Ads (728x90)

Removal Virus Win32/Virut

http://img.brothersoft.com/screenshots/softimage/w/w32.virut_removal_tool-304663-1258340252.jpeg

Situs-situs crack keygen dan serials akhir-akhir ini menambahkan file penginfeksi yang bernama “Virut”. Virus ini biasanya ada di crack mini game atau file nfo. Virus ini akan menginfeksi semua file .exe dan .scr di dalam sistem. Antivirus AVG, Kapersky, NOD, Norman bisa detect virus ini tapi file yang terkontaminasi ikut terhapus, nah kalo sistem windows yang di delete, otomatis windowsnya kolap dan ga bisa di run, sama aja bunuh diri kan?(sori ya Nhy kompimu jadi percobaan hehe). Lebih parahnya lagi mesin anti virusnya bahkan akan ikut terinfeksi dan anti virus malah jadi eror.

Cara kerja dan penyebaran virus ini masuk kedalam file exe dan file yg extensionnya dll jadi kalo kita jalankan file itu, maka virus ada di memory, trus menyerang lagi file laen yang kita run. Virus ini biasanya juga akan menginjeksi ke dalam winlogon.exe sehingga kita gak bisa login ke kompi dan cuman berputar-putar aja di menu windows login (meski sebenernya bisa sih masuk lewat safe mode). Meskipun di-scan virus ini akan muncul lagi (regenerate) dan menginfeksi lagi file-file exe yang tadi.

Cara yang paling aman adalah format dan install ulang komputer. Terutama klo sistemnya banyak yang kena. Dan klo udah diinstall ulang, sebelom diinstall program macem2 install dulu av yang terupdate tentunya.


Buat yang males install ulang bisa juga coba pake removal ini:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe (9M)

Ato yang ini dari grisoft:

http://free.grisoft.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.exe(457KB)

http://free.grisoft.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.nt(1,5KB)

Simpan file rmvirut.nt dan file rmvirut.exe kedalam satu folder. Kemudian run file rmvirut.exe. Setelah proses healing selesai coba test scan menggunakan AVG untuk memastikan virus sudah hilang.

Source : http://omot.wordpress.com/
-------------------------------------------------------------------------------------------------------

http://c1p1.files.wordpress.com/2009/09/computer-virus.jpg
Berikut profil dari Win32/Virut ini, diterjemahkan dari situs AVG :

Win32/Virut adalah parasit penginfeksi file yang berekstensi .EXE, bertindak seperti IRC bot, berkomunikasi lewat port TCP 65520, lalu membuka channel #virtu di alamat server IRC proxim.ircgalaxy.pl

Langkah pertamanya setelah dijalankan adalah menyuntikkan prosesnya (winlogon.exe), alasannya adalah filrewall tidak akan mengenali virus ini. Kemudian virus akan menginfeksi file di harddisk lokal atau jaringan. Virus ini tidak bergantung pada penggunaan atau eksekusi file-file di harddisk.

File yang terinfeksi mempunyai ukuran file lebih besar sekitar 9kb, dan tidak akan menyimpan timestamp (waktu dibuat, waktu diubah) aslinya. Timestamp akan berubah ke waktu saat virus menginfeksinya.

Virus ini aktif dengan cara-cara yang “klasik” :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Catatan : nama file yang terinfeksi di entri registri bisa bervariasi. virus memilih nama dari file yang terinfeksi di folder sistem.

Virus ini tidak menggunakan teknik rootkit atau teknik siluman (hehe..saya nggak tau ni terjemahan pastinya dari kalimat “stealth”), virus ini juga membuat file yang tidak mempunyai fungsi yang juga mengandung virus.

Bagaimana membersihkan virus ini dari komputer ?
  1. Download Virut Remover
  2. Boot sistem ke safe mode
  3. Scan dengan removal tool diatas. kalau removal tool merekomendasikan untuk restart komputer turuti saja.
Saya merekomendasikan matikan saja system restore selamanya ! memang sih fitur ini cukup berguna. Tapi bagi anda yang ingin hidup “lebih hidup” lebih baik matikan saja. Ini jalan utama bagi virus menginfeksi sistem. Soalnya apabila sistem terinfeksi, biarpun sudah di-scan dan bersih apabila masih ada virus yang terlewat di system restore ini dia akan kembali lagi.

