Win32/Sality Removal Tools

Sality Removal Tools

Virus apakah yang paling berbahaya menurut anda? Bagaimana kalau dengan Sality? Nah untuk kali ini saya coba share masalah sality. Sality kalau menurut saya masuk kategori virus yang paling berbahaya dan paling menjengkelkan, kenapa bisa begitu, karena kalau saya terkena virus ini, seringnya sih ujung ujungnya instal ulang Komputer, ya bagaimana tidak, Program Aplikasinya banyak error, Antivirusnya jadi KO ,dll, harus digimanain kalau sudah seperti itu.

Kalau anda belum pernah terkena virus ini,ya syukurlah,dan tetap berhati hati dan waspada,jangan asal download file,dan rajin rajinlah update antivirusnya,bagi yang punya komputer tapi belum ada koneksi internet,kalau bagi yang punya koneksi internet sebaiknya otomatis updatenya diaktifkan untuk program Antivirusnya.

Sebelum Mendownload Salitiy Removal Tools ini,yang mana adalah produknya Antivirus AVG dan Antivirus Kaspersky,perlu anda ketahui juga ciri ciri Komputer yang terkena virus Sality,diantaranya adalah :

  • Folder Options di disable,terutama superhiddennya,jadi super hidden sudah ditampilkan tapi tetap tidak kelihatan filenya.
  • Task Manager dan Registry Editor di Disable,dan merubah value pada registry,intinya registrynya banyak yang error.
  • Tidak bisa menginstal Antivirus,dan tidak bisa mengakses situs situs antivirus,bagi yang sudah terinstal antivirus biasanya tidak bisa di update Otomatis,karena situsnya di blok oleh virus tersebut.
  • Firewall di disable dan banyak file service/process yang sedang berjalan dimatikan,terutama file filenya Antivirus.
  • Merestart Komputer jika kita mengakses Registrynya dengan program lain,misalkan Dan lain lain,karena Sality ini banyak sekali macam macamnya,kalau menurut Antivirus Avira jenisnya diantaranya W32/Sality.Y,sality.XX,sality.K,sality.AA dan lain2.
Bagaimana jika anda terkena virus dengan ciri ciri diatas hehehe,Nah untuk mengantisipasinya jika belum pernah terkena sality,sebaiknya anda cek komputer anda dengan Sality Removal Tool,disini saya share dua produk saja,yang pertama buatan antivirus AVG yang bisa anda Download Disini juga didownload di halaman AVG Sality Remover. Dengan program tersebut, saya bisa membersihkan komputer dari virus Win:32 Sality. ukuran file 158 KB,dengan rmsality.exe,dan yang kedua adalah produk dari Antivirus Kaspersky yang bisa anda Download Disini. yang terkenal dengan nama Sality Killer,dengan versi terbarunya yaitu V.1.3.3,file type *.zip dan berukuran sekitar 146 KB. Dan untuk virus removal tools produk AV yang lainnya bisa di download di sini,semoga kedepan bisa saya share juga,terimakasih semoga bermanfaat buat anda semuanya yang ingin menangani Virus virus menjengkelkan.

Update Removal Tools By Kaspersky
------------------------------------------------------
Kaspersky Virus Removal Tool
RectorDecryptor
TDSSKiller
KidoKiller
SalityKiller
Klwk.com
ZbotKiller
KatesKiller
Clrav.com
VirutKiller
XoristDecryptor
PMaxKiller
Digita_Cure
KL Anti-FunLove
Anti-Nimda

Source : http://www.bismillahslamet.com/
Source : http://support.kaspersky.com/viruses/utility/
-------------------------------------------------------------------------------------------------------

Cara Membasmi Virus Sality (exe)

Jika folder-folder di kom puter kamu mempunyai ekstensi .exe, .com. .scr kemungkinan besar computer kamu telah terserang virus sality. Untuk membasmi virus sality ini tidak mudah, selain mendupilkasi folder, virus sality juga menyerang file dengan ekstensi .exe.

Hal ini tentunya akan sangat menggangu kinerja komputer karena aplikasi-aplikasi yang sudah terinstal akan bekerja tidak normal. Dan celakanya semua master aplikasi yang ada dalam drive tidak bisa dijalankan termasuk antivirus. Ketika kamu akan melakukan scanning online melalui internet, semua situs penyedia free online scanning antivirus juga tidak dapat diakses. Lantas bagaimana cara menghapus/membasmi virus sality yang merepotkan ini?

