In a few words

Posts tagged “Removal

Menghapus malware Antivirus 2009, Antivirus Security dan AntiMalware 2009

Sebetulnya malware Antivirus 2009, Antivirus Security dan AntiMalware 2009 ini telah lama ada sekitar pertengahan tahun 2009 dan sempat  menginfeksi banyak komputer yang terhubung internet. Namun diblog ini baru saya tuliskan untuk  memenuhi permintaan seorang teman sekaligus  sebagai sebuah catatan dan siapa tahu akan dapat bermanfaat.

Berikut catatan review tentang malware Antivirus 2009, Antivirus Security dan AntiMalware 2009 dengan cara penghapusannya secara manual :

Antivirus 2009

merupakan anti-spyware palsu yang keliru diinstal karena mengunjungi situs menyesatkan yang mencoba untuk meyakinkan Anda bahwa komputer Anda terinfeksi. Setelah instalasi, Antivirus 2009 menawarkan untuk memindai PC Anda, kemudian menampilkan hasil daftar infeksi palsu yang dapat dihapus dari komputer Anda setelah Anda membeli software Antivirus 2009.
Selain itu, Antivirus 2009 dapat membajak browser anda dengan menginstal objek bantu browser yang menampilkan pesan palsu melalui Internet Explorer.

Menghapus Antivirus 2009 secara Manual :

1. tekan Ctrl + Alt + Del lalu cari dan hentikan processes pada :

  • av2009.exe
  • AV2009Install.exe
  • Antivirus2009.exe

2. Hapus file dibawah ini :

  • %UserProfile%\Desktop\Antivirus 2009.lnk
  • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
  • %UserProfile%\Local Settings\Temporary Internet Files\Content.IE5\S96PZM7V\winsrc[1].dll
  • %UserProfile%\Start Menu\Antivirus 2009
  • %UserProfile%\Start Menu\Antivirus 2009\Antivirus 2009.lnk
  • %UserProfile%\Start Menu\Antivirus 2009\Uninstall Antivirus 2009.lnk
  • c:\Program Files\Antivirus 2009
  • c:\Program Files\Antivirus 2009\av2009.exe
  • c:\WINDOWS\system32\ieupdates.exe
  • c:\WINDOWS\system32\scui.cpl
  • c:\WINDOWS\system32\winsrc.dll

3. Klik Start > Run, ketikkan: regedit, cari dan hapus entri registry:

  • HKEY_CURRENT_USER\Software\75319611769193918898704537500611
  • HKEY_CLASSES_ROOT\CLSID\{037C7B8A-151A-49E6-BAED-CC05FCB50328}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Browser Helper Objects\  {037C7B8A-151A-49E6-BAED-CC05FCB50328}
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run “75319611769193918898704537500611”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run “ieupdate”

=========================================================

Antivirus Security

Merupakan rogue anti-spyware (palsu). Seringkali datang dari popup iklan di situs yang berpura-pura menjadi anti malware scanner online , pengunjung  mendapat peringatan keamanan palsu yang mengatakan bahwa komputer telah terinfeksi dan Anda harus men-download serta menginstal Antivirus untuk memperbaikinya,  jika pengunjung memutuskan untuk  men-download dan menginstal software, aplikasi ini akan melakukan scaning komputer, meringkas dan mendaftar segala macam resiko keamanan yang tidak dapat dihapus, kecuali jika Anda melanjutkan untuk membeli program.

Menghapus Antivirus Security secara Manual :

1. Hapus files dibawah ini :

  • %UserProfile%\Desktop\Antivirus Security.lnk
  • %UserProfile%\Start Menu\Antivirus Security
  • %UserProfile%\Start Menu\Antivirus Security\Antivirus Security.lnk
  • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Security.lnk
  • c:\WINDOWS\system32\scui.cpl

2. klik  Start > Run, ketikkan: regedit cari dan hapus entri registry:

  • HKEY_CURRENT_USER\Software\ 9178374C66E059CC11C19DCD899FD538
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Uninstall\AV9

=========================================================

AntiMalware 2009

Dikenal sebagai  program anti spyware palsu. Dalam kebanyakan kasus, AntiMalware 2009 diiklankan melalui iklan pop up yang ditampilkan pada saat berkunjung ke situs web tertentu. Iklan pop up yang menyatakan bahwa komputer Anda terinfeksi dan ketika Anda klik pada tombol baik dalam bentuk pop up, Anda akan diarahkan ke halaman pemindai anti malware.