Source : http://esetiawan.wordpress.com/
-------------------------------------------------------------------------------------------------------

Baru pertama kali ini komputerku kejangkitan virus. dan gak pernah separah ini. seluruh file dengan extensi *.exe; *.scr ; *.dll; *.com. yang ada dihardiskku diinfeksi semua. yang paling menjengkelkan proyek yang kukerjakanpun ikut diinfeksi. tp sebenarnya virus jinak jinak anjing. kalau lengah data bisa dicuri sama pembuat virus. karena virus ini membuka jalur khusus untuk terhubung proxima.irc.pl. dan cara kerja virus virut.x sebagai berikut :

Ketika virut.x dieksekusi untuk pertama kalinya, sivirus ini menempatkan real entrypoint pada stack sebagai return address


Yang kemudian stack akan tampil seperti ini :

kemudian setelah itu virus ini mencetak PE header pada Kernel32.dll. setelah menulis PE Header sivirus ini mendisable windows file protection (SFC_OS.dll) lha dari sinilah si virus tersebut bisa menginfeksi file dengan ekstensi *.exe; *.scr ; *.dll; *.com. dan untuk tetap jalan setiap distartup virus ini terlebih dulu menginjeksi file winlogon.exe

atau lebih jelasnya baca disitus ini :

 http://www.teamfurry.com/wordpress/2007/02/15/under-the-hood-virut/

cara manual mungkin bikin bosan kalau hardisk besar dan  jumlah file gak sedikit. dengan sedikit googling akhirnya saya menemukan antivirus yang bisa menghapus  header dan entrypoint yang dibuat sivirut ini. namun kalau  virut tipe 5 atau tipe d kebanyakan file exenya akan korup gak bisa dibuka.

untuk yang mengalami gejala ini silahkan download antivirusnya di sini :

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

dijamin file anda tidak akan dihapus seperti yang dilakukan kebanyakan antivirus.
dan perlu diingat setelah komputer bersih jangan lupa untuk mengupdate antivirus anda. karena virus ini bersifat polymorph (bisa berubah menjadi varian baru). Deepfreeze tidak bisa diandalkan. karena deepfreeze sendiri terinfeksi. 

Source : http://sixfence.multiply.com/
-------------------------------------------------------------------------------------------------------

Virus.Win32.Virut.ce Removal 

Virus.Win32.Virut.ce is one of the many forms of the virut virus. Virut viruses are able to infect other executable files, making it hard to remove since they infect files that may be needed by Windows. Virut viruses tend to communicate with a server outside the user’s computer. Below are removal tools which may help you to remove Virus.Win32.Virut.ce.

AVG Internet Security Trial (Click Here To Download)
Symantec FixVirut (Click Here To Download)
AVG Win32/Virut Removal (Click Here To Download)

Common Questions -
1. What is a computer virus? (Click Here To Read)
2. How did I get this computer virus? (Click Here To Read)
3. What are some common symptoms that show that my computer may be infected? (Click Here To Read)
4. What are some antivirus and antispyware programs which I can use to remove viruses and spyware? (Click Here To Read)

We recommend that you follow our safety tips so that you can keep your computer clean. Please click here to view our safety tips

Source : http://www.virusremovalguru.com/?p=2518
-------------------------------------------------------------------------------------------------------

Win32 Virtob/Virut removal

November 8, 2007 at 7:54 pm · Filed under Windows

Today I got handed a machine riddled with a virus that avast! detects as “Win32 Virtob“, also known as “Win32 Virut“.

Virtob is a worm that spreads around your system on the back of executable files (.exe and .src), once the virus is running in the system memory, every executable you run after that will consequently be infected with the virus.

