- Ada file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” dan folder RECYCLER di Flashdisk
- Komputer menunjukkan informasi “Virtual Memory Minimum Too Low” sementara komputer tidak menjalankan banyak aplikasi
- Pada beberapa komputer Icon Removable media (USB Flash) berubah menjadi icon Folder
- Pada beberapa komputer User tidak dapat m engakses USB Flash dengan menampilkan pesan ”Access is denied”
- Virus ini menginjeksi file yang mempunyai ekstensi EXE, dll dan HTM/HTML
- komputer menjadi lambat banget dan memakan kapasias hdd seolah olah penuh.
Yang unik dari virus Ramnit ini antara lain adalah jika komputer diinstal ulang maka virus ini akan muncul lagi karena semua hasil infeksi dari virus ini merupakan induk virus. Virus Ramnit setelah berhasil menginfeksi flashdisk, dalam penularannya akan langsung membuat folder bernama C:\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft dikomputer korbannya, lalu membuat backup file didalam Folder System Volume Information dan Recycle pada setiap Harddrive, menginfeksi data berekstensi EXE, dll dan HTM/HTML sehingga jika kita menginstal ulang komputer maka backup virus yang ada di System Volume Information dan Recycle setiap Harddrive akan kembali menginfeksi dan membuat file watermark.exe didalam :\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft… Setelah W32/Ramnit berhasil menginfeksi komputer ia juga akan mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon] kemudian memanggil file induk lainnya yang ditugaskan untuk aktif di memori, memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe].
Mapping virus ramnit nya begini :
===================================================================================================================
* Operating system: Windows Xp English
* Profile Name: UserName
* Windows directory: C:\WINDOWS
[%APPDATA%] - C:\Documents and Settings\UserName\Application Data\
[%COMMON_APPDATA%] - C:\Documents and Settings\All Users\Application Data\
[%COMMON_DESKTOPDIRECTORY%] - C:\Documents and Settings\All Users\Desktop\
[%COMMON_DOCUMENTS%] - C:\Documents and Settings\All Users\Documents\
[%COMMON_FAVORITES%] - C:\Documents and Settings\All Users\Favorites\
[%COMMON_PROGRAMS%] - C:\Documents and Settings\All Users\Start Menu\Programs\
[%COMMON_STARTMENU%] - C:\Documents and Settings\All Users\Start Menu\
[%COMMON_STARTUP%] - C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
[%COOKIES%] - C:\Documents and Settings\UserName\Cookies\
[%DESKTOPDIRECTORY%] - C:\Documents and Settings\UserName\Desktop\
[%FAVORITES%] - C:\Documents and Settings\UserName\Favorites\
[%FONTS%] - C:\WINDOWS\Fonts\
[%INTERNET_CACHE%] - C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\
%LOCAL_APPDATA%] - C:\Documents and Settings\UserName\Local Settings\Application Data\
[%MYMUSIC%] - C:\Documents and Settings\UserName\My Documents\My Music\
[%MYPICTURES%] - C:\Documents and Settings\UserName\My Documents\My Pictures\
[%MYVIDEO%] - C:\Documents and Settings\UserName\My Documents\My Videos\
[%NETHOOD%] - C:\Documents and Settings\UserName\NetHood\
[%PERSONAL%] - C:\Documents and Settings\UserName\My Documents\
[%PRINTHOOD%] - C:\Documents and Settings\UserName\PrintHood\
[%PROFILE%] - C:\Documents and Settings\UserName\
[%PROFILE_TEMP%] - C:\Documents and Settings\UserName\Local Settings\Temp
[%PROFILEPATH%] - C:\Documents and Settings\UserName\
[%PROGRAM_FILES%] - C:\Program Files\
[%PROGRAM_FILES_COMMON%] - C:\Program Files\Common Files\
[%PROGRAMFILES%] - C:\Program Files\
[%PROGRAMS%] - C:\Documents and Settings\UserName\Start Menu\Programs\
[%RECENT%] - C:\Documents and Settings\UserName\Recent\
[%RESOURCES%] - C:\WINDOWS\resources\
[%SENDTO%] - C:\Documents and Settings\UserName\SendTo\
[%STARTMENU%] - C:\Documents and Settings\UserName\Start Menu\
[%STARTUP%] - C:\Documents and Settings\UserName\Start Menu\Programs\Startup\
[%SYSTEM%] - C:\WINDOWS\system32\
[%USER_RECYCLING_BIN%] - c:\Recycler\S-*
[%WINDOWS%] - C:\WINDOWS\
=======================================================================================================================
Berikut cara manual mengjapus virus ramnit :
- Hapus Watermark.exe :
1. Matikan system restore (klik kanan my computer pilih properti), cabut kabel lan atau koneksi internet
2. Buka Task Manager (Ctrl+Alt+Del)
3. Pada Tab Process cari svchost.exe yang usernamenya bukan LOCAL SERVICE, SYSTEM atau NETWORK SERVICE. melainkan nama komputer (biasanya terdapat 2 process, klik End Process.
