Sabtu, Agustus 15, 2009

Virus Deadlock alias Tibs.DKKR

Jika komputer anda menampilkan pesan seperti gambar di atas, maka anda harus hati-hati dan selalu ingat untuk membackup semua data anda karena virus Deadlock akan membuat komputer anda "deadlock" alias di hancurkan semua datanya, baik data di seluruh harddisk, flashdisk, dan O/S windows sehingga komputer anda akan mengalami Gagal Booting dengan pesan NTLDR is Missing.
Virus deadlock ini berusaha menghapus data komputer, kenapa di katakan demikian. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran 80 KB. Ikon yang digunakan juga tidak di samarkan dan tetap menggunakan ikon aplikasi. Lihat gambar.
Ciri Utama dari virus ini adalah dengan merubah desktop dengan pesan sosial dari si pembuat virus, biasanya pesan ini akan muncul pada waktu yang sudah di tentukan, dngan munculnya pesan ini makan semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows. Jadi jika anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data anda akan di hancurkan. Lihat gambar.
Jika Virus ini aktif di komputer ia akan membuat beberapa file yang dijalankan pada saat komputer dinyalakan.
  • C:\Windows\system32\apache.exe
  • C:\Windows\system32\mysql.exe
Pemiliha nama apache dan mysql bertujuan menyamarkan dirinya sebagai program Apache dan Mysql. Agar file tersebut aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string registry berikut :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • mysql = C:\Windows\system32\mysql.exe
  • HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • apache = C:\Windows\system32\apache.exe
Virus ini cukup cerdik dalam mengelabuhi user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa di lakukan virus lokal lainnya seperti disable Task Manager /Msconfic/Regedit atau Folder Options. User baru sadar bahwa komputer telah terinfeksi pada saat telah terlambat dimana muncul pesan dari si pembuat virus yang kemudian diikuti dengan munculnya pesan error "Windows file protection" yang menandakan ada suatu program yang berusaha menghapus file system windows.

Dalam perkembangannya virus ini akan menyebar secara otamatis. Virus ini akan aktif setiap kali user mengakses suatu drive / flashdisk dengan memanfaatkan "autorun windows" dengan membuat 3 buah file yaitu : Lihat gambar
  1. [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
  2. [Folder.htt] berisi script untuk menjalankan file utama [ flashguard.exe]
  3. [Flashguard.exe] adalah file induk yang akan dijalankan

Virus Deadlock laksana sebuah bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan. Virus ini akan menjalankan aksinya setiap tanggal 12-13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara menghapus semua file/data termasuk file system windows yang ada di semua drive termasuk juga Flashdisk dengan menggunakan perintah cmd.exe /c del f/s/q/a dan cmd.exe /c rd /s /q , sehingga jika komputer itu di restart maka akan muncul pesan error berikut :

Untuk mencegah terinfeksi virus ini, Vaksincom menyarankan anda menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR.
Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, jangan sekali- kali menginstall ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstall ulang OS anda ke harddisk yang mengandung data yang ingin di recover, kemungkinan keberhasilan recovery akan sangat rendah.

Sumber info : Vaksincom




Diposting oleh di Tidak ada komentar:
Label:

Jumat, Agustus 14, 2009

Virus Dokumen Unik

Ada lagi Virus yang menyerang dokumen , Virus ini agak unik , karena belum pernah Virus Dokumen yang seperti ini.

Ciri-cirinya :

1. Virus ini akan membuat file VIRUS dengan ukuran 541kb di setiap nama file dokumen yang ditemuinya… , misalnya ada file pengantar.doc akan ada file pengantar.exe

2. Merubah nama file aslinya menjadi terbalik , misalnya nama filenya pengantar.doc akan menjadi ratnangeppns.doc. Mungkin yang membuat ini ingin semua orang belajar bahasa ngalam…

3. Seperti Virus lokal lainnya , men-disable regedit dsb…

Tapi jangan was-was sepertinya Virus ini hanya membalik nama file document seperti .doc , xls , pdf .Tapi kalau banyak file ?! lumayan repot juga untuk me-rename secara manual.

Cara mengatasinya :

1. Gunakan Smadav Mulai Versi 5.2 , karena smadav 5.2 sudah mendeteksi Virus ini sebagai Virus Setrun.Silahkan download di sini

Hari ini tgl : 07 Agustus 2009 , ansav dan pcmedia belum mendeteksi Virus ini.. tapi saya akan mengirim samplenya ke ansav.com..

2. Semoga anda yang terkena virus ini sabar untuk me-Rename kembali file anda yang telah terbalik sambil belajar bahasa ngalam……

Dan Semoga pula ada yang bisa membantu memberi cara merename yang lebih cepat…… dengan aplikasi…

Sumber Info : http://mpu-elcom.co.cc


Diposting oleh di 1 komentar:
Label:

Sabtu, Agustus 01, 2009

Menghapus Virus Tanpa Antivirus

Sekitar 2 tahun yang lalu banyak sekali virus yang meresahkan para pengguna komputer. Jika dulunya virus hanya memusingkan para pengguna internet itu disebabkan oleh penyebaran virus yang masih terbatas melalui email dan jaringan. Seiring perkembangan teknologi maka perangkat mobile teknologi informasi juga berkembang. Saat ini hampir semua pengguna komputer memiliki flash disk yang merupakan media penyimpanan data yang sangat portable dan mudah digunakan karena sifatnya seperti disket namun dengan kapasitas besar dan tidak mudah rusak. Namun kepopuleran flash disk di pengguna komputer memancing para pembuat virus untuk membuat virus yang menyebar melalui media penyimpanan ini. Hal ini membuat para pengguna yang kurang paham komputer terkadang tertipu karena menjalankan virus yang disangkanya adalah file lain seperti file dokumen Microsoft Word, Folder, atau bentuk file lainnya. Padahal yang sedang dibuka adalah virus yang memiliki icon sama dengan file-file tersebut.

Ehm…. Saya rasatidak perlu membahas terlalu panjang tentang adanya virus ini, namun bagi pengguna yang komputernya sudah terkena virus maka sebenarnya langkah pembasmian virus-virus tersebut hampir sama. Biasanya masyarakat umum yang tidak memiliki akses internet di komputernya akan lebih mudah terkena virus karena antivirus yang tidak up to date sehingga antivirus miliknya tidak mengenali virus-virus baru. Ada beberapa cara menghilangkan virus dari komputer anda bila sudah terlanjur terinfeksi virus ini. Teknik-teknik berikut dibahas pada sistem operasi Windows XP karena OS inilah yang paling umum terinfeksi dan paling banyak digunakan. Berikut adalalah caranya:

Menghapus dengan antivirus di komputer lain

Dengan memmindahkan hardisk komputer yang sudah terkenavirus kemudian dipasangkan ke komputer lain yang memilki antivirus yang terbaru atau setidaknya mampu mengenali virus di sistem yang telah terinfeksi. Lakukan full scanning pada hardisk sistem yang terinfeksi dan hapus semua virus yang ditemukan. Setelah selesai hardisk tersebut sudah dapat dipasang kembali dikomputer dan jalankan sistem seperti biasa. Lakukan pemeriksaan kembali apakah komputer masih menunjukkan gejala yang sama saat terkena virus. Cara ini ampuh membersihkan virus sepanjang antivirus di komputer lain tersebut dapat mengenali dan menghapus virus di hardisk yang terinfeksi. Namun virus masih meninggalkan jejak berupa autorun atau startup yang tidak berfungsi. Jejak ini terkadang memunculkan pesan error yang tidak berbahaya namun mungkin sedikit mengganggu.

Menghapus dengan sistem operasi lain

Pada laptop atau komputer yang tidak dapat dilepas harddisknya maka cara lain adalah menjalankan sistem operasi lain yang tidak terinfeksi virus dan melakukan full scan terhadap seluruh harddisk. Biasanya ada beberpa pengguna yang menggunakan dual OS seperti Linux dan Windows atau Windows XP dan Windows Vista dsb. Selain itu bisa juga menggunakan LiveCD atau OS Portable seperti Knoopix dan Windows PE ( Windows yang telah diminimazed dan dapat dibooting dari media penyimpanan portable seperti flash disk atau CD.) lalu lakukan full scanning dengan antivirus terbaru. Efektifnya sama dengan menghapus virus dengan antivirus di komputer lain contoh diatas. Virus terkadang masih meninggalkan jejak tidak berbahaya.

Menghapus secara manual

Bila anda kesulitan melakukan hal diatas masih ada cara lain yaitu dengan cara manual. Langkah-langkah tersebut adalah:

  1. Matikan process yang dijalankan oleh virus. Virus yang aktif pasti memiliki process yang berjalan pada sistem. Process ini biasanya memantau aktifitas sistem dan melakukan aksinya bila ada kejadian tertentu yang dikenali virus tersebut. Contohnya pada saat kita memasang flash disk, process virus akan mengenali aksi tersebut dan menginfeksi flash disk dengan virus yang sama. Proses ini harusnya bisa dilihat dari task manager yang bisa diaktifkan dengan tombol Ctrl + Alt + Del namun terkadang virus akan memblokir aksi ini dengan melakukan log off, menutup window Task Manager, atau restart sistem. Cara lain adalah menggunakan tool lain untuk melihat dan mematikan proses virus. Saya biasa menggunakan Process Explorer dari http://www.sysinternals.com/ . Dengan tool ini anda bisa mematikan process yang dianggap virus. Pada saat mematikan proses milik virus perlu diperhatikan terkadang proses milik virus terdiri atas lebih dari 1 proses yang saling memantau. Bila 1 proses dimatikan maka proses tsb akan dihidupkan lagi dengan proses lainnya. Karena itu mematikan process virus harus dengan cepat sebelum proses yang dimatikan dihidupkan lagi oleh proses lainnya. Kenali terlebih dahulu proses yang dianggap virus lalu matikan semuanya dengan cepat. Biasanya virus menyamar menyerupai proses windows tapi tentu ada bedanya seperti IExplorer.exe yang meniru Explorer.exe. Berikut adalah proses windows yang bisa dijadikan referensi proses yang dikategorikan aman: 
    C:\WINDOWS\system32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\Explorer.exe

    Selain process explorer anda bisa menggunakan tools lainnya yang mungkin lebih mudah dan bisa menghapus process sekaligus. Contoh lain adalah HijackFree. Anda bisa mencari di google tools sejenis.

  2. Setelah proses mematikan virus berhasil lakukan pengembalian nilai default parameter sistem yang digunakan virus untuk mengaktifkan dirinya dan memblokir usaha menghapus dirinya. Parameter tersebut berada pada registry windows yang bisa di reset dengan nilai defaultnya. Simpan file berikut dengan nama apa saja dengan extention file .reg. Kemudian eksekusi file tersebut dengan mengklik 2 kali. Bila ada konfirmasi anda bisa menjawab Yes/Ok. Berikut file registry tersebut: 
    Windows Registry Editor Version 5.00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000000
    "SuperHidden"=dword:00000000
    "ShowSuperHidden"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
    "AlternateShell"="Cmd.exe"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
    "AlternateShell"="Cmd.exe"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
    "AlternateShell"="Cmd.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe"
    "Userinit"="C:\WINDOWS\system32\userinit.exe,"

    [HKEY_CLASSES_ROOT\regfile\shell\open\command]
    @="regedit.exe \"%1\""

    [HKEY_CLASSES_ROOT\scrfile\shell\open\command]
    @="\"%1\" %*"

    [HKEY_CLASSES_ROOT\piffile\shell\open\command]
    @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\comfile\shell\open\command]
    @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"

    File registry diatas akan membuka blokir regedit, mencegah virus mencangkokkan dirinya pada sistem, dan reset parameter lain untuk mencegah virus jalan lagi.

  3. Setelah proses virus dimatikan dan parameter sistem di reset. Cegah virus aktif kembali dengan menghapus entry virus pada autorun dan startup Windows. Bisa menggunakan tool bawaan windows MSConfig atau mengedit langsung pada registry dengan Regedit. Untuk lebih mudahnya gunakan tools pihak ketiga seperti autoruns dari http://www.sysinternals.com untuk menghapus entry autorun dan startup milik virus tsb. Jangan lupa periksa folder StartUp pada menu Start Menu -> Programs -> Startup dan pastikan tidak ada entry virus tsb.
  4. Download antivirus terbaru dan lakukan full scanning pada sistem agar antivirus memeriksa keseluruhan sistem dan menghapus semua virus yang ditemukan. Saya menyarankan avira yang bisa didownload dari http://www.free-av.com karena sifatnya free dan scanner virus yang sama tangguhnya dengan antivirus komersil seperti Symantec atau Kaspersky.
  5. Sebelum restart pastikan anda tidak melewatkan virus baik dari proces atau autorun dan startup sistem. Karena bila tidak maka pada saat restart maka sistem akan kembali seperti pada saat terinfeksi virus dan sia-sia semua langkah yang anda lakukan sebelumnya.
  6. Setelah restart periksa kembali komputer anda dan perhatikan apakah gejala yang muncul pada saat komputer terinfeksi masih ada atau tidak. Bila ada maka anda terlewat beberpa autorun virus atau reset parameter sistem diatas tidak berhasil. Lakukan langkah diatas dan periksa lebih cermat tiap langkah anda sebelum melakukan restart sistem.

Itulah langkah-langkah penghapusan virus pada sistem Windows XP. Untuk mencegah virus datang kembali sebaiknya anda rajin update antivirus atau memasang aplikasi pencegah seperti WinPooch atau Comodo Firewall yang akan memperingatkan pengguna bila ada program lain yang akan memodifikasi sistem. Jadi walaupun virus tersebut tidak dikenali akan tetapi sebelum masuk maka pengguna akan diperingatkan oleh aplikasi pencegah. Bila anda mengenali program yang hendak mengakses sistem anda maka anda bisa mengijinkan akses tersebut namun bila tidak sebaiknya tolak dan blokir akses tersebut karena ada kemungkinan program tersebut adalah virus.

Berhati-hati pada saat membuka flash disk. Jangan membuka flash disk dengan klik 2 kali. Buka dengan klik kanan lalu pilih menu Open agar fitur autoplay pada flash disk tidak menjalankan virus secara ototmatis. Jangan lupa perhatikan file yang anda buka. Walaupun iconnya sama perhatikan bahwa file yang anda buka buka tipe application atau program. Pastikan file word adalah betul-betul word dan folder betul-betul folder bisa dengan melihat detail atau properties dari file tsb. Semoga artikel ini membantu dan mencegah anda terinfeksi virus komputer.

Sumber Info :http://www.thinkrooms.com

Diposting oleh di Tidak ada komentar:
Label:
Langganan: Postingan (Atom)