Scanner palsu ini akanberpura-pura men-scan komputer Anda. Setelah mesin scanner selesai,  kemudian menyatakan bahwa komputer Anda terinfeksi lalu menyarankan agar mendownload AntiMalware 2009 untuk membersihkan dan memperbaiki komputer Anda. Setelah AntiMalware2009 telah diinstal pada PC Anda, ia akan jalankan secara otomatis pada startup, melanjutkan untuk men-scan komputer Anda dan menampilkan daftar infeksi palsu.  Program ini akan menyatakan bahwa  infeksi ini tidak dapat dihapus kecuali jika Anda membeli lisensi software. AntiMalware 2009 akan menginfeksi Internet Explorer yang mengatakan bahwa halaman telah diblokir karena aktivitas malware. Selain itu, komputer Anda akan berjalan lebih lambat dari biasanya.

Menghapus AntiMalware 2009 secara Manual :

1. Tekan Ctrl+Alt+Del lalu cari dan hentikan processes : thcrkrj0etfg.exe
2. Klik Start > Run ketikkan : regedit, tekan Enter
3. Hapus registry keys:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Uninstall\thcrkrj0etfg
  • HKEY_LOCAL_MACHINE\SOFTWARE\thcrkrj0etfg
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Internet Settings\User Agent\Post Platform “AntiMalware2009”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run “SMthcrkrj0etfg”

4.  Klik Start > Run ketikkan cmd tekan Enter
5.  Dari the command window, ketikkan cd /Program Files/thcrkrj0etfg
6. Kemudian, ketikkan command dibawah ini, tekan enter setelah setiap entry:

  • regsvr32 /u MFC71.dll
  • regsvr32 /u MFC71ENU.DLL
  • regsvr32 /u msvcp71.dll
  • regsvr32 /u msvcr71.dll

7. Cari dan hapus file-file berikut :

  • c:\Program Files\thcrkrj0etfg
  • c:\Program Files\thcrkrj0etfg\database.dat
  • c:\Program Files\thcrkrj0etfg\license.txt
  • c:\Program Files\thcrkrj0etfg\MFC71.dll
  • c:\Program Files\thcrkrj0etfg\MFC71ENU.DLL
  • c:\Program Files\thcrkrj0etfg\msvcp71.dll
  • c:\Program Files\thcrkrj0etfg\msvcr71.dll
  • c:\Program Files\thcrkrj0etfg\thcrkrj0etfg.exe
  • c:\Program Files\thcrkrj0etfg\thcrkrj0etfg.exe.local
  • c:\Program Files\thcrkrj0etfg\uninstall.exe
  • c:\WINDOWS\system32\pphcjkrj0etfg.exe
  • c:\Documents and Settings\All Users\Desktop\AntiMalware2009.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware2009
  • c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware2009.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware2009\AntiMalware2009.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware2009\How to Register AntiMalware2009.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware2009\License Agreement.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\AntiMalware2009\Register AntiMalware2009.lnk
  • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiMalware2009.lnk %UserProfile%\Application Data \thcrkrj0etfg
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun\HKCU
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun \HKCU\RunOnce
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun\HKLM
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun\HKLM\RunOnce
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun\StartMenuAllUsers
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Autorun\StartMenuCurrentUser
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\BrowserObjects
  • %UserProfile%\Application Data\thcrkrj0etfg\Quarantine\Packages

=========================================================

Untuk pembersihan total, baiknya lakukan langkah diatas pada safe mode, dan setelah selesai restart komputer lalu lakukan scan ulang dengan anti virus / antimalware yang telah terupdate.  Pada  beberapa komputer terinfeksi, saya melakukan pembersihan dengan Norman Malware Cleaner yang dapat anda download secara gratis dari sini

Demikian, semoga bermanfaat

Salam . . .