Virus Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkan default share Windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr.

Untuk itu, perusahaan sekuriti Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari full sharing folder Anda di jaringan.

Berikut cara singkat membersihkan virus W32/Sality.AE yang dikutip dari Vaksincom :
  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet.
  2. Matikan System Restore selama proses pembersihan berlangsung.
  3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara: klik kanan repair.inf lalu install. Download
  4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.
  5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.
  6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting safe mode, silahkan restore registry yang sudah diubah oleh virus. Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.
  7. Fix registry lain yang diubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara: klik kanan repair.inf lalu install.
  8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
  9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.
Updated*

Link diatas sudah tidak tersedia, untuk cara membasmi Virus Sality dengan mudah download tool berikut:

Norman Sality Cleaner
Eset Nod32
Norton Sality Cleaner

Source : http://atlantisnetwork.blogspot.com/
-------------------------------------------------------------------------------------------------------

Sality Virus Terkenal di Indonesia, Clean, Remove & Repair Virus Sality

Setelah beberapa kali kubahas Conficker / downadup / kido yang merupakan jenis worm yang paling banyak kita temui di Indonesia. Virus Sality ini yamg diperkirakan dari Taiwan / Cina banyak kita temui di sini dengan perkembangan varian yang terus berganti.
Nama lain virus : W32/Sality.AE, W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee], Sality.AG [Panda Software], Win32/Sality.Z [Computer Associates], Win32/Sality.AA [Computer Associates]

Virus ini akan meng infeksi dan merusak file exe / com / scr. Ukuran file yang sudah terinfeksi Sality akan bertambah besar beberapa KB dan masih dapat di jalankan seperti biasa. Biasanya virus ini akan mem blok antivirus atau removal tools selain itu juga akan memblok task manager atau registry editor Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan File Sharing dan Default Share virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak dengan ekstensi exe/com/scr/pif serta menambahkan file autorun.inf

Untuk blok task manager atau Registry tools, Sality akan membuat :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem
DisableRegistryTools
DisableTaskMgr

File yang terinfeksi akan men dekrip dirinya dan mencoba copy *.dll (acak) dan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di computer dan network (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry hingga virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

Beberapa file *.dll yang akan di drop oleh Sality.

C:Windowssystem32syslib32.dll
C:Windowssystem32oledsp32.dll
C:Windowssystem32olemdb32.dll
C:Windowssystem32wcimgr32.dll
C:Windowssystem32wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori C:Windowssystem32drivers [misal : kmionn.sys]
Blok Antivirus dan software security

program security dan antivirus yang dimatikan prosesnya : ALG, aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web Scanner, AVP, BackWeb Plug-in – 4476822, bdss, BGLiveSvc, BlackICE, CAISafe, ccEvtMgr, ccProxy, ccSetMgr, F-Prot Antivirus Update Monitor, fsbwsys, FSDFWD, F-Secure Gatekeeper Handler Starter, fshttps FSMA,InoRPC, InoRT, InoTask, ISSVC, KPF4, LavasoftFirewall, LIVESRV, McAfeeFramework, McShield, McTaskManager, navapsvc, NOD32krn, NPFMntor, NSCService, Outpost Firewall main module, OutpostFirewall, PAVFIRES, PAVFNSVR, PavProt, PavPrSrv, PAVSRV, PcCtlCom, PersonalFirewal, PREVSRV, ProtoPort Firewall service, PSIMSVC, RapApp, SmcService, SNDSrvc, SPBBCSvc, Symantec Core LC, Tmntsrv, TmPfw, tmproxy, UmxAgent, UmxCfg, UmxLU, UmxPol, vsmon, VSSERV, WebrootDesktopFirewallDataService, WebrootFirewall, XCOMM

Beberapa website juga di blok seperti : Cureit, Drweb, Onlinescan, Spywareinfo, Ewido, Virusscan, Windowsecurity, Spywareguide, Bitdefender, Panda software, Agnmitum, Virustotal, Sophos, Trend Micro, Etrust.com, Symantec, McAfee, F-Secure, Eset.com, Kaspersky

Sality juga merubah registry :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Setting”GlobalUserOffline” = “0″
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem”EnableLUA” = “0″
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesxxx [xxx adalah acak, contoh : abp470n5]
HKEY_CURRENT_USERSoftware[USER NAME]914
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_IPFILTERDRIVER

Selain itu akan merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterSvc
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

Sality menghapus key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesALG.

