The Chronicles of Bastard Virus/Trojan

Maret 24, 2007

Berita baik : data2 bisa diselamatkan berkat nasehat seorang kawan blogger (yang tak mau disebut namanya). Terimakasih kawan…

Berita buruk : aku harus install lagi komputernya, dan…ini artinya waktuku seharian besok harus dipenuhi dengan jadwal menginstal satu persatu software. Hua hua. Untung saya punya banyak master software bajakan.

Berikut ini adalah runtutan kejadian terserangnya si komputer oleh The bastard virus/trojan yang saya pusingkan kemarin :

  1. The bastard virus/trojan masuk ke komputer melalui transfer data dengan USB Flash Disk
  2. Sebelumnya saya sudah diberitahu oleh si pemilik flashdisk bahwa USB tsb mengandung The bastard virus/trojan bawaan dari warnet sialan murah sekali tarifnya dengan penjaga tidak semok. Karena kesombongan keyakinan saya, bahwa antivirus yang tersedia adalah paling ampuh karena update setiap hari (konek ke internet terus).
  3. Ada sebuah biang The bastard virus/trojan (dengan ikon folder), memiliki ukuran file (file size) dan ini adalah sangat tidak lazim. Penuh keisengan keingintahuan saya klik The bastard virus/trojan itu, dan sukses. Muncullah tampilan bahwa komputer ini telah terserang sebuah virus (saya lupa ndak membaca dengan lengkap), buru2 saya tutup.
  4. Saya segera lari ke start/program/accesories/system tools/system restore yang selama ini saya percaya sebagai Pertolongan Pertama Pada Serangan The bastard virus/trojan. Dan ternyata kepercayaan saya selama ini musnah, karena system restore yang saya sangat percayai itu diblokir oleh The bastard virus/trojan.
  5. Saya coba lihat proses yang dijalankan The bastard virus/trojan melalui task manager. Dan ternyata seperti kebanyakan The bastard virus/trojan buatan anak negeri, ini-ini saja yang diserang. huh, ndak kreatip. Dan task manager pun mati, ndak bisa diakses.
  6. Coba meng-enable kan task manager melalui run command. Blass. Run command yang biasanya ada di start menu, lenyap ditelan The bastard virus/trojan. Praktis ndak bisa ngapa2in. Masuk ke safe mode maupun safe mode with command prompt tetep ndak bisa ngapa2in.
  7. Coba cari alternatif menjalankan registry dengan bantuan toolsyang dikembangkan anak ilkom ugeem dari [sini], sama saja, nggak nyampe 5 detik, komputer swa-shutdown.
  8. Coba cari pembuka prosesyang sedang dijalankan komputer (semacam task manager), saya pakai CurrProcess (dari NirSoft). Yes!. Terbuka, tapi.ndak sampe 5 detik mati lagi.
  9. Karena mules perut saya plus kepala saya senut2, ya sudah saya chatting saja dengan seorang teman sebut saja bunga (bukan nama sebenarnya). Untung dia memiliki sebuah trik jitu untuk menyelamatkan data dari komputer yang terserang virus. Perlu diketahui, bahwa semua data folder dalam komputer tersebut disembunyikan, dan The bastard virus/trojan telah membuat duplikasi ber-ikon folder dengan file size 247KB, antara lain :
    • WINDOWS.exe
    • Temp.exe
    • Program Files.exe
    • Antivirus Lengkap.exe
    • Update Antivirus.exe
    • Gambarku.exe
    • Document and Settings.exe
    • Dokumennya-(nama komputer)

    Apabila mouse-over di atas duplikat itu akan muncul : Files:backup.reg,Symantec.exe,CPUid.exe,Monitor.zip,Gitar.zip

  10. Dan apa yang membuat saya masih bisa bernafas lega? The bastard virus/trojan tidak merusak aktivitas program, hanya merubah ikon program menjadi folder, kemudian menyembunyikan file seperti dijelaskan di poin 9. Browser pun masih jalan lho dari komputer itu..hahaha..sehingga saya bisa menampilkan skrinsyur hasil kerjaaan The bastard virus/trojan, meskipun terlebih dahulu saya kirim via email, dan saya buka melalui laptop.

