In a few words

Virus W32 / Ramnit – Copy of Shortcut + Recycler

Ramnit yah… hmmm, sebelumnya saya ingin minta maaf karena jarangnya meng-update blog ini, bukan karena malas tapi karena belum sempat, dan saat tulisan ini dibuat, sebetulnya saya sedang sedikit “bad mood” untuk posting karena banyaknya kesibukan tapi karena dikantor sedang “musim” terserang virus ini (agak terlambat juga, karena serangan virus ramnit ini kalau tidak salah sudah ada sekitar awal Januari 2011) , daripada bolak-balik menceritakan apa atau bagaimana atau cara hapusnya … ada baiknya diposting saja. Let’s begin the class….

Ok, kenali dulu ciri-ciri komputer yang terjangkit virus ramnit ini, diantaranya :

  • Muncul file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” dan folder RECYCLER di  Flashdisk
  • Komputer  menunjukkan informasi “Virtual Memory Minimum Too Low” sementara komputer tidak menjalankan banyak aplikasi
  • Pada beberapa komputer Icon Removable media (USB Flash) berubah menjadi icon Folder
  • Pada beberapa komputer User tidak dapat m engakses USB Flash  dengan menampilkan pesan ”Access is denied”
  • Virus ini  menginjeksi file yang mempunyai ekstensi EXE, dll dan HTM/HTML
  • komputer menjadi lambat pastinya…

Keunikan Ramnit ini antara lain adalah jika komputer diinstal ulang maka virus ini akan muncul lagi karena semua hasil infeksi dari virus ini merupakan induk virus.  Virus Ramnit setelah berhasil menginfeksi flashdisk, dalam penularannya  akan langsung membuat folder bernama C:\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft  dikomputer korbannya, lalu membuat backup file didalam Folder System Volume Information dan Recycle pada setiap Harddrive, menginfeksi  data berekstensi EXE, dll dan HTM/HTML sehingga jika kita menginstal ulang komputer maka backup virus yang ada di System Volume Information dan Recycle setiap Harddrive akan kembali menginfeksi dan membuat file watermark.exe didalam :\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft… Setelah W32/Ramnit berhasil menginfeksi komputer ia juga akan mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon] kemudian memanggil file induk lainnya yang ditugaskan untuk aktif di memori, memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe].. Wow, kita harus mengakui ini adalah tehnik yang smart dalam menjaga kelangsungan hidup sang virus.  TOP deh… salut.. salut.. saat ini sudah banyak antivirus yang berhasil mendeteksi keberadaannya tapi terkadang belum bisa melakukan pembersihan secara maksimal, karena menyerang file EXE, DLL dan HTM/HTML maka metode pembersihan terbaik adalah melalui mode DOS.

Ada beberapa pengalaman berbeda dalam penghapusan virus ini, “berbeda” karena saat ini telah banyak muncul variannya seperti :  Ramnit.A.dropper, Ramnit.B.dropper,   Ramnit.C.dropper dan seterusnya hingga Ramnit.Y.dropper (mungkin akan terus berkembang)

Ok, diantara cara penghapusan yang pernah dilakukan :

– Dengan cara menghapus Watermark.exe :

  1. Matikan system restore, putuskan sementara koneksi internet
  2. Buka Task Manager (Ctrl+Alt+Del)
  3. Pada Tab Process cari svchost.exe yang usernamenya bukan LOCAL SERVICE, SYSTEM atau NETWORK SERVICE. melainkan nama komputer (biasanya terdapat 2 process, klik End Process.
  4. Buka START pilih RUN (Win+R) ketik cmd tekan enter
  5. Ketik: CD..  tekan enter, ketik lagi CD.. enter lagi hingga pada Command Prompt hanya terlihat “C:/” saja.
  6. Ketik: cd program files/microsoft tekan enter
  7. Ketik: del WaterMark.exe /a /s tekan enter
  8. Ketik: md watermark.exe tekan enter.
  9. Ketik: cd watermark.exe tekan enter
  10. Ketik: md con\\tekan enter lalu Restart windows
  11. Setelah masuk windows buka START – RUN (Win+R) ketik: regedit tekan enter
  12. Buka di [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], cari Userinit Klik 2 kali Userinit. lihat value Data nya c:\windows\system32\userinit.exe, c:\program files\microsoft\WaterMark.exe ganti denganc:\windows\system32\userinit.exe

Proses diatas tujuannya adalah dengan melalui mode DOS menghapus file watermark.exe  menjadi folder watermark.exe sehingga kita dapat memutuskan eksekusi proses virus tersebut.