ALG ( Application Layer Gateway Service ) adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Jika service ini dimatikan, program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok safe mode

User tidak dapat booting pada mode “safe mode” hal imi di sebabkan adannya penghapusan key :

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBoot
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
Injeksi file exe / com / scr

File yang ber ekstensi “.exe” yang terdapat dalam list registry menyebabkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

File yang di injeksi ukurannya bertambah sekitar 68 – 80 KB dari ukuran semula. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file induk sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi Sality, file tersebut bisa rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Untuk memperlancar aksinya, virus ini akan akan melakukan koneksi ke sejumlah alamat web yang sudah ditentukan, dan men download trojan / virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya ( update ).
Eksploitasi Default Share dan Full Sharing

Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Maka sebaiknya nonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder di jaringan.

Sality juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:Windowssystem.ini.
Clean, Remove & Repair Virus Sality
CARA PEMBERSIHAN SALITY

Putuskan hubungan komputer dari jaringan dan internet

Matikan System Restore selama proses pembersihan berlangsung.

Matikan Autorun dan Default Share, buat *.inf (misal repair.inf dari notepad atau download di sini filenya), klik kanan – install


[Version]
Signature="$Chicagoquot;
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SoftwareCLASSESbatfileshellopencommand,,,"""%1"" %*"
HKLM, SoftwareCLASSEScomfileshellopencommand,,,"""%1"" %*"
HKLM, SoftwareCLASSESexefileshellopencommand,,,"""%1"" %*"
HKLM, SoftwareCLASSESpiffileshellopencommand,,,"""%1"" %*"
HKLM, SoftwareCLASSESregfileshellopencommand,,,"regedit.exe "%1""
HKLM, SoftwareCLASSESscrfileshellopencommand,,,"""%1"" %*"
HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEMControlSet001ControlSafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEMControlSet002ControlSafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEMCurrentControlSetControlSafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEMCurrentControlSetServiceslanmanserverparameters, AutoShareWks,0x00010001,0
HKLM, SYSTEMCurrentControlSetServiceslanmanserverparameters, AutoShareServer,0x00010001,0
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableRegistryTools
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableTaskMgr
HKLM, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableRegistryTools
HKLM, SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableTaskMgr

Matikan program aplikasi yang aktif di memori terutama dalam daftar startup.

Scan dengan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain ( misal, *.exe menjadi *.cmd ) atau pakai media write protect, file removal tersebut tidak di infeksi ulang oleh Sality.
Sality Repair lainnya :

Sality Repair
Fix Register

Clean, Remove & Repair Virus Sality
Delete the value from the registry (symantec)
Click Start > Run.
Type regedit
Click OK.Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool, and then continue with the removal.
Navigate to and delete the following registry entry:

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabled:ipsec"
Navigate to and delete the following registry subkeys:
HKEY_CURRENT_USERSoftware[USER NAME]914
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_IPFILTERDRIVER
Restore the following registry entries to their previous values, if required:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Setting"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem"EnableLUA" = "0"
Restore registry entries under the following registry subkeys to their previous values, if required:
HKEY_CURRENT_USERSystemCurrentControlSetControlSafeBoot
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExtStats
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExtStats
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
Exit the Registry Editor.

Source : http://ariefew.com/

Rising-Anti-Virus
Source : http://www.ngobrolaja.com/showthread.php?t=31875
-------------------------------------------------------------------------------------------------------

PCMAV Express for Sality



Pusing dengan ulah Sality (alias Kuku/Sector) virus yang mengusung teknologi canggih dan bersifat polymorphic ini? Sudah menggunakan cleaner/removal tool khusus yang dikeluarkan vendor antivirus komersial ternama namun file yang terinfeksi malah rusak dibuatnya? Atau Anda sering terkecoh dengan berbagai analisa blackbox virus ala amatiran yang sering disiarkan sebuah distributor lokal antivirus luar negeri yang turut juga menjajakan layanan jasa antivirus (namun kurang pandai dalam menganalisis virus komputer)?

