Scribd Logo
Unggah

Selamat datang di Scribd!

  • Basmi Virus Ramnit

    Diunggah oleh

    mnuh69
    3 tayangan4 halaman

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOC, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOC, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    3 tayangan4 halaman

    Basmi Virus Ramnit

    Diunggah oleh

    mnuh69

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOC, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 4

    Basmi Virus Ramnit (exe, htm, html, flashdisk) Data

    Tidak Hilang
    Wednesday, 16 March 2011 11:16 admin bukulawas.com

    Semester awal tahun 2011 ini trend infeksi virus yang marak
    terjadi adalah RAMNIT. Virus ini memiliki karakteristik yang unik, karena merupakan
    perpaduan antara virus Sality yang menyerang file-file EXE dan virus Shortcut yang
    berpola serang berupa tipuan script file LNK (shortcut).

    Untuk memperkuat 'pertahanan' terhadap AntiVirus, RAMNIT juga membentengi diri dengan
    menyusupkan diri ke dalam sistem operasi sebagai SHELL atau USERINIT, yaitu bagian
    dari sistem operasi yang otomatis aktif dan tidak dapat dihentikan prosesnya.
    Sebagai pelengkap dan perangkap, virus RAMNIT ini sekaligus juga menyusupkan kode
    virusnya ke dalam semua file HTM dan HTML yang ada pada sistem.

    Beberapa AntiVirus terkemuka saat ini sudah mampu mendeteksi virus RAMNIT ini, namun
    penanganan dan tingkat keberhasilan 'pembersihan' serangan virus ini tentu saja berbeda-beda
    untuk tiap jenis AntiVirus.

    Perlu diketahui dalam memberantas virus RAMNIT ini kebanyakan AntiVirus bekerja pada
    level file, itupun tidak semua AntiVirus dapat mengembalikan file yang telah disusupi kode
    virus menjadi normal kembali. Diperlukan ketelatenan untuk dapat membersihkan RAMNIT
    dengan tuntas tanpa menghapus data HTML (seringkali data file HTML ini sangat diperlukan
    user, sehingga sayang sekali jika sampai terhapus).

    Langkah detil dalam pembersihan RAMNIT:


    1. Backup data file HTML ke media eksternal.
    2. Bersihkan file HTML dari kode virus RAMNIT dengan VBS dropper malware remover
    tools (pembuat: Jing Ge, googling juga pasti dapat!).
    3. Jalankan Process Explorer (bisa diambil dari Hirens Boot CD), klik suspend all svchost.exe
    (di dalam proses explorer.exe, bukan di dalam services.exe) lalu terminate process tree
    4. Matikan System Restore Selama proses pembersihan.
    5. Hapus folder recycler, recycled dan "system volume information" folders, dengan cara:
    (misal root directory adalah C:, dan akan dilakukan pembersihan pada D:)
    -run cmd.exe,
    c:\>rd /s /q "c:\recylcer" [enter]
    c:\>cacls "c:\system volume information" /t /e /c /g everyone:F [enter]
    c:\>rd /s /q "c:\system volume information" [enter]
    d:\>rd /s /q "recycled" [enter]

    6. Buatlah file RamNit_removal.bat dan RAMNit_removal.reg, letakkan dalam folder


    yang sama. Caranya:
    -run notepad, copy perintah berikut dan  simpan dengan nama RamNit_removal.bat
    @echo off
    REM "This is for erase Main worm files"
    del /f /s /q /a "%ProgramFiles%\Microsoft\WaterMark.exe">Delete_Log.txt
    del /f /s /q /a "%ProgramFiles%\Microsoft\DesktopLayer.exe">>Delete_Log.txt
    del /f /s /q /a "%systemroot%\System32\dmlconf.dat">>Delete_Log.txt