Once a system is infected it becomes very difficult to remove.

I discovered the system was infected with this worm when I installed avast! on the system. Avast! soon identified the virus in the infected files offering me a choice to repair, delete or move to chest.

I very quickly found that “repair” never worked, delete was a bad choice as they could be system executables that are needed, and so move to chest would also be a bad choice.

I had to find another approach.

There were two options, I learned that Dr Web CureIT was able to “cure” the files. I was also told that AVG offered a Virut Removal Tool.
  • Download the above files (on a clean system).
  • Create a boot CD, using Bart’s PE builder, or download miniPE (on a clean system) and put them on the CD
    • or on a memory stick (preferably as read only).
  • Reboot into the CD.
  • Run the downloaded software against the infected hard drives.
Once the system is disinfected reboot normally, then:
  • Go to Start -> Run, type: sfc /scannow
    • Note: This may require your Windows CD, or an i386 directory.
  • Run a full system scan using at least two up-to-date antivirus applications. (List of antivirus software)
  • Reinstall any software that appears to be corrupt or missing.
  • Ensure your windows updates are up-to-date (Especially ensure you have this one).
  • I also recommend you delete your “Temporary Internet Files” and delete all content from your %tmp% directory.
 Source : http://www.hm2k.com/
-------------------------------------------------------------------------------------------------------

Aksi Virut
 
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu :
Fungsi yang Dimatikan
  • Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.
  • File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.
  • Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.
Replace/Inject Network Driver
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
  • ndis.sys
  • TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.

File Virus
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :
  • C:Documents and Settings%user%reader_s.exe
  • C:Documents and Settings%user%%user%.exe
  • C:WINDOWSfontsservices.exe
  • C:WINDOWSSoftwareDistributionDownload[random_folder][nama_random].tmp
  • C:WINDOWSsystem32reader_s.exe
  • C:WINDOWSsystem32servises.exe
  • C:WINDOWSsystem32regedit.exe
  • C:WINDOWSsystem32[angka_random].tmp (beberapa file)
  • C:WINDOWSTempVRT[angka_random].tmp (beberapa file)
  • C:WINDOWSTemp~TM[angka_random].tmp (beberapa file)
  • C:WINDOWSTemp[angka_random].exe (beberapa file)
  • C:WINDOWSTemp[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.

Registry Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
22951 = C:WINDOWSsystem32[nama_random].tmp.exe
reader_s = C:WINDOWSsystem32reader_s.exe
Regedit32 = C:WINDOWSsystem32regedit.exe
servises = C:WINDOWSsystem32servises.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun
servises = C:WINDOWSsystem32servises.exe
exec = C:WINDOWSfontsservices.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
reader_s = C:Documents and Settingsklasnichreader_s.exe
servises = C:WINDOWSsystem32servises.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun
servises = C:WINDOWSsystem32servises.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion Windows
load = C:WINDOWSsystem32servises.exe
run = C:WINDOWSsystem32servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL
CheckedValue = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenNOHIDORSYS
CheckedValue = 0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandarProfileAuthorizedApplicationsList
\??C:WINDOWSsystem32winlogon.exe = \??C:WINDOWSsystem32winlogon.exe:*:enabled:@shell32.dll,-1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall StandardProfile
EnableFirewall = 0

Cara Pembersihan Virus
Matikan System Restore (XP/ME) (pada saat digunakan)

Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.

Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, CheckedValue, 0×00010001, 1
HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile, EnableFirewall, 0×00010001, 1
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, reader_s
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, servises
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, load
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, run
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, reader_s
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, servises
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, 22951
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, Regedit32
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDORSYS
HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandarProfileAuthorizedApplicationsList, \??C:WINDOWSsystem32winlogon.exe
HKLM, SOFTWAREPoliciesMicrosoftWindowsFirewall

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:WINDOWSsystem32driver dan C:WINDOWSsystem32dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:WINDOWSsystem32driveretc.

Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.

Source : http://c1p1.wordpress.com/

Posting Komentar

Blogger