Tunggu kehadiran PCMAV Express for Sality, satu-satunya antivirus unggulan dan terbaik di dunia yang dibuat khusus untuk tuntas dan akurat mendeteksi dan membasmi Sality sampai ke akar-akarnya, serta dilengkapi kemampuan ajaib untuk memulihkan file yang terinfeksi tanpa merusaknya. PCMAV Express for Sality merupakan sub-produk dari PCMAV, antivirus kebanggaan Indonesia.

Update (9 Agustus 2009): PCMAV Express for Sality beta2 telah dapat di-download dengan meng-klik gambar di atas. Di rilis beta ini sebanyak 4 varian Sality jenis polymorphicbug/kesalahan dari virus ini yang menimpa tabel/data penting header PE dan mustahil untuk diperbaiki. Sedangkan 4-6 varian lain dari Sality yang berjenis metamorphic (Avira: .J/.Y/.AA; NOD: .NAO/.NAR/.NAU; Kaspersky: .z/.aa) walau dapat dideteksi, namun butuh waktu yang tidak sebentar untuk mengerjakan dan testing rutin disinfek virus di file, memory, dan di konfigurasi sistem. Status beta akan kami cabut jika seluruh 4-6 varian metamorphic yang kami miliki telah selesai dianalisa. Dan kami jamin, tidak ada satupun antivirus di dunia ini yang sanggup mengatasi Sality jenis polymorphic sehandal dan setuntas PCMAV. Kami harapkan hal yang sama akan dapat dilakukan pada Sality jenis metamorphic. (PCMAV Express: 302/304/309/400; Avira: .L/.Q/.s; NOD: .NAC/.NAE/.NAJ/.NAM) telah dapat diatasi dengan tuntas, kecuali tentunya file yang telah rusak terinfeksi akibat Varian virus Sality polymorphic (302/304/309/400) ini termasuk kompleks penanganannya, dan saat ini telah melalui tahapan akhir analisis. PCMAV Express for Sality beta2 telah mencapai hasil akhir. Tahapan selanjutnya adalah penelitian dan analisis Sality jenis metamorphic, yang jauh lebih kompleks dari jenis polymorphic, yang saat ini ditemukan sebanyak 6 varian di Indonesia.

Tidak seperti antivirus khusus Sality yang dihasilkan vendor ternama, PCMAV Express ini terbukti sebagai satu-satunya antivirus yang mampu “membunuh” virus Sality polymorphic di memory, sekalipun Windows dalam keadaan aktif normal dengan tanpa memerlukan safe boot sama sekali (yang juga mustahil dilakukan karena Sality mencegah hal ini). Selain itu, file yang terinfeksi dapat dipulihkan kembali walau virus ini memiliki kemampuan mengecoh dalam menginfeksi file .EXE dan .SCR. Semua antivirus yang tidak menyadari hal ini dijamin akan salah dan gagal total dalam memulihkan file yang terinfeksi.

Dari keempat varian Sality tersebut, hanya 302 yang menampilkan pesan dari pembuatnya. Kami juga telah berhasil melumpuhkan file induk virus Sality-302 untuk dibuatkan demonya, sehingga Anda pun kini bisa menikmati secara langsung tampilan Sality-302 ketika beraksi tanpa perlu takut terinfeksi.

Source : http://virusindonesia.com/2009/06/01/pcmav-express-for-sality/

Baca Selengkapnya...

Win32/Virut Removal Tools

Removal Virus Win32/Virut

http://img.brothersoft.com/screenshots/softimage/w/w32.virut_removal_tool-304663-1258340252.jpeg

Situs-situs crack keygen dan serials akhir-akhir ini menambahkan file penginfeksi yang bernama “Virut”. Virus ini biasanya ada di crack mini game atau file nfo. Virus ini akan menginfeksi semua file .exe dan .scr di dalam sistem. Antivirus AVG, Kapersky, NOD, Norman bisa detect virus ini tapi file yang terkontaminasi ikut terhapus, nah kalo sistem windows yang di delete, otomatis windowsnya kolap dan ga bisa di run, sama aja bunuh diri kan?(sori ya Nhy kompimu jadi percobaan hehe). Lebih parahnya lagi mesin anti virusnya bahkan akan ikut terinfeksi dan anti virus malah jadi eror.