Menghapus W32/Buzus.BDHC Trojan

Buzus TrojanSeharusnya ketika hujan sore sore paling enak minum kopi plus pisang goreng.. tapi hujan sore kali ini terpaksa saya minum kopi sambil membersihkan trojan… hmmm..

Kali ini yang menjadi bintang tamu adalah W32/Buzus.BDHC Trojan, seperti halnya Win32.IRCBot worm (baca posting terdahulu)  yang selalu membuat antivirus avira menjerit-jerit karena permintaan delete/ quarantine selalu muncul. 😀

Dideteksi oleh antivirus sebagai :

Antivirus Version Name
a-squared 4.0.0.26 Virus.Trojan.Win32.Buzus.zzi!IK
AntiVir 7.9.0.35 TR/Dropper.Gen
AVAST! 3.0.1 Win32:Trojan-gen {Other}
BitDefender 7.81008.2252442 Trojan.AgentMB.ZVTS150316
Dr.Web 4.44.0.9170 Win32.HLLW.Autoruner.3009
ewido 4.0.0.2 Trojan.Buzus.shq
F-Secure 5.51.6100 Trojan.Win32.Buzus.acvw [AVP]
Kaspersky 5.5.10 Trojan.Win32.Buzus.acvw
Trend Micro 8.700-1004 TROJ_BUZUS.NY

Tak kenal maka tak sayang, mari kita berkenalan dulu,

Trojan W32/Buzus.BDHC ini mempunyai banyak nama yaitu diantaranya : Trojan.Win32.Buzus.hc,Trojan.Win32.Buzus.adrc, Trojan.Win32.Buzus.aebi,Trojan.Win32.Buzus.828416,Trojan.Win32.StartPage.cyu,Trojan.Win32.Buzus.acxp, Trojan.Win32.Buzus.adyf, trojan.win32.buzus.aanr, Trojan.Win32.Buzus.pe, Trojan.Win32.Buzus.51712.E,Trojan.Win32.Buzus.69632.K,Trojan.Win32.Crypt.5632,

Trojan.Win32.Buzus.aa,Trojan.Win32.Buzus.322076,Trojan.Win32.Buzus.27648.L, Trojan.Win32.Buzus.46461,Trojan.Win32.Buzus.aebj,Trojan.Win32.CDur.hp, Trojan.Win32.Buzus.hrp

Termasuk trojan serakah, namanya diborong semua 😀 !!! ..

Indikasi infeksi:

  • Hasil mesin pencarian dan browser halaman utama diarahkan ke situs palsu.
  • Hilang ikon desktop, mengubah wallpaper dan pengaturan desktop.
  • Proses tidak dikenal oleh Win32.Buzus.ym berjalan di Windows TaskManager, tidak bisa dihentikan.
  • Trojan.Win32.Buzus sulit dibersihkan oleh antivirus, selalu muncul setiap kali dihapus ketika booting.
  • Mengurangi kinerja komputer, sistem lamban pada startup dan reboot.
  • Popup blocker tidak mampu menghentikan situs porno, kasino dan situs dewasa lain.

Perilaku Trojan.Win32.Buzus :

  • Melakukan pemeriksaan sistem registry, menciptakan pop-up ketika aktivitas browsing.
  • Menonaktifkan firewall, anti virus dan utility keamanan lainnya.
  • Menginfeksi komputer melalui lubang keamanan, mendownload dan menginstal berbagai file dari remote server.

Bagaimana W32/Buzus.BDHC Trojan mampu menyusup dan menginfeksi PC Anda?

1. P2P (Peer-to-Peer) Jaringan

Jaringan P2P telah menjadi semakin populer selama bertahun-tahun, sehingga memiliki resiko terkait dengan penggunaan jaringan. Ketika anda menginstal sebuah aplikasi P2P atau mendownload file dari jaringan P2P, spyware akan dibundel dengan file dan software.

2. Sofware Freeware dan Shareware

Banyak aplikasi Freeware dan Shareware atau bajakan yang dibundel dengan spyware ?? ( anda pasti mengerti maksud saya 😀 )

3. Website Jahat

Tidak semua situs web tidak bersalah. Bahkan, ada yang khusus dirancang dengan maksud jahat. Jika Anda mengunjungi salah satu situs jahat ini, maka secara otomatis menginstal spyware pada hardrive tanpa sepengetahuan atau persetujuan Anda.

