Langsung ke konten utama

membersihkan virus ramnit

Ciri-ciri terkena virus ramnit yang paling utama adalah:

1. File WATERMARK.EXE yang menjengkelkan ini ternyata ada di dua tempat yaitu :
- C:\Program Files\Microsoft
- C:\Program Files\Common Files\Microsoft
Dan virus ini akan menyebar menjadi namaacakMGR.exe

2. Virus ini menyerang flashdisk sangat mudah . dia menyiapkan 4 buat dshortcut 1 buah file recycler dan autorun.inf

3. Setiap drive jika terkena virus ini akan terkena pula autorun.inf

Cara kerja virus RAMNIT ini:

1. Virus ini menular melalui FD. Dan walaupun autorun sudah kita matikan. Kita bias saja terkena virus ini

2. Saat kita masuk ke desktop PC atau Laptop kita tanpa kita sadari itu adalah manipulasi dari virus ramnit sendiri. Semua system adalah manipulasi dari ramnit. Biangkeroknya adalah watermark.exe

3. Jika diinstal ulang maka virus ini akan muncul lagi apapun alasannya karena virus ini tidak mempunyai file anak. Jadi semua induk. Cara kerjanya:
- Virus dari fd langsung membuat folder bernama C:\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft
- Dan dia membuat backupan file didalam Folder System Volume Information dan Recycle setiap Harddrive.
- Setelah itu dia menginfeksi semua data dikomputer. Tidak tanggung-tanggung juga. Biar dihapus sama usernya . misalkan di sudah menginfeksi fileku yang ada di D:\aaa\aaa.exe (hanya contoh). Dan folder aaa pun saya hapus
- Lalu kita berpikir jika restart ulang itu bias berhasil. Dan akhirnya memang berhasil. Tetapi jika kita menginstal software aaa.exe td di D:\aaa\ maka virus hasil backupan yang ada di System Volume Information dan Recycle setiap Harddrive akan terbangun dari tidurnya dan kembali menginfeksi virus itu dan dia membuat file watermark lagi didalam :\Program Files\Microsoft dan C:\Program Files\Common Files\Microsoft
CARA 1
Langkah langkah mengatasi virus ini ( tidak mengheal, tapi menanggulangi kerja nih virus )

1. Pastikan udah install software unlocker assisten..
2. Pastikan udah di matiin system restore nya..
3. Bagi yang sudah terinfeksi parah, silahkan hapus file satu persatu dari nomer 1. di beberapa bagian berikut :
Quote:
1. C:\Program Files\Microsoft\Watermark.exe
2. C:\Program Files\Common Files\Microsoft\Watermark.exe
3. C:\Documents and Settings\%UsernamePC%\Microsoft\Watermark.exe
4. c:\documents and settings\%UsernamePC%\application data\Microsoft\Watermark.exe
5. C:\WINDOWS\system32\Microsoft\Watermark.exe
6. C:\WINDOWS\Microsoft\Watermark.exe
7. c:\windows\temp\microsoft\Watermark.exe

Hapus nanti ada notif tidak bisa dihapus, nah fungsi unlocker asisten ini untuk mengkill process dengan paksa.. pilih delete dan kill process..
4. Bagi yang sudah terdeteksi letak file dimana watermark berada, silahkan buat file bernama Microsoft (without extention format) di ke 7 bagian tersebut. Agar si virus tidak bisa menduplicatkan watermark nya di beberapa tujuan tersebut. hapus file dmlconf.dat dan buat juga file dmlconf.dat di C:\WINDOWS\system32. semua file di bikin read only saja.
5. Scan registry menggunakan smadav dan repair all
6. Scan file dengan PCMAV atau anvir yang sudah mendeteksi virus ramnit ini
7. Selesai, ingat ini bukan mengheal, tapi cuma menutup eksekusi dari watermark nya

CARA2
cara mudah nya ya di search di drive c dan gunakan penghapus file bandel.. nama software nya fileassasin silakan download disini http://www.malwarebytes.org/fileassassin.php