4. Buka START pilih RUN (Win+R) ketik cmd tekan enter
5. Ketik: CD\ enter, atau pada c:\ Prompt atau terlihat “C:\>” saja.
6. Ketik: cd program files/microsoft tekan enter
7. Ketik: del WaterMark.exe /a /s tekan enter
8. Ketik: md watermark.exe tekan enter.
9. Ketik: cd watermark.exe tekan enter
10. Ketik: md con\\tekan enter lalu Restart windows
11. Setelah masuk windows buka START – RUN (Win+R) ketik: regedit tekan enter
12. Buka di [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], cari Userinit Klik 2 kali Userinit. lihat value Data nya c:\windows\system32\userinit.exe, c:\program files\microsoft\WaterMark.exe ganti dengan “c:\windows\system32\userinit.exe”
Proses diatas tujuannya adalah dengan melalui mode DOS menghapus file watermark.exe menjadi folder watermark.exe sehingga kita dapat memutuskan eksekusi proses virus tersebut.
Selanjutnya untuk pembersihan virus, restart komputer dan scan komputer dengan antivirus. Ada baiknya uninstal dulu antivirus terdahulu karena ada kemungkinan telah terinfeksi, lalu instal lagi antivirus yang terbaru (terupdate). beberapa yang pernah saya coba adalah menggunakan avira, kaspersky, Norman malware cleaner atau boleh juga dengan smadav terbaru.
Pengalaman lain penghapusan virus ini untuk komputer yang telah benar-benar parah adalah :
Jika anda memutuskan untuk melakukan instal ulang karena file-file berekstensi EXE telah banyak terinfeksi apalagi jika yang tertular kebanyakan adalah drivers computer, maka dari pada menginstal ulang driver-driver tersebut untuk menghemat waktu baiknya instal ulang saja… nah, agar setelah komputer selesai instal ulang dan tidak kembali tertular maka sebelum instal ulang lakukan dulu beberapa hal dibawah :
1. Download dulu PCMAV Express for Ramnitkiller di link ini :
http://www.ziddu.com/download17398920/RamnitKiller.exe.html
2. Matikan system restore, putuskan sementara koneksi internet
3. Restart komputer dan masuk ke safe mode (F8)
4. Colok flashdisk dan jalankan RamnitKiller dari PCMAV yang sudah anda download tadi, tools tersebut adalah program portable sehingga tidak perlu diinstal, tunggu proses pembersihan sampai benar-benar selesai… (jika kurang yakin ulangi sekali lagi karena proses pembersihan sudah tergolong cepat)
5. Silakan instal ulang windows anda tetapi jangan langsung menginstal driver
6. Restart komputer dan masuk safe mode lagi, colok flashdisk dan jalankan RamnitKiller sekali lagi.
7. kalau sudah silahkan restart komputer, baru instalkan driver.
8. selesai.
Beberapa referensi lain, adalah dengan cara:
- Dengan cara menggunakan Dr Web Live CD yang baru (proses scaningnya agak lama)
- Dengan cara mencabut hardisk yang terinfeksi virus ramnit kemudian menggandengnya dengan komputer yang bersih (tentunya autorunnya dimatikan dulu) lalu scan menggunakan Bitdefender Internet Security 2010
- Dengan cara menggunakan Malware Script VB Dropper Remover (harus sudah terinstal program Java)
- Dengan cara menggunakan CHANET SPLITTER II (hanya untuk menghentikan process ramnit dan memperbaiki file HTM/HTML yang di injeksi oleh Ramnit)
- Dengan cara menggunakan Norman Ramnit Cleaner atau Norman Malware Cleaner
- Sesudahnya sangat disarankan untuk instal security patch Windows (MS10-046 KB2286198)
Update Link Dowbload : http://adf.ly/7xIz3
0 comments:
Posting Komentar