Berikut ini beberapa skrinsyur skrinsyut yang mungkin bisa berguna untuk teman2 sekalian :

Tampilan di explorer :
Filesize : 247 KB
Modified : 12/12/2006 2:22 PM


Tampilan di drive C : lihat file hasil duplikat yang semuanya berukuran 247 KB.


Sedangkan skrinsyut di atas adalah tampilan dari drive D : dimana file installer/berekstensi exe, akan berubah jadi bentuk folder. Sebagaimana dialami oleh installer klcodec267f.exe, Longhorn Inspirat dan projektor flash berekstensi.exe

Nah, kalau skrinsyut di atas adalah hasil si bastard virus/trojan yang berhasil saya telanjangi buka.

  • Yang dipanah kuning adalah isi yang lazim dari sebuah sistem komputer windows.
  • Yang dipanah merah adalah hasil duplikasi si bastard virus/trojan .

Semoga anda ndak mengalami nasib serupa, kalau misalnya pengen bermain2 dengan si bastard virus/trojan, saya bersedia mengirimkan file yang masih bervirus..hehehe…

Iklan

24 Responses to “The Chronicles of Bastard Virus/Trojan”

  1. deKing Says:

    Syukurlah kalau data bisa diselamatkan. Pakai get my data back atau apa?
    BTW jam dari clocklink.com emang kayake gak bisa dipasang. Aku sudah mencobanya berkali2 gagal terus (padahal di blogspot lancar saja tuch)…apa ada cara khusus untuk di WP ya?

  2. Hendra Ciptawan Says:

    Ha..ha… memang sering si bastard trojan kaya’ gitu tuh ngeselin. Terlebih buatan lokal yang nggak dilaporin ke pembuat antivirus. Well, kaya’nya yang satu ini patut diwaspadai juga neeh, pengen aku bawa ajah ah ke markas besar symantec di http://www.symantec.com/avcenter/download/pages/US-N95.html
    Eh……. tapi kalo selama ini aku dah bosan setting sana sini, aku biasanya cara jadulnya ya…. install ulang windows dari awal 😦

  3. cakmoki Says:

    Jadi harus pakai manual ya, wuih capek nyetting ulang.
    Tutorialnya dong, PDF ya. hehehe

  4. manusiasuper Says:

    kronologi point ke-3 itu Anto Banget, he…

  5. helgeduelbek Says:

    Coba makai linux saja mungkin relatif lebih aman om. bukan begitu?

  6. j.rizal Says:

    kasihan juga ya. tapi kamu tambah pinter dong berkat serangan itu.
    komputerku sudah setahun tidak kena serang apa-apa. nggak tahu, apakah mutu atau tidak, admin di tempat kerjaku sudah lama pasang deepfreeze dan mematikan semua perintah ke registry dan lain-lain sehingga praktis tidak satu pun aktivitas ke drice C:
    aku kira deepfreeze perlu untuk antisipasi kejadian yang menimpamu karena saat komputer direstart semua yang baru masuk di C: langsung hilang. tapi gak tahu juga ah. aku gaptek sangat kok
    eh, ya main nylonong aja. salam kenal.

  7. anung Says:

    intinya kau itu harus dijauhkan dari komputer dan segera berkutat dengan skripsimu ;p

  8. antobilang Says:

    # deKing
    iya om deking, tapi aku masih tetep penasaran, masih aku tetep cobain pake macem2 antivirus..itung2 kompinya buat percobaan. mau tak kirimin ‘virus’nya ndak??
    😉

    # Hendra Ciptawan
    untungnya sekarang banyak antivirus lokal yang bisa ngedeteksi virus2 lokal & kampungan gini mas 😉
    tapi emang si bbrp kurang maksimal kerjanya.