1. set folder option -> view - >

- show hidden for known file types (centang bagian ini)
- hidden extension for hidden files & folder (hilangkan centang bila ada pertanyaan klik yes/ok)
- hide protected hidden files (hilangkan centang bila ada pertanyaan klik yes/ok)


2. windows + f (search) tentukan drive yang akan dicari file watermark nya,
pada bagian advance centang hidden files & folder. masukan kata pencari nya "watermark" (tanpa tanda kutip). search dan whalaaa .. file watermark ditemukan

3. jalankan fileassasin centang opsi delete file. arahkan ke lokasi dimana file watermark ditemukan .. execute!!! crot!! file watermark dihapus paksa ^_^

4. pada folder dimana file virus tersebut berada buat aplikasi (dengan asumsi pilihan pada folder option masih seperti yg saya perintahkan ) dengan klik kanan new -> text document -> rename jadi watermark.exe nah ukuran file nya otomatis "0kb" karena masih aplikasi kosong .. jika berubah maka file tersebut jadi virus kembali... oh iya juga buat klik kanan -> new -> text document -> rename jadi microsoft (tanpa akhiran extensi apapun / file tak terbaca).

5. file induk ramnit sudah kena. dan sisanya diteruskan oleh antivirus anda hehehe file bandel sudah hilang
CARA 3

Langkah detil dalam pembersihan RAMNIT:
1. Backup data file HTML ke media eksternal.
2. Bersihkan file HTML dari kode virus RAMNIT dengan VBS dropper malware remover tools (pembuat: Jing Ge, googling juga pasti dapat!).
3. Jalankan Process Explorer (bisa diambil dari Hirens Boot CD), klik suspend all svchost.exe (di dalam proses explorer.exe, bukan di dalam services.exe) lalu terminate process tree
4. Matikan System Restore Selama proses pembersihan.
5. Hapus folder recycler, recycled dan "system volume information" folders, dengan cara:
(misal root directory adalah C:, dan akan dilakukan pembersihan pada D:)
-run cmd.exe,
c:\>rd /s /q "c:\recylcer" [enter]
c:\>cacls "c:\system volume information" /t /e /c /g everyone:F [enter]
c:\>rd /s /q "c:\system volume information" [enter]
d:\>rd /s /q "recycled" [enter]

6. Buatlah file RamNit_removal.bat dan RAMNit_removal.reg, letakkan dalam folder yang sama. Caranya:
-run notepad, copy perintah berikut dan  simpan dengan nama RamNit_removal.bat
@echo off
REM "This is for erase Main worm files"
del /f /s /q /a "%ProgramFiles%\Microsoft\WaterMark.exe">Delete_Log.txt
del /f /s /q /a "%ProgramFiles%\Microsoft\DesktopLayer.exe">>Delete_Log.txt
del /f /s /q /a "%systemroot%\System32\dmlconf.dat">>Delete_Log.txt

REM "This is for erase another tricky worm files, if it exist"
del /f /s /q /a "%Systemroot%\dmlconf.dat">>Delete_Log.txt
del /f /s /q /a "%Systemroot%\lssas.exe">>Delete_Log.txt
del /f /s /q /a "%systemroot%\ExplorerSrv.exe">>Delete_Log.txt
del /f /s /q /a "%systemroot%\System32\rundll32Srv.exe">>Delete_Log.txt
del /f /s /q /a "%ProgramFiles%\synaptics\syntp\SynTPEnhSrv.exe">>Delete_Log.txt
del /f /s /q /a "%UserProfile%\Local-Settings\Application Data\\.exe">>Delete_Log.txt

REM "This is for prevent infections of Ramnit worm"
mkdir "%ProgramFiles%\Microsoft\WaterMark.exe"
attrib +r +s -h -a "%ProgramFiles%\Microsoft\WaterMark.exe" /s /d
mkdir "%ProgramFiles%\Microsoft\DesktopLayer.exe"
attrib +r +s -h -a "%ProgramFiles%\Microsoft\DesktopLayer.exe" /s /d
mkdir "%systemroot%\System32\dmlconf.dat"
attrib +r +s -h -a "%systemroot%\System32\dmlconf.dat" /s /d
REM "This is for clean hijacked registry settings"
reg import RAMNit_removal.reg
exit


