27 Januari 2009

Basmi virus Trojan Dropper (TR/Dropper.Gen)

File/Folder disembunyikan virus.

Tanggal 25 Januari 2009, anti virus saya belum bisa mendetek virus ini. Itulah alasan saya untuk menulis artikel ini.

Ciri kas virus:
1. Icon Folder dengan Ukuran 112kb.
2. File aplikasi dengan tanggal dibuat 23 agustus 2001.
3. Dibuat dengan program Visual Basic.

Saat virus dijalankan:
1. Mengkopi dirinya ke windir\system32 dengan nama Isass.com ukuran 112kb.
2. Menyembunyikan seluruh folder di Removable Disk dan menggantinya dengan file virus.
3. Membuat Autorun.inf di Removable disk untuk menjalankan virus ketika ditancapkan ke komputer.
4. Mengubah String System dengan value Isass.com pada
HKLM\sOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Cara basmi manual:
1. Tampilkan file/folder yang tersembunyi(baca artikel cara menampilkan file/folder tersembunyi).
2. Cari dan hapus file Isass.com di windir\system32.
3. Cari dan hapus file yang ber-icon menyerupai folder, ukuran 112kb, tanggal dibuat 23 agustus 2001.
4. Hapus String System pada
HKLM\sOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Diposting oleh di

38 komentar:

  1. AnonimFebruari 12, 2009 3:11 PM

    terima kasih info nya,
    saya juga kena virus ini, dan saya sudah mengikuti langkah diatas, dan saya sdh temukan icon itu dan saya hapus tapi langkah ke empat saya kurang jelas,
    bagaimana menemukan string system itu?

    BalasHapus
  2. Mardi81Februari 13, 2009 3:54 PM

    Untuk menghapus string System coba ikuti langkah-langkah berikut:
    1. Klik Start kemudian klik Run.
    2. pada dialog Run isikan "Regedit", Enter.
    3. Pada Regedit masuk ke key
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

    4. Cari string "System", lalu hapus string tersebut.

    Good Luck

    BalasHapus
  3. AnonimMaret 02, 2009 3:54 PM

    sblmnya saya berterima kasih atas infonya.
    komputer saya kena virus Dropper ini, tp wkt saya cek di system32 ga ada file/folder bernama lsass.com
    gmn nih mas?mohon bantuannya

    BalasHapus
  4. Mardi81Maret 02, 2009 8:08 PM

    File lsass.com berattribute hidden, system dan read only.
    Setelah mematikan proses virus, coba ubah status Show all file dan show all protected system file menjadi terpilih(tanda centang) pada folder options. (baca artikel saya tentang menampilkan file/folder tersembunyi).

    BalasHapus
  5. AnonimMaret 06, 2009 9:07 PM

    kalo waktu mau nampilin file yang di hidden gak bisa gimana??dia balik lagi jadi hidden walaupun udah di view...

    BalasHapus
  6. Mardi81Maret 07, 2009 8:19 AM

    Coba cara berikut.
    1. Masuk ke REGEDIT.
    2. Cari key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
    pastikan CheckedValue dan DefaultValue bernilai "2".
    3. Cari key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    Pastikan CheckedValue bernilai "1" dan DefaultValue bernilai "2".
    4. Cari key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    pastikan CheckedValue bernilai "0",
    UncheckedValue bernilai "1",
    DefaultValue bernilai "0".

    GoodLuck

    BalasHapus
  7. AnonimJuni 29, 2009 10:07 PM

    isass.com maupun lsass.exe gak bisa di hapus registry-nya...

    BalasHapus
  8. HadiJuli 01, 2009 11:35 AM

    masuk regedit juga gak bisa...gimana neh? Aduh...

    BalasHapus
  9. Mardi81Juli 02, 2009 9:59 AM

    @Anonim: Berarti virus masih aktif, coba matikan proses virus dulu(baca artikel cara matikan proses virus diblog ini).

    @Hadi: Baca artikel cara membuka regedit yang dikunci virus(diblog ini juga).

