Menghapus Virus Malware-Gen Win32


Kita berjumpa lagi dalam sharing ilmu tentang virus, beberapa hari yang lalu saya ditelpon oleh client saya bahwa computer mereka kena virus dan email ngak mau terkirim, kemudian saya datang dan melakukan pengecekan, Indikasi pertama yang saya temui adalah virus itu berkembang dari beberapa virus yang saya temui beberapa waktu dulu dengan berbentuk mengjangkiti file yang berextensin (*.exe), seperti dulu yang saya lakukan hanya menghapus dengan anti virus sudah bisa di habiskan, ternyata saya salah, virus yang baru ini bisa terdeteksi tapi tidak bisa di hapus, kasus yang saya temui nama virusnya meletakkan filenya di startup program dengan berbagai bentuk nama file bisa tmn.exe atau wmisqst.exe. Efek dari virus ini adalah :

1. Computer selalu Broadcast/Upload, saya sudah melakukan pengecekan melalui netstat ternyata menuju ke ip yang bersifat random sehingga internet menjadi sangat lambat dan susah untuk mengirimkan email melalui pop3 / outlook

2. Virus ini bisa melakukan blok di task manager, command promt, safe mode, run

3. Virus ini juga mengakibatkan program yahoo messenger mengirikan pesan kepada teman-teman anda yang ada di address book yahoo messenger, sehingga teman anda menerima pesan dari anda tanpa anda yang mengirimkan pesan kepada mereka.

4. Driver Ethenet anda akan hilang secara tiba-tiba

Jika hal ini terjadi dikomputer anda, lakukan cara di bawah ini :

1. Bukan Control Panel kemudian klik double system, kemudian hilangkan centangan di bagian system restore dan remote assistance.

2. Ketik di bagian Run “msconfig” kemudian anda pilih startup, tekan tombol Disable ALL

3. Lakukan pengecekan dengan menggunakan Process Explorer anda bisa mendownload di alamat ini : http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

4. Buka process explorer tersebut dan klik double file procexp.exe, nah tugas anda melihat file yang bernama wmisqst.exe. file ini hanya akan tampil disaat startup pertama windows.

5. Jika anda tidak menemui file dengan nama wmisqst.exe anda bisamelanjutkan pencarian dengan nama tmn.exe jika anda temui klik kanan kemudian pilih kill (del)

6. Update Anti Virus anda, lakukan scanning dengan mematikan/disable LAN anda terlebih dahulu karena virus dapat menyebar melalui jaringan local anda.

7. Jika anti virus mendeteksi virus tersebut dan tidak bisa di buang tetap terinfeksi lakukan cara manual, cari file tersebut dan buang

8. Jika anda masih belum bisa membuangnya lakukan cara mendownload Malware Byte anda bisa mendownload di alamat di bawah ini:

http://www.malwarebytes.org/mbam.php

9. lakukan installasi dan update pada malwarebyte terlebih dahulu, setelah update selesai lakukan scanning hasilnya anda bisa lihat contoh di bawah ini :

Ini hasil scanning dari Malwarebyte :

Registry Keys Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> Quarantined and deleted successfully.

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> Delete on reboot.

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Trivena Widarto\gxpqf.exe \s) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Folders Infected:

(No malicious items detected)

Files Infected:

C:\Documents and Settings\Trivena Widarto\Local Settings\Temporary Internet Files\Content.IE5\E9WTSTUN\Setup[4].exe (Adware.Seekmo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Jika Virus sudah bisa di hapus melalui Malwarebyte atau Anti Virus yang anda gunakan, anda lakukan pengecekan Hardware Ethernet anda dengan melihat di Device Manager, jika anda menemui ada 2 Network Adapter dengan satu yang di kasih tanda seru berwarna kuning, anda bisa melakukan klik kanan pada Network Adapter yang berwarna kuning tersebut pilih uninstall kemudian restart computer anda Ethernet Adapter anda akan kembali semula.

Selamat Mencoba……😉;P

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s