    REM "This is for erase another tricky worm files, if it exist"


    del /f /s /q /a "%Systemroot%\dmlconf.dat">>Delete_Log.txt
    del /f /s /q /a "%Systemroot%\lssas.exe">>Delete_Log.txt
    del /f /s /q /a "%systemroot%\ExplorerSrv.exe">>Delete_Log.txt
    del /f /s /q /a "%systemroot%\System32\rundll32Srv.exe">>Delete_Log.txt
    del /f /s /q /a "%ProgramFiles%\synaptics\syntp\SynTPEnhSrv.exe">>Delete_Log.txt
    del /f /s /q /a "%UserProfile%\Local-Settings\Application Data\\.exe">>Delete_Log.txt

    REM "This is for prevent infections of Ramnit worm"


    mkdir "%ProgramFiles%\Microsoft\WaterMark.exe"
    attrib +r +s -h -a "%ProgramFiles%\Microsoft\WaterMark.exe" /s /d
    mkdir "%ProgramFiles%\Microsoft\DesktopLayer.exe"
    attrib +r +s -h -a "%ProgramFiles%\Microsoft\DesktopLayer.exe" /s /d
    mkdir "%systemroot%\System32\dmlconf.dat"
    attrib +r +s -h -a "%systemroot%\System32\dmlconf.dat" /s /d
    REM "This is for clean hijacked registry settings"
    reg import RAMNit_removal.reg
    exit

    -run notepad, copy perintah berikut, simpan dengan nama RAMNit_removal.reg

    Windows Registry Editor Version 5.00

    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnceEx]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServicesOnce]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\
    startupreg]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\
    startupfolder]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnceEx]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServicesOnce]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\
    startupreg]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\
    startupfolder]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Winlogon]
    "Userinit"="c:\\windows\\system32\\userinit.exe"
    [HKEY_CLASSES_ROOT\regfile\shell\open\command]
    @="regedit.exe \"%1\""
    [HKEY_CLASSES_ROOT\inffile\shell\open\command]
    @=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00
    [HKEY_CLASSES_ROOT\exefile]
    @="Application"
    "EditFlags"=hex:38,07,00,00
    "TileInfo"="prop:FileDescription;Company;FileVersion"
    "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
    [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    @="%1"
    [HKEY_CLASSES_ROOT\exefile\shell]
    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00,00,00,00
    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"
    [HKEY_CLASSES_ROOT\exefile\shell\runas]
    [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    @="\"%1\" %*"

    7. Jalankan RamNit_removal.bat, lakukan perbaikan registry lainnya dengan ccleaner


    (googling pasti dapat!).
    8. Reboot dan masuk ke safe mode, lalu lakukan scan dengan AntiVirus andalan Anda untuk
    membersihkan file-file aplikasi yang terinfeksi (Antivirus yang mengenal virus Ramnit di
    antaranya avast antivirus, avira rescue CD, clamwin, ESET)

    9. Reboot, masuk Windows normal.

    10. Gunakan Antivirus yang dapat melindungi dari serangan melalui jaringan.
    11. Selesai.

    Perlu diketahui bahwa sebagian besar virus akan mengalami penambahan varian, demikian
    juga dengan Ramnit. Tentunya diperlukan penyesuaian dalam langkah-langkah pembersihan
    jika varian Ramnit yang menyerang komputer dari jenis yang berbeda.

    Secara garis besar, langkah-langkah yang kami tempuh adalah:


    1. Backup data file HTML ke media eksternal.
    2. Bersihkan file HTML dari kode virus RAMNIT.
    3. Pasang AntiVirus terpercaya (updated), scan semua file di harddisk internal
    4. Salin file HTML yg bersih ke harddisk internal

    Jika Anda tidak ingin repot dalam membersihkan virus ini (yang memang perlu ketelitian dan
    langkah yang cukup panjang), kami menyediakan layanan Basmi Virus Ramnit, kami
    usahakan semaksimal mungkin TANPA INSTALL ULANG, dan dipastikan DATA TIDAK
    HILANG.
    Cukup hubungi:

    BUKULAWAS.COM
    Jl. Nologaten Gg. Kenari 183A Yogyakarta
    SMS/Telp. 085711300056 atau 0274-9253505
    e-mail: sales@bukulawas.com
    http://www.bukulawas.com/

    Anda mungkin juga menyukai