    BalasHapus
  10. frisca anindhitaJuli 07, 2009 7:21 PM

    mas, saya dah coba matikan virus pake X-Ray PC, trus dah ketemu tuh lsass.exe, lalu saya deactive trus system restart.
    setelah itu saya dah hapus string systemnya jg.
    tapi kok antivirus saya masih tetap deteksi ada trojan dropper itu yah?

    annoying bgt mas.
    huhuhuhu...

    mohon petunjuknya lagi yah...

    BalasHapus
  11. Mardi81Juli 21, 2009 7:25 AM

    Dear Frisca anindhita,

    Masalah sederhana yang kurang diperhatikan dan mengakibatkan kesalahan fatal orang yang mencoba basmi virus adalah:

    1. Tidak mematikan System Restore.
    2. Tidak mematikan koneksi Jaringan dan Internet.
    3. Tidak melakukan Full Scaning terhadap komputer.

    Coba cek 3 kondisi diatas.

    GoodLuck

    BalasHapus
  12. musaviesmileOktober 07, 2009 8:34 AM

    mas ak ga bisa locate windir\system32,,itu dimana ya? bantu pelan2 mas,ga paham komputer.. :p
    thanks

    BalasHapus
  13. AnonimOktober 16, 2009 4:25 PM

    kalo dosnya dikunci ma virus gimana kak.....aku coba buka regedit namun lansung keluar......abis itu disuruh milih profil....tolong jelasin y

    BalasHapus
  14. Mardi81Oktober 19, 2009 9:30 AM

    @Musaviesmile:
    windir = lokasi tempat windows anda di install.
    biasanya "c:\windows" bukanya pakai
    "windows explorer"

    BalasHapus
  15. Mardi81Oktober 19, 2009 9:36 AM

    @Anonim: coba baca link artikel saya di
    1. mardi81.blogspot.com/2009/01/command-prompt-has-been-disabled-by.html

    2. mardi81.blogspot.com/2009/01/registry-editing-has-been-disabled-by.html

    BalasHapus
  16. WawanNovember 02, 2009 4:28 PM

    Windows foldernya gak bisa kebuka nih, alasannya C:\ RECYCLER\ .com is not a valid win32 application.

    gimana jadinya tuh?

    BalasHapus
    Balasan
    1. Mardi81Juni 11, 2012 2:18 PM

      Berarti ada virus di folder tersebut. silahkan masuk safe mode, kemudian hapus folder tersebut.

      Hapus
  17. WawanNovember 02, 2009 4:30 PM

    semua target folder komputer saya berubah seperti ini

    %WINDIR%\system32\rundll32.exe Shell32.dll,ShellExec_RunDLL "RÊCYCLÊR\  .com" "WINDOWS"

    BalasHapus
    Balasan
    1. Mardi81Juni 11, 2012 2:19 PM

      Seharusnya folder tidak bisa terinfeksi birus, mungkin itu virus yang bericon menyerupai folder.

      Hapus
  18. AnonimNovember 11, 2009 1:36 PM

    Mas mohon bantuannya...sama nda tr/dropper.gen dengan tr/dropper.gen2 dan bagaimana cara menghapusnya ....soalnya komputer saya kena virus tr/dropper.gen2 makasih sebelumnya...

    BalasHapus
  19. Mardi81November 12, 2009 12:45 PM

    @Wawan:
    Tuh virus sudah merusak banyak sistem registrynya mas, terutama pada HKCR, HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutable, HKLM\Software\Microsoft\WindowsNT\Winlogon, dll. Coba pakai software pembenahan registry aja.

    BalasHapus
  20. Mardi81November 12, 2009 12:46 PM

    @Anonim:
    Pada dasarnya cuma satu variant, cuma terkadang beda ukuran dan terjadi penambahan pengrusakan aja, kalau kita sedikit jeli, pasti virus itu juga mudah dimusnahkan.

