Scribd Logo
Unggah

Selamat datang di Scribd!

  • Basmi Virus Ramnit Tanpa Instal Ulang Window (Recycled, LNK, Exe, Shortcut DLL) - by Ediey Afterlife

    Diunggah oleh

    Ediey Afterlife SecondWeek OfSeptember
    29 tayangan4 halaman
    Data IT

    Judul Asli

    Basmi Virus Ramnit Tanpa Instal Ulang Window (Recycled, Lnk, Exe, Shortcut Dll) - By Ediey Afterlife

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Data IT

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    29 tayangan4 halaman

    Basmi Virus Ramnit Tanpa Instal Ulang Window (Recycled, LNK, Exe, Shortcut DLL) - by Ediey Afterlife

    Diunggah oleh

    Ediey Afterlife SecondWeek OfSeptember
    Data IT

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 4

    Basmi Virus Ramnit Tanpa Instal Ulang Window (Recycled, lnk, exe, Shortcut

    Dll)
    Semester awal tahun 2011 ini trend infeksi virus yang marak terjadi adalah RAMNIT.
    Virus ini memiliki karakteristik yang unik, karena merupakan perpaduan antara virus Sality yang
    menyerang file-file EXE dan virus Shortcut yang berpola serang berupa tipuan script file LNK
    (shortcut).
    Untuk memperkuat 'pertahanan' terhadap AntiVirus, RAMNIT juga membentengi diri
    dengan menyusupkan diri ke dalam sistem operasi sebagai SHELL atauUSERINIT, yaitu bagian
    dari sistem operasi yang otomatis aktif dan tidak dapat dihentikan prosesnya.
    Sebagai pelengkap dan perangkap, virus RAMNIT ini sekaligus juga menyusupkan kode
    virusnya ke dalam semua file HTM dan HTML yang ada pada sistem.
    Beberapa AntiVirus terkemuka saat ini sudah mampu mendeteksi virus RAMNIT ini,
    namun penanganan dan tingkat keberhasilan 'pembersihan' serangan virus ini tentu saja berbedabeda untuk tiap jenis AntiVirus.
    Perlu diketahui dalam memberantas virus RAMNIT ini kebanyakan AntiVirus bekerja
    pada level file, itupun tidak semua AntiVirus dapat mengembalikan file yang telah disusupi kode
    virus menjadi normal kembali. Diperlukan ketelatenan untuk dapat membersihkan RAMNIT
    dengan tuntas tanpa menghapus data HTML (seringkali data file HTML ini sangat diperlukan
    user, sehingga sayang sekali jika sampai terhapus).
    Langkah detil dalam pembersihan RAMNIT:
    1. Backup data file HTML ke media eksternal.
    2. Bersihkan file HTML dari kode virus RAMNIT dengan VBS dropper malware remover
    tools (pembuat: Jing Ge, googling juga pasti dapat!).
    3. Jalankan Process Explorer (bisa diambil dari Hirens Boot CD), klik suspend all
    svchost.exe (di dalam proses explorer.exe, bukan di dalam services.exe) lalu terminate
    process tree
    4. Matikan System Restore Selama proses pembersihan.
    5. Hapus folder recycler, recycled dan "system volume information" folders, dengan cara:
    (misal root directory adalah C:, dan akan dilakukan pembersihan pada D:)

    -run cmd.exe,
    c:\>rd /s /q "c:\recylcer" [enter]
    c:\>cacls "c:\system volume information" /t /e /c /g everyone:F [enter]
    c:\>rd /s /q "c:\system volume information" [enter]
    d:\>rd /s /q "recycled" [enter]
    6. Buatlah file RamNit_removal.bat dan RAMNit_removal.reg, letakkan dalam folder yang
    sama. Caranya:
    -run notepad, copy perintah berikut dan simpan dengan nama RamNit_removal.bat
    @echo off
    REM "This is for erase Main worm files"
    del /f /s /q /a "%ProgramFiles%\Microsoft\WaterMark.exe">Delete_Log.txt
    del /f /s /q /a "%ProgramFiles%\Microsoft\DesktopLayer.exe">>Delete_Log.txt
    del /f /s /q /a "%systemroot%\System32\dmlconf.dat">>Delete_Log.txt
    REM "This is for erase another tricky worm files, if it exist"
    del /f /s /q /a "%Systemroot%\dmlconf.dat">>Delete_Log.txt
    del /f /s /q /a "%Systemroot%\lssas.exe">>Delete_Log.txt
    del /f /s /q /a "%systemroot%\ExplorerSrv.exe">>Delete_Log.txt
    del /f /s /q /a "%systemroot%\System32\rundll32Srv.exe">>Delete_Log.txt
    del /f /s /q /a "%ProgramFiles%\synaptics\syntp\SynTPEnhSrv.exe">>Delete_Log.txt
    del /f /s /q /a "%UserProfile%\Local-Settings\Application Data\\.exe">>Delete_Log.txt
    REM "This is for prevent infections of Ramnit worm"
    mkdir "%ProgramFiles%\Microsoft\WaterMark.exe"
    attrib +r +s -h -a "%ProgramFiles%\Microsoft\WaterMark.exe" /s /d
    mkdir "%ProgramFiles%\Microsoft\DesktopLayer.exe"
    attrib +r +s -h -a "%ProgramFiles%\Microsoft\DesktopLayer.exe" /s /d
    mkdir "%systemroot%\System32\dmlconf.dat"
    attrib +r +s -h -a "%systemroot%\System32\dmlconf.dat" /s /d
    REM "This is for clean hijacked registry settings"
    reg import RAMNit_removal.reg
    exit
    -run notepad, copy perintah berikut, simpan dengan nama RAMNit_removal.reg
    Windows Registry Editor Version 5.00
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnc
    e]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnc
    eEx]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServ
    icesOnce]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
    Tools\MSConfig\startupreg]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
    Tools\MSConfig\startupfolder]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnc
    e]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnc
    eEx]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSer
    vicesOnce]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
    Tools\MSConfig\startupreg]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
    Tools\MSConfig\startupfolder]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Winlogon]
    "Userinit"="c:\\windows\\system32\\userinit.exe"
    [HKEY_CLASSES_ROOT\regfile\shell\open\command]
    @="regedit.exe \"%1\""
    [HKEY_CLASSES_ROOT\inffile\shell\open\command]
    @=hex(2):22, 00, 25, 00, 31, 00, 22, 00, 20, 00, 25, 00, 2a, 00, 00, 00
    [HKEY_CLASSES_ROOT\exefile]
    @="Application"
    "EditFlags"=hex:38, 07, 00, 00
    "TileInfo"="prop:FileDescription;Company;FileVersion"
    "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
    [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    @="%1"
    [HKEY_CLASSES_ROOT\exefile\shell]
    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00, 00, 00, 00
    [HKEY_CLASSES_ROOT\exefile\shell\open\command]

    @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\exefile\shell\runas]
    [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    @="\"%1\" %*"
    7. Jalankan RamNit_removal.bat, lakukan perbaikan registry lainnya dengan ccleaner
    (googling pasti dapat!).
    8. Reboot dan masuk ke safe mode, lalu lakukan scan dengan AntiVirus andalan Anda untuk
    membersihkan file-file aplikasi yang terinfeksi (Antivirus yang mengenal virus Ramnit di
    antaranya avast antivirus, avira rescue CD, clamwin, ESET)
    9. Reboot, masuk Windows normal.
    10. Gunakan Anti virus yang dapat melindungi dari serangan melalui jaringan.
    11. Selesai.
    Perlu diketahui bahwa sebagian besar virus akan mengalami penambahan varian,
    demikian juga dengan Ramnit. Tentunya diperlukan penyesuaian dalam langkah-langkah
    pembersihan jika varian Ramnit yang menyerang komputer dari jenis yang berbeda.
    Secara garis besar, langkah-langkah yang kami tempuh adalah:
    1.
    2.
    3.
    4.

    Backup data file HTML ke media eksternal.


    Bersihkan file HTML dari kode virus RAMNIT.
    Pasang AntiVirus terpercaya (updated), scan semua file di harddisk internal
    Salin file HTML yg bersih ke harddisk internal

    Anda mungkin juga menyukai