    # cakmoki
    tutorial apaan? pak cakmoki kan lebih jagoan gitu lho…
    hehehe…

    # manusiasuper
    maksudnyaaahhh????

    # helgeduelbek
    iya pak guru, sejak kejadian ini minat saya untuk hijrah ke opensource semakin menggelora pak…

    # j.rizal
    dari setiap virus yang nyerang ke komputer yg saya pakai selalu saya coba cari penanggulangannya.
    instal ulang memang bukan solusi menurut saya. tapi saya titipkan bibit virus itu di komputer lain yang khusus untuk ujicoba virus, kasian juga kalo temn2 lain terkena virus yang sama, jadi nda perlu instal ulang.
    salam kenal juga pak.

    # anung
    lha terus ngerjain skripsinya pake apa dodol????
    ngetik manual? bisa2 jariku jadi jempol semua ndul!
    wakakaka

  9. Mr. Geddoe Says:

    Skripsinya dipahat, mas.

  10. anung Says:

    hahahaha…bener dipahat aja..
    kamu pertanian tho?
    pake pelepah pisang..

  11. kangguru Says:

    Sekarang waktunya ngipasin anto pindah dunk pake Linux hehehehheheh

  12. brianari Says:

    wah…udah damai y?
    syukurlah….
    btw… mau dong, samplenya!?
    cara kirimnya gmn y? ada ide g mas?
    O iya, ‘lam kenal!

  13. manusiasuper Says:

    *jungkir balik ngakak*

    Mr. Geddoe usulnya tokcer!! Dipahat to!

  14. antobilang Says:

    # Mr. Geddoe
    memangnya ini jaman majapahit mas?
    apa skripsiku buat nyaingi Kitab Negarakertagama? 😉

    # anung
    halah..wong dipahat kok make pelepah pisang, piye tho?
    makanya nung jangan kebanyakan berkhayal..wakaka

    # kangguru
    halah..kangguru…kalo sampe saya pindah ke linux, pak guru kudu mau saya repotin buat tempat tanya2! 😉

    # brianari
    sudah damai! tapi saya sudah berhasil melumpuhkannya, meskipun saya cukup capai karena mengahpus secara manual, tapi di situ seni nya…*halah*
    nanti sampel saya buat dalam bentuk RAR, baru saya kirim ke email saudara, tapi kalo komputermu kenap2 saya ndak ikut2 lho..hehehe…*kirim virus, sembunyi tangan*

    # manusiasuper

    halah..ini lagi ikut2an..

  15. CLO Says:

    jadi piye akhirnya mas, instal ulang yah??? bibit virus yg ditanam udah tumbuh besar opo wi s modar… 🙂

  16. brianari Says:

    thx Bang!
    btw imel sy : brian_ti@yahoo.com
    Makasi bgt (perasaan sy udh kayak dikasi hadiah ultah gitu
    (u_u )

  17. brianari Says:

    hehe… makasih mas!
    sy cuma pengen sedikit bereksperimen
    doakan saya kembali idup2 ya! 🙂

  18. antobilang Says:

    # CLO
    ndak mas, kalau install ulang itu artinya saya dipecundangi oleh virus..hehehe…
    syukur Alhamdulillah saya nemu antivirus lokal PCMAV RC 13, tapi ya gitu dia cuma ndeteksi file yang heuristic-nya membahayakan registry (seperti karakter virus pada umumnya), kemudian setelah selesai scanning, saya delete satu-per-satu melalui fasilitas search.
    sudah saya budidayakan dalam bentuk kompresi RAR, mau tak kirimin sampelnya?

    # brianari
    sudah saya kirim tuh, semoga bisa dimanfaatkan untuk kebaikan, dan jangan lupa kalau sudah nemu cara penanggulangannya, di share ke temen2 di blog, kalau perlu di track back ke postingan saya
    *obral trackback, hehehe*


  19. […] Tidak menjalankan program-program executable yang tidak jelas sumbernya, apalagi yang sudah jelas adalah virus […]

  20. buyi Says:

    baruuu aja….komp ku kena virus antivirus.exe
    lambang nya kaya installer gitu…
    & nama nya antivirus…
    ada yg tau anti virus nya apa?

