Trojan.AutoRun.A atau amvo.exe
Pesan error disebelah ini selalu muncul di komputer Windows XP SP2 milik teman saya yang “chatingcholic” š …Ā Kerusakan sistem memang tidak begitu terasa selain pesan error yang sangat menggangu tersebut.Ā Hmm.. kenapa antivirus tidak bisa mendeteksinya sebagai virus… hayyaaahh… ternyata antivirusĀ dikomputernya sudah tidak aktif alias tidak jalan ketika starup windows.. hehehe… pantas.. jangan salahkan virusnya.
Karena sudah terlanjur kena, tidak ada gunanya menyalahkan teman saya yang alpa memeriksa antivirusnya,Ā lebih baik kita cari solusinya saja…
Ok, seperti biasa … pengenalan dulu.. Trojan.AutoRun.A atau amvo.exe adalah Trojan yang membuat file AUTORUN.INF secara otomatis ketika hard drive utama diakses, sehingga ketika membuka drive C, D, E di My Computer tidak terbuka normal dengan menampilkan pesan bahwa pada drive, Windows tidak dapat menemukan xn1i9x.com.Ā Error lain yang mungkin muncul ketika terjadi adalah :
n1deiect.com, ntde1ect.com, nudeiect.com, ntdelect.com, nideiect.com, ek.com, d.com, usdeiect.com, 80avp08.com, dosocom.com, xfoolavp.com atau uxdeiect.com
Pesan error yang mungkin ditampilkan antara lain :
Avpo.exe Application Error
Amvo.exe Application Error
Kavo.exe Application Error
Trojan ini menyembunyikan induknya dan men-disable fungsi “Show hidden files and folders”. Menghapus induk trojan ini sedikit sulit karena Trojan menambahkan registri yang berjalan otomatis load ketika booting, berikut baris perintah yang terdapat dalam AUTORUN.INF :
[AutoRun]
open=xn1i9x.com
;shell\open=Open(&O)
shell\open\Command=xn1i9x.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=xn1i9x.com
Dalam aksinya trojan ini juga membuat files.dllĀ dengan nama : amvo0.dll, gnsmo.dll, amvo1.dll, avp0.dll, taso0.dll, kavo0.dll, kavo1.dll. serta membuat file.exe dengan nama : amvo.exe, avpo.exe, avp0.exe, kavo.exe, semo2x.exe.
Langkah pembersihan yang dilakukan adalah mencari proses yang berjalan ketika starup dengan menggunakan tools Hijackthis (ambil disini)… singkat saja, didapatlah nama dibawah ini :
O4 – HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
Dengan petunjuk diatas maka untuk membersihkan :
- Buka task manager (ctrl+alt+del) cari file amvo.exe pada pada process tab dan klik āend processā.
- Buka start–> Run ketik msconfig.
- Pada startup tab. buang centang amvo.exe -> apply -> ok — jika anda diminta restart, abaikan dengan klik “Exit Without Restart”
- Buka start–> Run ketik regedit
- Klik menu Edit -> findā¦> ketik amvo.exe -> klik find dan delete registry yang ditemukan oleh hasilpencarian. ulangi hingga tidak ditemukan lagi.
- Untuk menampilkan file tersembunyi, buka My computer -> klik tab tools pilih folder options -> klik tab view -> pilih opsi āshow hidden files and foldersā dan buang centang pada:
āHide extensions for known file typesā
āHide protected Operating system filesā
- Buka my computer\Local Disk c:\windows\system32 dan hapus file berikut:
* amvo.exe
* amvo0.dll
* amvo1.dll
- Cari di setiap drive lalu delete file autorun.inf
- Restart windows anda.
- Selesai …
Jangan lupa mengembalikan setting folder option ke pengaturan semula :
buka My computer -> klik tab tools pilih folder options -> klik tab view -> pilih opsi āDo not show hidden files and foldersā dan beri centang pada: āHide extensions for known file typesā danĀ āHide protected Operating system filesā
Sedikit tambahan, dari googling tentang amvo.exe, ada tool gratis āAmvo Variantsā yang dapat menghapus trojan ini secara otomatis, namun saya sendiri belum pernah mencobanya… jika anda berminat bisa ambil disini
Segitu saja, semoga bermanfaat …
Salam…
Menghapus W32/Buzus.BDHC Trojan
Seharusnya ketika hujan sore sore paling enak minum kopi plus pisang goreng.. tapi hujan sore kali ini terpaksa saya minum kopi sambil membersihkan trojan… hmmm..
Kali ini yang menjadi bintang tamu adalah W32/Buzus.BDHC Trojan, seperti halnya Win32.IRCBot worm (baca posting terdahulu)Ā yang selalu membuat antivirus avira menjerit-jerit karena permintaan delete/ quarantine selalu muncul. š
Dideteksi oleh antivirus sebagai :
Antivirus | Version | Name |
a-squared | 4.0.0.26 | Virus.Trojan.Win32.Buzus.zzi!IK |
AntiVir | 7.9.0.35 | TR/Dropper.Gen |
AVAST! | 3.0.1 | Win32:Trojan-gen {Other} |
BitDefender | 7.81008.2252442 | Trojan.AgentMB.ZVTS150316 |
Dr.Web | 4.44.0.9170 | Win32.HLLW.Autoruner.3009 |
ewido | 4.0.0.2 | Trojan.Buzus.shq |
F-Secure | 5.51.6100 | Trojan.Win32.Buzus.acvw [AVP] |
Kaspersky | 5.5.10 | Trojan.Win32.Buzus.acvw |
Trend Micro | 8.700-1004 | TROJ_BUZUS.NY |
Tak kenal maka tak sayang, mari kita berkenalan dulu,
Trojan W32/Buzus.BDHC ini mempunyai banyak nama yaitu diantaranya : Trojan.Win32.Buzus.hc,Trojan.Win32.Buzus.adrc, Trojan.Win32.Buzus.aebi,Trojan.Win32.Buzus.828416,Trojan.Win32.StartPage.cyu,Trojan.Win32.Buzus.acxp, Trojan.Win32.Buzus.adyf, trojan.win32.buzus.aanr, Trojan.Win32.Buzus.pe, Trojan.Win32.Buzus.51712.E,Trojan.Win32.Buzus.69632.K,Trojan.Win32.Crypt.5632,
Trojan.Win32.Buzus.aa,Trojan.Win32.Buzus.322076,Trojan.Win32.Buzus.27648.L, Trojan.Win32.Buzus.46461,Trojan.Win32.Buzus.aebj,Trojan.Win32.CDur.hp, Trojan.Win32.Buzus.hrp
Termasuk trojan serakah, namanya diborong semua š !!! ..
