Basmi Virus Almanahe/Alman(w32.Alman.BB)
Cara manual basmi virus alman/almanahe.
Sekilas tentang virus w32.alman.BB
1. Virus dibuat dengan menggunakan program visual basic.
2. Virus berukuran 953kb, mempunyai icon seperti microsoft word, dengan ekstensi exe(.exe).
Cara kerja virus.
1. Saat virus di eksekusi, dia akan menggandakan dirinya di %program Files%\Microsoft Office\%office11%
dengan nama services.exe dan _winword.exe( _ :karakter spasi).
2. Akan mencari koneksi jaringan, dan akan menginfeksi jika ada file/folder yang di sharing.
3. Akan menduplikasi semua file word(.doc) di removable disk, disembunyikan dan diganti dengan file virus.
4. Akan membuat string shell dengan value explorer,%program Files%\Microsoft Office\%office11%\ winword.exe
pada key Registry HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
5. Akan membuat key: Acha.exe, Amy Mastura.exe, Baby Rina.exe, Cscript.exe, Csrsz.exe, lsasc.exe, registry.exe, smsss.exe, wscript.exe.
pada HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
6. Mengubah DefaultValue 0 menjadi 1 pada
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden.
Cara membasmi virus ini sangatlah mudah:
1. Cari Tools bantuan. (sebagai contoh: HijackThis, Process Explorer , dll).
2. Matikan proses Services.exe dan _winword.exe.
3. Hapus string shell pada HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
4. Hapus key Acha.exe, Amy Mastura.exe, Baby Rina.exe, Cscript.exe, Csrsz.exe, lsasc.exe, registry.exe, smsss.exe, wscript.exe.
pada HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.
5. Ubah DefaultValue 1 menjadi 0 pada HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden.
6. Tampilkan file/folder tersembunyi lewat Folder Options.
7. Cari dan hapus semua file yang berukuran 953kb dengan icon microsoft word diseluruh drive.
8. Restart ulang komputer anda.
Good Luck.
keterangan:
%program Files% : path letak Microsoft Office terinstall.
%office11% : Tergantung versi office yang anda gunakan.
thanks yach mas.......
BalasHapustapi untuk cara yang nomer 1 dan 2 aku belum tau caranya
:d
Ok, mas Menco. Tak kirim filenya lewat email ya?
BalasHapusCara menggunakan mudah kok, setelah program dijalankan, klik kanan proses yang ingin dihentikan, pilih kill process, selesai deh.
Good Luck
jmjhm,
BalasHapusmas tahap no.1 dan no.2 gak paham :) maklum pemula,
BalasHapusmas aktifin YM aj jadi qt konsultasi langsung.
ivan.
Ym; o2na_06@yahoo.co.id
Mohon maaf mas ivan, saya jarang sekali online via YM. Maklum agak sibuk(sok sibuk ya?).
BalasHapusSaya usahakan untuk cara nomor 1 dan 2, saya buat posting tersendiri. Atau kalau aku belum sempat buat postingnya. nanti saya email aja ke alamat mas ivan. sekalian tooolsnya.
mas mardi
BalasHapusingatkah dirimu padaku
Siapakah gerangan dirimu, yang duduk disitu?
BalasHapusboleh dong bagi Toolsnya (HijackThis ato ProccesExplorer) ke max_dolly@yahoo.com
BalasHapusThanks Berat Infonya Sangat Berguna Sekali, Hanya Yang Kuasa yg bisa membalas kebaikanmu...
Dolly cah Semarang
Salam kenal buat Mr.Dolly
BalasHapusSaya usahakan kirim Toolsnya ke email Mr. Dolly.
Untuk pengunjung lain, anda bisa download tools tersebut di:
www.sysinternals.com untuk processXP,
Kalau Hijackthis saya lupa situsnya, coba tanya om google. Kalau mau pakai Tools lain, coba baca artikel saya berjudul "Matikan proses virus".
wah, emang bener mantep nih artikel.
BalasHapustapi bakal lebih mantep lagi kalo kita pake software khusus Windows namanya AUTORUNS . saya ga bisa ngasih linknya, tapi coba tanya aja ke mbah google,OK!!
OYA! TQ BGT 4 postingannya... ;)
Salam kenal buat mr.Alladin165.
BalasHapusTerimakasih atas infonya.
untuk program AUTORUNS, jika ada pengunjung berminat silahkan download di www.sysinternals.com
selain ProcessXP dan AUTORUNS juga ada: Process Monitor, RootkitReaveler, PsTools dll.
Coba deh kunjungi situs itu.
Bravo untuk Sysinternals, karena softwarenya gratis2.
GoodLuck
hehehe, thanks informasinya, nih aq lagi mbenerin kompi temen, persis kyak gitu virusnya, cuman yg aq heran kog file ber ikon word td ga ada ekstensinya yah???
BalasHapuspadahal udah aq balikin superhidennya, aapa emang gitu filenya??
thanks anyway
Berarti pembenahan registrynya belum sempurna mas, coba cek lagi di default super hiddenya
BalasHapussekarang virusnya bukan lagi ber-size 953 kb tetapi juga 684 kb
BalasHapusyytytytyy sip
BalasHapusBang saya jg dong minta kirimin cara no 1 dan 2 ke emailku yusufromdoni@gmail.com.. terima kasih
BalasHapussalam kenal mas Mardi yang baik hati .. masalah virus nich kompi ku kena virus yang bisa memblokir proses instal apalagi instal antivirus run registry nggak bisa dibuka flashdisk juga pokoknya biyung dech bagi orang awam sepertiku untuk memperbaikinya .. pertanyaannya jenis virus apa itu juga bagaimana cara menanganinya ??... ditunggu infonya ya mas , terimakasih sebelumnya
BalasHapusPada dasarnya banyak sekali virus yang seperti itu. tapi yang sering muncul akhir2 ini adalah trojan yang menggunakan wscript.
BalasHapusCoba baca artikel saya tentang:
1. "matikan proses virus", cari dan matikan file "wscript.exe".
2. "Buka regedit yang dikunci virus".
kemudian setelah regedit berhasil dibuka, masuklah ke key
"HKLM\Software\Microsoft\WindowsNT\CurrenVersion\Winlogon\Image File Executeable Option"
Hapus semua "key yang berakhiran .exe" dan mempunyai value "debugger"
contoh :
key = regedit.exe
value = debugger : c:\windows\svchost.exe
setelah dihapus semua coba sekarang untuk menginstall program.
GoodLuck
Wah .. sharingnya bagus banget mas . Mau tanya mas ... Avira saya deteksi banyak file.exe yg kena W32/Alman.BB. Awalnya coba repair beberapa file tsb, tp banyak yg di ignore trus saya kasih note. Tp kok kayanya over acting gitu Aviranya. Selalu ngulang scan file yg itu² lagi. Sampe capek saya klik terus²an. Udah coba saya aplod beberapa file tsb ke virus total ngga ada virusnya. Tau gimana caranya ngga Mas biar Avira ngga begitu mlulu. Makasih ya sebelumnya
BalasHapus