa dicleaned, begini caranya : Hapalin path virus yang bandel itu, hapalin juga nama nama filenya, misalkan C:\WINDOWS\linkinfo.dll. Start>Run>cmd enter. buka task manager (CTRL+ALT+DEL) pada tab Process, End Process pada explorer.exe setelah explore mati pindah ke command prompt tadi. Ketik del namadrivenamafilenya /f [Enter], contoh : del C:\WINDOWS\linkinfo.dll /f [Enter]. Cek masih ada gak linkinfo.dll-nya, caranya ketik dir C:\WINDOWS [Enter]. Cari dilist itu ada gak linkinfo.dll. Kalo berhasil kembalikan lagi explorernya dengan mengetikkan explorer [Enter].
  5. Matiin smua aplikasi yang jalan trus restart deh, kalo gak puas sama hasil scannya.

  •  Yang pake alman remover :
Cari dulu removernya, untuk mendapatkan remover alman silakan didownload di situs resminya grisoft.com atau bisa juga didownload langsung disini. Remover virus alman keluaran AVG terdiri dari 2 file yaitu rmalman.nt dan rmalman.exe . Cara menjalankan program remover ini cukup dengan mengeksekusi file rmalman.exe atau jika anda ingin mengecek partisi tertentu bisa dilakukan melalui dos prompt pada folder dimana program remover alman berada dengan perintah command. Selengkapnya mengenai cara menggunakan remover Win32/Alman :
rmalman (scans dan clean semua drive)
rmalman C: (scans dan clean drive C: )
rmalman C: D: (scans dan clean drive C: dan D: )
rmalman C:\Windows (scan dan clean file di folder C:\Windows)
rmalman C:\Windows\explorer.exe (Scan dan clean file explorer.exe saja) 


Setelah sudah beres semuanya, sekarang tinggal bersihkan registry yg sdah dbuat virus tsb. Untuk mempermudah proses penghapusan, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: Klik kanan repair.inf  | klik Install 
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]
HKLM, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SYSTEM\ControlSet001\Services\RioDrvs
HKLM, SYSTEM\ControlSet001\Services\cdralw
HKLM, SYSTEM\ControlSet001\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\RioDrvs
HKLM, SYSTEM\CurrentControlSet\Services\nvmini
HKLM, SYSTEM\CurrentControlSet\Services\cdralw
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_RIODRVS
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
HKLM, SYSTEM\CurrentControlSet\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_cdralw
HKLM, SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_nvmini
Silahkan dicoba aja. Semoga cepet sembuh. . .
Ide dari Vaksin

0 komentar: