Virus Ramnit + Sality ini sudah lama ada, dan dimodifikasi
sedemikian rupa sehingga menjadikan dirinya salah satu virus terkuat yang
menyerang sistem yang ada di PC pengguna. Ibarat penyakit Kanker virus ini menyerang secara perlahan namun
pasti. Bagaimana cara mengatasi virus ini dan sistem apa yang diserang oleh
virus ini?
Pengalaman saya beberapa hari lalu, ketika PC saya terserang
virus ini, terdeteksi seperti ini:
Virus
Virus Name: Ramnit +
Sality
Type : Fusion Virus
Registry
Value Name: Userinit
Key Path: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon
Dari hasil browsing, saya akan share hasil yang didapat
untuk mengatasi virus ini.
Anda silahkan mau menggunakan metode yang mana, dan bagi
sobat blogger yang mau berbagi pengalaman silahkan share disini!!!
1. Sumber
http://www.tabloidpcplus.com/2011/06/tutorial/membasmi-ramnit/
Membasmi Ramnit
Ramnit alias Win32.Siggen.8 boleh saja dibilang barang lama.
Tapi ternyata, sampai saat ini, korbannya terus berjatuhan. Tidak jarang
sikorban akhirnya memutuskan untuk melakukan instalasi ulang terhadap sistem
operasi Windowsnya. Perlukah?Sebelum memutuskan untuk menginstall ulang sistem
yang terserang Ramnit, PCplus punya artikel menarik yang dibuat oleh tim
Vaksin.com untuk mengenyahkan Ramnit dari PC kamu. Sebelum mulai menghajar
Ramnit, ada baiknya kamu menyimak beberapa karakteristiknya.
Sudah terinfeksi belum?
Buat mengenali ciri-ciri PC yang terinfeksi Ramnit, sima
beberapa gejala berikut ini:
Akan menampilkan aplikasi Internet Explorer yang berisi
penawaran atau iklan investasi, game dan program-program promosi (terkadang
menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama
komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan
yang ditampilkan dan mengakibatkan akses internet menjadi lambat .
Icon Removable media (USB Flash) berubah menjadi icon Folder
.
User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is denied” .
Muncul pesan “Compressed (zipped) Folders” pada saat
mengakses Flash disk .
Muncul banyak file dengan nama file “Copy of Shortcut to
(1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash.
Salah satu hal yang unik dan membuat virus ini sangat mudah
aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain
menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga
menjalankan virus ini.
Kalau PC kamu sesuai dengan 6 gejala di atas, maka bisa
dipastikan komputer sudah terinfeksi Ramnit. Sekarang, simak langkah di bawah
ini untuk membersihkannya.
Membersihkan Ramnit
Karena Ramnit menyerang seluruh file-file yang punya
ekstensi .EXE, .DLL dan .HTM/HTML maka pembersihan Ramnit harus dilakukan dalam
mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live
CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di
alamat http://www.freedrweb.com/cureit/?lng=en dan sebaiknya dilakukan di
komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak
terinfeksi, sebaiknya di ZIP dan di password.
1. Agar pembersihan dapat dilakukan optimal, scan semua HDD
termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus akan men-drop beberapa file di USB Flash atau
HDD eksternal.
2. Sebelum melakukan pembersihan sebaiknya blok file
duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur
ini hanya ada pada sistem operasi Windows XP Pro, Vista, 7, Server 2003 dan
Server 2008 dengan cara sebagai berikut:
a. Klik menu [Start]
b. Pilih [Run]
c. Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK]
d. Setelah muncul layar ”Local Security Policy”, klik kanan
menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New
Software Restriction Policies” jika menggunakan Windows Vista/7, Kemudian klik
kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...”
e. Kemudian akan muncul layar ”New Hash Rule”. Pada kolom
”File Hash”, klik tombol [Browse] dan
tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan
ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open].
Pada kolom ”Security Level”, pilih [Disallowed], kemudian klik tombol [OK]
Gunakan Dr Web Live CD untuk membasmi virus ini dengan
tuntas. Silahkan download software tersebut dialamat berikut:
http://www.freedrweb.com/livecd/?lng=en
Tools Dr Web Live CD ini juga bisa ditemukan di CD PCplus
edisi terbaru. Kamu cukup boot ulang komputer dengan urutan CD PCplus sebagai
urutan boot awal.
Cara menggunakan Dr Web Live CD
Kamu disarankan untuk selalu memakai Dr Web Live CD yang
baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika
menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di
dalam CD tersebut akan mengikuti versi Dr Web Live CD tersebut didownload. CD
PCplus terbaru memuat versi Dr Web Live CD terbaru. Alternatif lain adalah menggunakan software antivirus Dr Web
berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang
merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang
membutuhkan bantuan mendapatkan/download Dr Web Live CD dapat menghubungi
info@vaksin.com secara gratis.
Download software Dr.Web LiveCD.
Burn kedalam CD/DVD. (Burn dapat menggunakan Nero atau
software sejenisnya)
Hubungkan USB Flash dan HDD eksternal ke komputer.
Booting komputer melalui CD/DVD ROM.
Kemudian akan muncul layar “Welcome to Dr.Web LiveCD”
Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol
“Enter” pada keyboard.
Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD
yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner
ini berfungsi untuk melakukan pemeriksaan terhadap komputer kamu dari
kemungkinan adanya virus.
Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi
Drive yang akan di periksa dan pastikan anda check list opsi “Scan
subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan
subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak
muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
Kemudian klik tombol [Start] untuk memulai proses
pemeriksaan (scan).
Tunggu beberapa saat sampai proses scan selesai dilakukan.
Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi
dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
Klik tombol [Select All] untuk memilih semua objek/file yang
akan di bersihkan atau kamu dapat menentukan file mana saja yang akan
dibersihkan dengan men-check list pada opsi yang tersedia.
Kemudian klik tombol [Cure] untuk membersihkan file yang
telah terinfeksi virus.
Tunggu sampai proses pembersihan selesai dilakukan.
Scan ulang komputer untuk memastikan komputer bersih dari
virus.
Restart komputer.
Aj Tau (info@vaksin.com)Dikutip dari situs Web Vaksin.com
dengan sumber artikel asli di:http://vaksin.com/2011/0111/ramnit/ramnit.html
2. Sumber:
http://mpu4elcom.wordpress.com/2011/04/19/cara-membersihkan-virus-ramnit-mudah-dan-tuntas/
Cara membersihkan Virus RAMNIT , mudah dan tuntas…
Virus Ramnit:
Virus yang menginjeksi file .html , .exe dan .dll
Virus yang menular melalui removable disk ( UFD ) dengan
cara mengcopy file .cpl dan .exe yang selalu bertambah dan berubah-ubah
namanya. Yang tepatnya file tersebut berada di dalam folder Recycler dan 4 file
shortcut copy of yang akan menjalankan file *.cpl infektor yang terdapat di
folder recycler UFD.
Bila Virus tersebut telah meng-infeksi system komputer ,
virus tersebut akan membuat dan menjalankan file svchost.exe yang akan
melakukan berbagai hal: a. membuat file bernama : watermark.exe yang bertempat
di folder : C:\programfiles\mikrosoft\watermark.exe. b. merubah registry userinit.exe mejadi menjalankan :
watermark.exe , sehingga virus tersebut menguasai sistem secara permanen ,
dengan cara menginfeksi file berekstensi .exe, .dll dan .html
Jika di properties , UFD akan terlihat banyak terpakai oleh
file .cpl dan .exe di folder recycler.
Efeknya:
Virus ramnit akan membuat file program tidak berjalan dengan
normal , misalnya: mozilla firefox , winamp dll
kita tidak bisa menghapus file watermark.exe yang ada
difolder c:\programfiles\microsoft\watermark.exe , dikarenakan file tersebut
dikunci oleh file svchost.exe-nya virus ramnit.
bila kita hapus file / folder yang ada didalam folder
recycler UFD , file .cpl dan .exe akan muncul kembali.. dan terus menulis
kembali…
Untuk system yangtelah terinfeksi file tertentu.. misalnya :
explorer.exe akan digantikan explorermgr.exe
Bila kita membersihkan virus ini tidak tuntas ( ada yang
belum dibersihkan ) , Virus ini akan kembali bila kita menjalankan aplikasi ( misalnya : klik kanan ).
Cara membersihkannya:
Siapkan cleaner Anti Virus ( saya menggunakan NOD32 stand
alone ) download melalui internet >
dan simpan dalam bentuk file zip / RAR agar file exe tersebut tidak terinfeksi
virus.
Simpan file tersebut di UFD atau copy paste di harddisk
komputer yang telah terinfeksi.
Gunakan task manager , pilih task / tab processes dan end
task semua file svchost.exe dan juga semua yang bisa di end task ( kecuali :
task managernya ).
Open file cleaner NOD32 yang sudah berbentuk zip /RAR ,
dengan menggunakan file open di task manager.Rubah pilihan program di open file
menjadi allfiles agar file zip / rar dari NOD32 bisa terlihat.
Setelah teropen NOD32 dengan winrar atau aplikasi lainnya..
silakan dobel klik file nod*.exe setelah next…next dipilihan action , sebelah
kiri pilih Clean dan sebelah kanan pilih delete.Lalu jalankan Scan & clean
Setelah berjalan close / tutup winrar / aplikasi yang dibuat
membuka NOD32 zip / RAR.
Silakan diawasi dengan task manager bila ada file svchost.exe
keluar / tampil di processes segera di end task dan seperti biasa bila ada
tampilan windows yang memperingatkan bahwa komputer akan shutdown dalam waktu
60 detik / 1 menit…. silakan ketik di menu file open /run : shutdown -a yang artinya -a adalah perintah shutdown
untuk membatalkan aksinya…
Peringatan!, disaat NOD 32 membersihkan file di komputer
anda , jangan sampai membuka / menjalankan file apapun… karena jangankan
menjalankan file exe , kita klik kanan aja sudah berarti menjalankan virus /
svchost.exe-nya Virus Ramnit.
Ingat, yang perlu kita jaga adalah : mematikan / end task
file svchost.exe selama NOD32 membersihkan file di komputer kita.
Antisipasi Virus RAmnit:
Untuk menjaga Virus sejenis ramnit agar tidak kembali
meng-infeksi komputer kita… disini saya sertakan berbagai trik… diantaranya:
Matikan autorun.inf windows bisa berbagai macam cara :
dengan menggunakan gpedit.msc>>administrative template>>turn off
auto play>>enable>>alldrive , atau menggunakan regedit: (Dapat
dicari tipsnya di internet dengan kata kunci “cara agar virus tidak masuk
melalui flash disk).
Rubah beberapa ektensi file yang berpotensi digunakan oleh
virus dengan assosiasi file ( misalnya: assoc .vbs=txtfile ) terutama untuk
Virus ramnit adalah ekstensi .cpl
Hapus selalu folder recycler didalam UFD , bila tidak bisa
ada kemungkinan komputer kita terinfeksi Virus.
Dan hapus dengan menggunakan mini windows Xp ( hiren BOOt CD
) atau sistem berbasis linux , folder recycler dan _restore yang ada di folder
systeminformation
Install Anti virus dengan Update database terbaru… dan
usahakan anti virus tersebut diupdate databasenya baik secara online ataupun
offline..
3. Sumber: http://www.d-pinsi.com/virus/49-virus-komputer/140-cara-menghapus-virus-ramnit-recycled-autoruninf-copy-of-shortcut-1234-virut-sality-.html
Tool yang dibutuhkan:
- Antivirus PCMAV Express Ramnit Killer
- Antivirus NOD32 ON-DEMAND MANUAL SCANER PORTABLE
- Antivirus SMADAV REV 8.9.1
/1 Februari 2012 (Temukan versi terbaru di situs resminya)
- Unlocker 1.9.1 Freeware
- Avast free versi 7 sudah keluar versi terbarunya silahkan
download di website resminya
- Ccleaner
Berikut langkah langkah pembasmian virus ramnit alias Virus
Copy of Shortcut (1)(2)(3)(4) Recycler Autorun.inf:
1. Download semua tools (ada di menu download kecuali avast)
ke dalam CD Kosong
gunakan warnet atau komputer temen yang bersih dari virus
2. Siap beraksi are you ready..??ready.........hehehehehe
sabar sabar..
3. Putuskan komputer dari koneksi Internet
4. Matikan System Restore komputer. Klik kanan My
Computer>Properties>System
Restore>Turnoff System Restore on all drives
5. Show Hidden File klik Tools>Folder
Options>View>Klik Show Hidden Files and Folder,
buang centang Hide extensions..dan Hide Protected..bila ada
pertanyaan Yes aja.
6. Matikan fungsi autorun lewat start-run atau bisa dengan
Win+R dan ketikan gpedit.msc .
pada computer configuration-system klik 2x pada “Turn off
autoplay” klik enable dan bawahnya
klik pada All drive dan lakukan hal sama pada user
configuration
7. Tekan CTRL+ALT+DEL pada Menu Processes cari SVCHOST.EXE
dengan User Name
nya Account Anda kemudian klik End Process, SVCHOST.EXE
palsu ini ada dua cek lagi ya..!
8. Lanjut .... ternyata lama juga ya? memang begitu, cape
ngadepin virus ramnit tapi kesabaran
mampu mengalahkan segalanya .
9. Sekarang kita bunuh virusnya caranya Klik
Start>Run>Browse..cari folder Microsoft klik
Kemudian Delete, ada di c:\Program
Files\Microsoft\watermark.exe
10. Jalankan Ramnit Killer dari CD Anda sampai selesai (
hanya membersihkan ramnit A)
11.Jalankan NOD32 ON-DEMAND MANUAL SCANER PORTABLE out of
date database biarin aja.
12.Setelah Antivirus NOD32 muncul klik Menu ACTION pada IF
AN ALERT IS
GENERATED rubah menjadi Clean terus pada IF CLEANING CANNOT
BE
PERFORMED rubah menjadi Delete. Pada Menu Scanning Targets
Klik Select All terus
Klik Scan&Cleantunggu sampai selesai.
13.Jika Nod32 minta restart ikutin saja, jangan lupa scan
sekali lagi pake NOD32
ON-DEMAND MANUAL SCANER PORTABLE
14.Sekarang gunakan Smadav untuk repair Regestry Windows
(userinit.exe ini yang
dirusak oleh ramnit) klik Fix All
15.Selanjutnya gunakan Unlocker untuk menghapus folder atau
file sisa virus yang susah di
hapus seperti Recycled atau autorun.inf, caranya mudah
install kemudian jalankan Unlocker
cari file atau folder yang susah dihapus pada menu option
klik Delete
16.Jalankan Ccleaner untuk menghapus file template windows
dengan cepat
17.Untuk meyakinkan sisa virus habis, Gunakan Avast Free
antivirus.
4. Pengalaman Westjava27 Dalam Mengatasi Virus Ramnit dan
Sality
- Saya gunakan AVG Free update terbaru, saya scan semua file
yang ada di hard disk. KarenaAVG menurut saya cukup berat dan memakan banyak
memori, setelah menggunakan AVG ini, kemudian saya matikan AVG nya.
- Saya gunakan Av Smadav Free update terbaru, saya scan
seluruh file yang ada di hardisk, dan saya membiarkan Smadav tetap aktif..
- Saya gunakan juga Avira Free update terbaru, saya kembali
scan seluruh file yang ada di hardisk.
- Smadav dan Avira saya pertahankan dan saya gunakan kedua
av ini untuk menjaga sistem yang ada, dan menurut saya dari dari hasil ujicoba
yang saya lakukan ternyata sistem yang ada di PC saya, kembali stabil (saya
tidak menemukan lagi Virus Copy of Shortcut (1)(2)(3)(4) Recycler Autorun.inf,
watermark.exe, dan sejenisnya)
- Terakhir, saya menggunakan Tune Up Utilities 2012 update
terbaru untuk memperbaiki kerusakan file yang ada di registry (dapat juga
menggunakan ccleaner).
Untuk tuneup utilities yang harganya US$49.95 dan Upgrade
29.95 nanti saya akan share dipostingan berikunya.
Bagi para blogger yang mau berbagi pengalaman silahkan share
disini ya....salam.
Update15/02/2013
Baru-baru ini saya menemukan lagi gejala aneh di laptop
saya, berikut gejalanya:
1. Keyboard internal
pada laptop saya, panah kiri-kanan-atas-bawah, berubah fungsi menjadi delete
(hapus), saya coba atasi dengan menekan Fn+F11, biasanya kalau huruf/angka pada
keyboard berubah misal kita menekan huruf g maka yang keluar angka 2, dan
sebagainya dapat diatasi dengan menekan Fn+F11 (cara ini gagal)
2. Ikon di desktop ( ktop) bila ingin ditampilkan dengan
mengklik terdapat peringatan yang kurang lebihnya seperti ini: "apakah
program....akan di delete ke recycle bin...", di jawab"No" atau
"Yes", ikon peringatan tersebut sulit hilang.
3. Komputer seperti
"hang".
4. Jika kita paksa mematikan komputer/laptop, maka ketika
dihidupkan akan berbunyi "bip" mencapai "puluhan kali" ,
dan gejala aneh lainnya.
Saya pikir bahwa
laptop saya mengalami kerusakan pada perangkat keras atau mungkin jugatidak hati-hatinya
saya menggunakan tool maintenance yang ada sehingga mengakibatkan registry
windows saya korup. Setelah melakukan backup data di drive C ke drive D, saya
berencana untuk memperbaiki ditetangga saya yang spesialis masalah laptop, saya
pikir setelah hardware laptop saya diperbaiki, sebaiknya Drive C di instal
ulang.
Rasa penasaran
datang juga apa kerjaan si "virus", saya coba untuk melakukan scan
dengan free avira dan ternyata yang
biasanya kompatibel dengan Smadav, avira mendeteksi ada bagian smadav yang
dianggap virus (saya lupa namanya), tetapi sebaliknya bila Smadav tidak
mendeteksi ada bagian Avira yang "salah".
Iseng-iseng saya aktifkan kembali anti autorun saya (
Autorun Kicker keluaran Qsoft), ternyata ini masalahnya, setelah Autorun aktif
masalah-masalah diatas dapat diatasi (sekarang anti virus yang ada dilaptop
saya ada tiga yang diaktifkan secara bersamaan Autorun Kicker + Smadav Rev. 9.1
+ Free Avira update terbaru), ke-3 anti virus ini satu sama lain saling
menyesuaikan "diri" dan saya rasa tidak membuat performa sistem
menjadi terbebani. (Untuk Autorun Kicker, Anda dapat membaca ulasannya
"Cara menangkal virus autorun.if di postingan saya sebelumnya)
Berikut cara singkat membersihkan virus W32/Sality.AE yang
dikutip dari Vaksincom :
1. Putuskan hubungan komputer yang akan dibersihkan dari
jaringan dan internet.
2. Matikan System Restore selama proses pembersihan
berlangsung.
3. Matikan Autorun dan Default Share.
4. Matikan program aplikasi yang aktif di memori agar proses
pembersihan lebih cepat terutama program yang ada dalam daftar startup.
5. Sebaiknya scan dengan menggunakan removal tools dengan
terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi
lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.
6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat
booting safe mode, silahkan restore registry yang sudah diubah oleh virus.
7. Perbaiki registry yang diubah oleh virus, silahkan
download software berikut kemudian jalankan software tersebut dan kemudian scan
registry. Perbaiki registry yang rusak karena virus sality tersebut.
8. Restart komputer dan scan ulang dengan menggunakan
removal tools untuk memastikan komputer telah bersih dari