Selanjutnya untuk pembersihan virus, restart komputer dan scan komputer dengan antivirus. Ada baiknya uninstal dulu antivirus terdahulu karena ada kemungkinan telah terinfeksi, lalu instal lagi antivirus yang terbaru (terupdate). beberapa yang pernah saya coba adalah menggunakan avira, kaspersky, Norman malware cleaner atau boleh juga dengan smadav terbaru.

– Pengalaman lain penghapusan virus ini untuk komputer yang telah benar-benar parah adalah :

Jika anda memutuskan untuk melakukan instal ulang karena file-file berekstensi EXE telah banyak terinfeksi apalagi jika yang tertular kebanyakan adalah instalan driver komputer, maka dari pada menginstal ulang driver-driver  tersebut untuk menghemat waktu baiknya instal ulang saja… nah, agar setelah komputer selesai instal ulang dan tidak kembali tertular maka sebelum instal ulang lakukan dulu beberapa hal dibawah :

  1. Download dulu PCMAV Express for Ramnit (googling aja) dari koputer yang bersih simpan di flashdisk
  2. Matikan system restore, putuskan sementara koneksi internet
  3. Restart komputer dan masuk ke safe mode (F8)
  4. Colok flashdisk dan jalankan RamnitKiller dari PCMAV yang sudah anda download tadi.. tool tersebut adalah program portable sehingga tidak perlu diinstal, tunggu proses pembersihan sampai benar-benar selesai… (jika kurang yakin ulangi sekali lagi karena proses pembersihan sudah tergolong cepat)
  5. Silakan instal ulang windows anda tetapi jangan langsung menginstal driver
  6. Restart komputer dan masuk safe mode lagi, colok flashdisk dan jalankan RamnitKiller sekali lagi.. (terkadang masih ditemukan adanya induk virus yang masih aktif di drive selain c)
  7. kalau sudah silahkan restart komputer, baru instalkan driver.
  8. selesai.

Beberapa referensi lain, adalah dengan cara:

  • Dengan cara menggunakan Hiren Boot Mini XP (googling aja) lalu scan dengan RamnitKiller dari PCMAV
  • Dengan cara menggunakan Dr Web Live CD yang baru (proses scaningnya agak lama)
  • Dengan cara mencabut hardisk yang terinfeksi virus ramnit kemudian menggandengnya dengan komputer yang bersih (tentunya autorunnya dimatikan dulu) lalu scan menggunakan Bitdefender Internet Security 2010
  • Dengan cara menggunakan Malware Script VB Dropper Remover (harus sudah terinstal program Java)
  • Dengan cara menggunakan CHANET SPLITTER II (hanya untuk menghentikan process ramnit dan memperbaiki file HTM/HTML yang di injeksi oleh Ramnit)
  • Dengan cara menggunakan Norman Ramnit Cleaner atau Norman Malware Cleaner
  • Sesudahnya sangat disarankan untuk instal security patch Windows (MS10-046 KB2286198)

Dari yang pernah saya alami dalam pembersihan ramnit ini, kebanyakan tehnik yang digunakan untuk hasil terbaik adalah dengan cara instal ulang diatas, karena file-file berekstensi EXE telah banyak terinfeksi apalagi jika yang tertular kebanyakan adalah instalan driver komputer..

Ok, begitu saja, semoga bermanfaat….

Salam…

12 responses

  1. Ping-balik: Virus W32 / Ramnit – Copy of Shortcut + Recycler «

  2. Terimakasih Om. moga2 saja bisa selesai dengan baik….

    Agustus 21, 2011 pukul 8:35 am

  3. Alhamdulillah yaa… makasih tipsnya sesuatu banget.

    September 21, 2011 pukul 6:01 am

    • wuih… komennya juga sesuatu banget.. subhanallah yaa…

      September 27, 2011 pukul 12:40 am

  4. Ping-balik: Software pencari text dalam banyak file | andriaegisaputra

  5. Ping-balik: Virus W32 / Ramnit – Copy of Shortcut + Recycler « andriaegisaputra

  6. Cah ndeso

    Matur suwun sanget,sangat membantu saya…kompie ku sekarang aman…..

    Desember 30, 2011 pukul 4:27 am

  7. Numpang lewat,
    Go Opensource linux mode ON

    Januari 3, 2012 pukul 2:11 am

  8. doel

    pinter euy…thanks boss

    Maret 9, 2012 pukul 10:53 am

  9. nice nice…thnks for the way

    Agustus 9, 2012 pukul 4:55 pm

  10. Black Man

    Saya nggak teliti bacanya… dengan membaca berulanng2 post ini, akhirnya ngerti juga saya… hehehehe… biasa lah kalo masih newbie kayak saya mah… btw, nice post man… really helpful…

    September 26, 2012 pukul 3:21 pm

  11. Abigail

    Uhui, sip dah

    Oktober 8, 2012 pukul 9:50 pm

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s