Sudah cukup perkenalan-nya, sekarang cara pembersihan…

Terkadang antivirus tidak bisa menghapus permanen trojan ini dan hanya memunculkan kotak peringatan untuk melakukan penghapusan atau quarantine tetapi setelah reboot akan kembali hadir, maka disini kita akan melakukan penghapusan secara manual dulu… ok?, kita coba…

Download dulu senjata anda disini (file ini berisi  Killbox, EnableRegistry.reg, UnHookExec.inf dan Registry Enabler) letakkan hasil download di desktop, maksudnya biar mudah mencarinya ketika anda telah masuk ke dalam SAFE MODE.

Lakukan penghapusan melalui SAFE MODE (Restart komputer, tekan F8 berulang ulang, pilih Safe mode, tekan enter)

Matikan Proses yang Aktive sebelum penghapusan

Buka hasil download anda, gunakan killbox atau dengan TaskManager, jika TaskManager didisable maka gunakan Enable Registry.reg dengan cara klik kanan – instal – pilih Yes/Ok.

–   Matikan proses dengan nama rundm.exe dan oute.exe

Jika kedua proses diatas tidak terdapat pada list proses, maka teruskan pada tahap berikutnya.

Penghapusan Registry yang dibuat virus

Klik Start, pilih Run, ketikkan: regedit, Enter

Jika Registry Editor tidak bisa terbuka maka buka hasil download anda, gunakan UnHookExec.inf – klik kanan – instal – pilih Yes/Ok. (karena filenya kecil, maka tidak akan menampilkan pemberitahuan atau kotak bila Anda menjalankannya)

W32/Buzus.BDHC Trojan memodifikasi registry pada lokasi-lokasi berikut untuk menjalankan eksekusi run otomatis di setiap sistem Startup karena itu hapus /klik kanan pada entri dan pilih delete pada :

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

(Catatan : XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX berisi angka yang berbeda pada setiap komputer)

Exit Registry Editor,

Restart Komputer

————

Setelah komputer anda selesai startup ada kemungkinan beberapa aplikasi yang aktif pada startup tidak berjalan, karenanya instal ulang aplikasi penting seperti antivirus… Update dan lakukan scan dengan antivirus anda yang telah terupdate tersebut… pada kasus saya, antivirus (avira) akan dapat menghapus trojan tersebut secara permanen karena string pada registry yang dihapus diatas tidak lagi menjalankan eksekusi otomatis pembuat runtime proses trojan. Jika ditemukan alert virus dalam proses scan tersebut maka delete saja, kemudian setelah selesai, reboot … maka komputer anda telah terbebas dari W32/Buzus.BDHC Trojan ini..

“Habiskan sisa kopi anda, tarik nafas dan bersyukurlah….”

Begitu saja, Terimakasih telah membaca dan semoga bermanfaat.

Salam . . .

signature Transblog


Win32.IRCBot worm atau Backdoor.Win32.IRCBot.gen Alias Worm Win32/Pushbot.BD

win32IRCBootSeorang teman menitipkan sebuah laptop dengan dilampiri secarik kertas warna biru berisi catatan “tolong… kalo lagi sempet, ada virus yang selalu muncul dideteksi oleh antivirus saya, tetapi setelah dihapus selalu muncul kembali.. Trims. XXXX

Ketika laptop dihidupkan, windows berjalan normal, semua fasilitas windows seperti Run, CMD, TaskManager, Search, Regedit, dll dapat berjalan normal.. semua aplikasi seperti office, adobe photoshop, notepad juga lancar lancar saja.. pendek kata tidak ada yang salah dengan window ini… tetapi beberapa saat kemudian mulailah muncul peringatan peringatan dari antivirus avira yang terinstal dalam laptop tersebut. Benar, sesuai isi pesan bahwa penghapusan dapat dilakukan tetapi kemudian peringatan antivirus selalu muncul kembali.

Memang windows normal untuk dijalankan, tetapi jika selalu muncul peringatan terus menerus dari antivirus  tentu akan terasa sangat mengganggu bukan?