-run notepad, copy perintah berikut, simpan dengan nama RAMNit_removal.reg

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="c:\\windows\\system32\\userinit.exe"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\inffile\shell\open\command]
@=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

7. Jalankan RamNit_removal.bat, lakukan perbaikan registry lainnya dengan ccleaner (googling pasti dapat!).
8. Reboot dan masuk ke safe mode, lalu lakukan scan dengan AntiVirus andalan Anda untuk membersihkan file-file aplikasi yang terinfeksi (Antivirus yang mengenal virus Ramnit di antaranya avast antivirus, avira rescue CD, clamwin, ESET)

9. Reboot, masuk Windows normal.

10. Gunakan Antivirus yang dapat melindungi dari serangan melalui jaringan.
11. Selesai.
Perlu diketahui bahwa sebagian besar virus akan mengalami penambahan varian, demikian juga dengan Ramnit. Tentunya diperlukan penyesuaian dalam langkah-langkah pembersihan jika varian Ramnit yang menyerang komputer dari jenis yang berbeda.
Secara garis besar, langkah-langkah yang kami tempuh adalah:
1. Backup data file HTML ke media eksternal.
2. Bersihkan file HTML dari kode virus RAMNIT.
3. Pasang AntiVirus terpercaya (updated), scan semua file di harddisk internal
4. Salin file HTML yg bersih ke harddisk internal

Komentar

  1. tdak da cara yang lebih gampang ya ,,,,???
    sampe' pusing mkirin laptop klo gni ....!!

    BalasHapus

Posting Komentar

Postingan populer dari blog ini

posisi ram pada acer aspire one untuk trouble shoting / upgrade

Netbook Acer Aspire One yang murah dan mungil dalam versi yang standar datang hanya dengan RAM 512MB. Tentu banyak yang belum terpuaskan dengan jumlah total RAM tsb. Tenang & jangan khawatir ! Acer Aspire One ternyata cukup mudah untuk diupgrade hardwarenya. Tinggal siapkan 1 keping RAM tambahan, disarankan menggunakan PC II–5300 RAM dengan kapasitas 1 GB.  Ikuti step-step dibawah ini dan lakukan semuanya secara hati-hati !   pertamax2, buka baut pada beberapa titik beriku t Step 2: Gunakan suatu alat yang datar/pipih (seperti obeng flathead) untuk mendorong masing-masing dari ke 3 pengait terhadap layar. Selagi menggunakan obeng pipih tadi lakukan secara hati-hati & lemah lembut untuk membongkar keyboard naik/ke atas. Step 3: Lepaskan pita-pita kabel keyboard dan trackpad yang kemudian diikuti oleh melepas 6 sekrupnya. Step 4: Longgarkan sekerup dekat modul Wi-Fi, diikuti dengan melepas kawat/steker audio kabel dan melepaskan kabel pita SSD. Posisi slot RAM ada

Instalador Rapido blackberry matot & usb not recornized

Instalador Rapido blackberry matot & usb not recornized BB matot atau usb not recornized ,coba pakai ini.   kelebihannya : - loader ini bekerja auto run saat di jalankan -bisa memperbaiki BB yang stuck saat reconnect jvm waktu install OS -load OS ke HH sangat cepat ( kurang dari 10 menit ) kekurangan : -tidak bisa memlihi versi OS yang diinginkan ( jadi kalo pengen versi lain ya habis pake ini terusin lagi pake apploader/dm ) tutorialnya : -download programnya sesuai tipe yang anda inginkan -jalankan loadernya -lalu hubungkan BB ke PC dan pastikan battre tidak kosong minimal 60% -cara kerja loader ini : -booting - erase - write -finish   Dowload bisa kesini :   8100-450-B81-Telefonica-InstaladorRapido.exe http://www.mediafire.com/?24sphvqeovlaaa1 8120-450-B52-Telefonica-InstaladorRapido.exe http://www.mediafire.com/?yeslhr1yke811me 8220-460-B446-InstaladorRapido.exe http://www.mediafire.com/?cn1af4bmkqzl3d6 8300-450-B81-Telefonica-Ins