  21. DMA Says:

    MyBro ..thanks


  22. No deposit free bonus casino

    No deposit free bonus casino

  23. FerdianZ Says:

    Brothers, lam kenal

    saya mau sharing aja nih, setelah pusing berkutat dengan virus sialan ini akhirnya ketemu cara ngebersihinnya, yah walaupun belum sempurna tapi di dunia ini gk ada yg sempurna.. ya tooh!!! tapi lumayanlah bisa kalau emang memutuskan untuk install ulang kan bisa selametin data dulu tuh..

    Kira-kira begini ceritanya:

    Biasanya Virus ini mematikan fungsi logon windows juga, Apabila kita tidak bisa logon ke windows, silahkan menggunakan CD WinPE (Dokumentasi ada di http://windowsxp.mvps.org/peboot.htm) sebagai bootable media yg mampu menjalankan fungsi-fungsi repair.

    Setelah itu copykan script dibawah ini ke notepad dan di save dengan nama repairdarkness.inf

    [Version]
    Signature=”$Chicago$”
    Provider=Ferdianz

    [DefaultInstall]
    AddReg=fix
    DelReg=del

    [fix]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,Hidden,%REG_DWORD%,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,%REG_DWORD%,0
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,%REG_DWORD%,0
    HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
    HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
    HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption, “”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText, “”
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost, “logonui.exe”
    HKLM, Software\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, “Ferdianz”
    HKLM, Software\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, “Keren”
    HKCR, batfile\DefaultIcon,,,”%SystemRoot%\system32\Shell32.dll,-153″
    HKCR, cmdfile\DefaultIcon,,,”%SystemRoot%\system32\Shell32.dll,-153″
    HKCR, cplfile\shell\cplopen\command,,,”rundll32.exe shell32.dll,Control_RunDLL “%1″,%*”
    HKCR, comfile\DefaultIcon,,,”%SystemRoot%\system32\Shell32.dll,2″
    HKCR, dllfile\DefaultIcon,,,”%SystemRoot%\system32\Shell32.dll,-154″
    HKCR, icofile\DefaultIcon,,,”%1″
    HKCR, txtfile\shell\edit\command,,,”%SystemRoot%\System32\NOTEPAD.EXE %1″
    HKCR, txtfile\DefaultIcon,,,”%SystemRoot%\system32\Shell32.dll,-152″
    HKCR, txtfile\shell\open\command,,,”%SystemRoot%\System32\NOTEPAD.EXE %1″
    HKCR, exefile,,,”Application”
    HKCR, exefile\DefaultIcon,,,”%1″
    HKCR, exefile,TileInfo,0,”prop:FileDescription;Company;FileVersion”
    HKCR, exefile,InfoTip,0,”prop:FileDescription;Company;FileVersion;Create;Size”

    [del]
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Load
    HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot,AlternateShell
    HKLM, SYSTEM\ContolSet001\Control\SafeBoot,AlternateShell
    HKLM, SYSTEM\ContolSet002\Control\SafeBoot,AlternateShell
    HKLM, SYSTEM\ContolSet003\Control\SafeBoot,AlternateShell
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoChangeStartMenu
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFileMenu
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoPropertiesMyComputer
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRecycleFiles
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayItemsDisplay
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
    HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
    HKLM, software\Classes\cplfile\shell,open

    [Strings]
    REG_DWORD = 0x00010001

    Setelah itu jalankan file inf tersebut dengan mengklik kanan file tersebut dan klik install.
    Refresh PC tersebut beberapa kali menggunakan F5 dan restart kembali PC tersebut.

    Setelah PC di restart, coba untuk masuk ke Start Settings Control Panel kemudian double klik di system dan pilih system restore, matikan system restore dari PC tersebut.
    Setelah itu masuk ke Start Run kemudian ketik CMD, setelah itu ketikkan C:\Attrib –s –h C:\ /S /D untuk menimbulkan kembali folder2 yg di hidden oleh virus tersebut.

    Lakukan update antivirus (saya pake symantec), setelah selesai lakukan full scan pada seluruh drive yg ada di PC tersebut

    Saya sudah mencoba beberapa PC dan cukup ampuh..

    Selamat Mencoba!!

  24. jP_CoeN Says:

    makanya jangan pake windows lagi ya, migrasi aja ke INUL LINUX hehehehe

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s