Kemudian saya coba melihat sebenarnya proses apa yang selalu berulang dihapus oleh antivirus tersebut … disana tertulis “worm Win32.IRCBot”

Hmmm…mari kita sama-sama pahami sebentar, …

Win32.IRCBot worm juga dikenal sebagai Backdoor.Win32.IRCBot.gen atau Worm Win32/Pushbot.BD

Worm Win32/Pushbot.BD adalah worm yang menyebar melalui MSN Messenger dan AIM yang berisi backdoor untuk mengontrol komputer yang tertular, perubahan sistem berikut ini menunjukkan kemungkinan adanya Worm: Win32/Pushbot.BD pada komputer:

Terdapat file :% windir% \ svchost.exe
Memodifikasi registri berikut:
*    Menambah nilai: “Windows Internet Manager”
*    Dengan data: “svchost.exe”
* pada subkunci: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \

Menyebar melalui MSN Messenger dan AIM
Menggunakan fungsi backdoor, Worm: Win32/Pushbot.BD dapat menyebar via Yahoo Messenger dan AIM dengan mengirimkan pesan ke semua kontak pengguna yang komputernya terinfeksi. Pesan ini disediakan oleh controller melalui IRC backdoor,yang menunjuk ke sebuah salinan dari worm executable pada domain ‘www.mymsnpics.net’, dengan Payload Fungsi backdoor: Port 20.733 yang setelah terinstal worm menghubungkan ke IRC server ‘msn.sandboxanddie.info’ pada port 20.733 dan menunggu instruksi. Menggunakan backdoor, remote penyerang dapat melakukan sejumlah tindakan seperti :

* Menyebar via Yahoo Messenger atau AIM
* Update database virus sendiri
* Download dan mengeksekusi arbitrary files

Ok, kita coba mulai langkah pembersihan………

Berikut langkah pembersihan yang saya lakukan dengan menggunakan Kaspersky virus removal tool dapat anda download disini.   Tools ini bersifat freeware alias gratisan dari vendor antivirus Kaspersky® lab.

KISTools

  • Instalkan tools tersebut dan jangan membuat perubahan apapun untuk pengaturan default ketika program telah selesai menginstal
  • Pilih My Computer. Klik tombol Scan. Prosedur scan ini dapat memakan waktu, jadi bersabarlah hingga proses betul betul selesai.
  • Jika tampil box peringatan adanya infeksi ketika proses scan, maka klick tombol Disinfect atau Delete.
  • Untuk jenis Worm Win32/Pushbot.BD ini, pihak Microsoft merekomendasikan agar mendownload latest Windows definitions update disini, kalau sudah lakukan instal.
  • Lakukan Restart setelah kedua proses tersebut, jika memungkinkan segeralah update antivirus anda lalu lakukan Scan ulang.

Untuk mencegah infeksi pada sistem :
* Aktifkan firewall pada komputer Anda.
* Selalu Update antivirus anda.
* Berhati-hati dengan attachment dan file transfer.

Untuk mengaktifkan Internet Connection Firewall pada Windows XP
1.  Klik Start, dan klik Control Panel.
2.  Klik SNetwork and Internet Connections.
3.  Klik Change Windows Firewall Settings.
4.  Pilih On.
5.  Klik OK.

Untuk mengaktifkan Windows Firewall pada Windows Vista
1.  Klik Start, dan klik Control Panel.
2.  Klik Security.
3.  Klik Turn Windows Firewall on or off.
4.  Pilih On.
5.  Klik OK.

Selalu Update antivirus Anda
Kebanyakan perangkat lunak antivirus terbaru telah dapat mendeteksi dan mencegah infeksi jenis Win32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini. Untuk membantu melindungi Anda dari infeksi, anda harus selalu melakukan update  antivirus karena mencegah lebih baik daripada memperbaiki.

Proses pembersihanWin32.IRCBot worm atau  Backdoor.Win32.IRCBot.gen alias Worm Win32/Pushbot.BD ini bisa saja berbeda pada komputer anda, disini saya hanya ingin berbagi pengalaman. Sebaiknya segitu dulu, karena malam sudah semakin larut dan saya sebagai manusia mempunyai batas kemampuan untuk menahannya… terimakasih sudah menbaca dan semoga bermanfaat.

Salam …

signature Transblog