    BalasHapus
  21. GhibranNovember 15, 2009 9:25 AM

    Thanks Ya...
    Soalnya Ni Trojan Kenanya Di PSPq

    BalasHapus
  22. Aldo GintingDesember 13, 2009 4:51 PM

    bos.......
    search youtube ntu di ilangin aja
    soalnya selain makan tempat, google jg manfaatin anda untuk iklannya

    BalasHapus
  23. Mardi81Desember 30, 2009 9:11 PM

    @Daimond: Thanks atas perhatiannya. Tapi mohon maaf, ada pertimbangan lain saya memasangnya, mungkin akan saya cari solusi terbaik untuk hal ini.

    BalasHapus
  24. UnknownJanuari 16, 2010 11:02 PM

    makasih ya mas.. saya dah ngikutin langkah langkahnya,,, memang agak susah tapi akhirnya bisa juga, sekedar bagi pengalaman aja, trutama buat Frisca Anindhita, saya berkali kali coba hapus isass.exe tapi ga bisa di hapus terus, nah ternyata setelah di X-ray ada waktu jeda 60detik, nah saat itu hapus file isass.exe sesuai petunjuk diatas... baru bisa kehapus tu Isass.exe...

    thanks again to Mr. Mardi... di tunggu info info selanjutnya..

    BalasHapus
  25. blocnotMaret 05, 2010 11:50 AM

    Mas virus TR/Dropper.Gen Trojan Comp saya tidak bisa ilang gimana ya solusinya tk

    BalasHapus
    Balasan
    1. Mardi81Juni 11, 2012 2:22 PM

      Lepas harddisknya aja, kemudian scan pakai kompi dengan anti virus terbaru dan terupdate tentunya.

      Hapus
  26. ToiletJuni 24, 2010 2:16 PM

    mas d komp w desktop.ini buanyak bgt abis di apus trus nonggol lg modelnya kaya configuration setting...itu virus bukan ya?.....

    BalasHapus
    Balasan
    1. Mardi81Juni 11, 2012 2:23 PM

      desktop.ini pada dasarnya bukan virus, tetapi ada juga virus yang membuat file tersebut. hapus saja semua file2 tersebut, ngak begitu ngaruh ke system kok.

      Hapus
  27. Noer AnggaraMei 04, 2011 8:49 AM

    di Scan pake ARTAV aja gan.. dijamin ilang...
    Ane pake KASPY 2011 ga mempan.. virus tewas ketika dah d Artav

    BalasHapus
    Balasan
    1. Mardi81Juni 11, 2012 2:24 PM

      Kelebihan anti virus lokal, salah satunya adalah membersihkan sampah sistem/sampah virus.

      Hapus
  28. Trans Cobalt EthylenediamineAgustus 05, 2012 5:50 PM

    kak, saya nge-scan pakai avira free antivirus. ternyata setelah discan ada virus TR/dropper.gen . Trus masuk ke quarantine-nya langsung saya klik tanda delete. Virusnya kira-kira udah ilang belom? Soalnya aplikasinya yang kena virus masih ada.. Mohon dijawab ya...

    BalasHapus
    Balasan
    1. Mardi81Agustus 27, 2012 8:14 AM

      Coba lihat ukuran file aplikasinya, jika 0 kb, berarti sudah aman.
      lebih baiknya matikan system restore kemudian full scan

      Hapus
  29. UnknownJuni 28, 2013 4:53 PM

    mas saya terkena virus tr artraps.gen
    gimana caranya membasminya mas
    mohon bantuanya ya mas

    BalasHapus
    Balasan
    1. Mardi81Juli 10, 2013 7:00 AM

      Secara umum dapat dilakukan dengan cara sebagai berikut:
      1. Matikan sytem restore.
      2. Matikan koneksi internet.
      4. Install antivirus + update terbaru.
      5. Scan complete.
      Coba kirim contoh virusnya ke email saya untuk menganalisa itu virus.

      Hapus
  30. UnknownSeptember 10, 2013 6:12 PM

    TR/crypt.Xpack.Gen3 saya terkena virus ituuu...gimana solusi nya gan.....

    BalasHapus
  31. agoezJanuari 19, 2019 12:09 PM

    solusi anti virus yang bagus dong

    BalasHapus

Tinggalkan pesan anda disini.

Langganan: Posting Komentar (Atom)