Indikasi infeksi:
- Hasil mesin pencarian dan browser halaman utama diarahkan ke situs palsu.
- Hilang ikon desktop, mengubah wallpaper dan pengaturan desktop.
- Proses tidak dikenal oleh Win32.Buzus.ym berjalan di Windows TaskManager, tidak bisa dihentikan.
- Trojan.Win32.Buzus sulit dibersihkan oleh antivirus, selalu muncul setiap kali dihapus ketika booting.
- Mengurangi kinerja komputer, sistem lamban pada startup dan reboot.
- Popup blocker tidak mampu menghentikan situs porno, kasino dan situs dewasa lain.
Perilaku Trojan.Win32.Buzus :
- Melakukan pemeriksaan sistem registry, menciptakan pop-up ketika aktivitas browsing.
- Menonaktifkan firewall, anti virus dan utility keamanan lainnya.
- Menginfeksi komputer melalui lubang keamanan, mendownload dan menginstal berbagai file dari remote server.
Bagaimana W32/Buzus.BDHC Trojan mampu menyusup dan menginfeksi PC Anda?
1. P2P (Peer-to-Peer) Jaringan
Jaringan P2P telah menjadi semakin populer selama bertahun-tahun, sehingga memiliki resiko terkait dengan penggunaan jaringan. Ketika anda menginstal sebuah aplikasi P2P atau mendownload file dari jaringan P2P, spyware akan dibundel dengan file dan software.
2. Sofware Freeware dan Shareware
Banyak aplikasi Freeware dan Shareware atau bajakan yang dibundel dengan spyware ?? ( anda pasti mengerti maksud saya š )
3. Website Jahat
Tidak semua situs web tidak bersalah. Bahkan, ada yang khusus dirancang dengan maksud jahat. Jika Anda mengunjungi salah satu situs jahat ini, maka secara otomatis menginstal spyware pada hardrive tanpa sepengetahuan atau persetujuan Anda.
Sudah cukup perkenalan-nya, sekarang cara pembersihan…
Terkadang antivirus tidak bisa menghapus permanen trojan ini dan hanya memunculkan kotak peringatan untuk melakukan penghapusan atau quarantine tetapi setelah reboot akan kembali hadir, maka disini kita akan melakukan penghapusan secara manual dulu… ok?, kita coba…
Download dulu senjata anda disini (file ini berisiĀ Killbox, EnableRegistry.reg, UnHookExec.inf dan Registry Enabler) letakkan hasil download di desktop, maksudnya biar mudah mencarinya ketika anda telah masuk ke dalam SAFE MODE.
Lakukan penghapusan melalui SAFE MODE (Restart komputer, tekan F8 berulang ulang, pilih Safe mode, tekan enter)
Matikan Proses yang Aktive sebelum penghapusan
Buka hasil download anda, gunakan killbox atau dengan TaskManager, jika TaskManager didisable maka gunakan Enable Registry.reg dengan cara klik kanan – instal – pilih Yes/Ok.
–Ā Ā Matikan proses dengan nama rundm.exe dan oute.exe
Jika kedua proses diatas tidak terdapat pada list proses, maka teruskan pada tahap berikutnya.
Penghapusan Registry yang dibuat virus
Klik Start, pilih Run, ketikkan: regedit, Enter
Jika Registry Editor tidak bisa terbuka maka buka hasil download anda, gunakan UnHookExec.inf – klik kanan – instal – pilih Yes/Ok. (karena filenya kecil, maka tidak akan menampilkan pemberitahuan atau kotak bila Anda menjalankannya)
W32/Buzus.BDHC Trojan memodifikasi registry pada lokasi-lokasi berikut untuk menjalankan eksekusi run otomatis di setiap sistem Startup karena itu hapus /klik kanan pada entri dan pilih delete pada :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
(Catatan : XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX berisi angka yang berbeda pada setiap komputer)
Exit Registry Editor,
Restart Komputer
————
Setelah komputer anda selesai startup ada kemungkinan beberapa aplikasi yang aktif pada startup tidak berjalan, karenanya instal ulang aplikasi penting seperti antivirus… Update dan lakukan scan dengan antivirus anda yang telah terupdate tersebut… pada kasus saya, antivirus (avira) akan dapat menghapus trojan tersebut secara permanen karena string pada registry yang dihapus diatas tidak lagi menjalankan eksekusi otomatis pembuat runtime proses trojan. Jika ditemukan alert virus dalam proses scan tersebut maka delete saja, kemudian setelah selesai, reboot … maka komputer anda telah terbebas dari W32/Buzus.BDHC Trojan ini..
“Habiskan sisa kopi anda, tarik nafas dan bersyukurlah….”
Begitu saja, Terimakasih telah membaca dan semoga bermanfaat.
Salam . . .
Komentar baru