Cara kerja dan penyebaran virus ini masuk kedalam file exe dan file yg extensionnya dll jadi kalo kita jalankan file itu, maka virus ada di memory, trus menyerang lagi file laen yang kita run. Virus ini biasanya juga akan menginjeksi ke dalam winlogon.exe sehingga kita gak bisa login ke kompi dan cuman berputar-putar aja di menu windows login (meski sebenernya bisa sih masuk lewat safe mode). Meskipun di-scan virus ini akan muncul lagi (regenerate) dan menginfeksi lagi file-file exe yang tadi.

Cara yang paling aman adalah format dan install ulang komputer. Terutama klo sistemnya banyak yang kena. Dan klo udah diinstall ulang, sebelom diinstall program macem2 install dulu av yang terupdate tentunya.


Buat yang males install ulang bisa juga coba pake removal ini:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe (9M)

Ato yang ini dari grisoft:

http://free.grisoft.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.exe(457KB)

http://free.grisoft.com/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.nt(1,5KB)

Simpan file rmvirut.nt dan file rmvirut.exe kedalam satu folder. Kemudian run file rmvirut.exe. Setelah proses healing selesai coba test scan menggunakan AVG untuk memastikan virus sudah hilang.

Source : http://omot.wordpress.com/
-------------------------------------------------------------------------------------------------------

http://c1p1.files.wordpress.com/2009/09/computer-virus.jpg
Berikut profil dari Win32/Virut ini, diterjemahkan dari situs AVG :

Win32/Virut adalah parasit penginfeksi file yang berekstensi .EXE, bertindak seperti IRC bot, berkomunikasi lewat port TCP 65520, lalu membuka channel #virtu di alamat server IRC proxim.ircgalaxy.pl

Langkah pertamanya setelah dijalankan adalah menyuntikkan prosesnya (winlogon.exe), alasannya adalah filrewall tidak akan mengenali virus ini. Kemudian virus akan menginfeksi file di harddisk lokal atau jaringan. Virus ini tidak bergantung pada penggunaan atau eksekusi file-file di harddisk.

File yang terinfeksi mempunyai ukuran file lebih besar sekitar 9kb, dan tidak akan menyimpan timestamp (waktu dibuat, waktu diubah) aslinya. Timestamp akan berubah ke waktu saat virus menginfeksinya.

Virus ini aktif dengan cara-cara yang “klasik” :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Catatan : nama file yang terinfeksi di entri registri bisa bervariasi. virus memilih nama dari file yang terinfeksi di folder sistem.

Virus ini tidak menggunakan teknik rootkit atau teknik siluman (hehe..saya nggak tau ni terjemahan pastinya dari kalimat “stealth”), virus ini juga membuat file yang tidak mempunyai fungsi yang juga mengandung virus.

Bagaimana membersihkan virus ini dari komputer ?

  1. Download Virut Remover
  2. Boot sistem ke safe mode
  3. Scan dengan removal tool diatas. kalau removal tool merekomendasikan untuk restart komputer turuti saja.
Saya merekomendasikan matikan saja system restore selamanya ! memang sih fitur ini cukup berguna. Tapi bagi anda yang ingin hidup “lebih hidup” lebih baik matikan saja. Ini jalan utama bagi virus menginfeksi sistem. Soalnya apabila sistem terinfeksi, biarpun sudah di-scan dan bersih apabila masih ada virus yang terlewat di system restore ini dia akan kembali lagi.

Source : http://esetiawan.wordpress.com/
-------------------------------------------------------------------------------------------------------

Baru pertama kali ini komputerku kejangkitan virus. dan gak pernah separah ini. seluruh file dengan extensi *.exe; *.scr ; *.dll; *.com. yang ada dihardiskku diinfeksi semua. yang paling menjengkelkan proyek yang kukerjakanpun ikut diinfeksi. tp sebenarnya virus jinak jinak anjing. kalau lengah data bisa dicuri sama pembuat virus. karena virus ini membuka jalur khusus untuk terhubung proxima.irc.pl. dan cara kerja virus virut.x sebagai berikut :

Ketika virut.x dieksekusi untuk pertama kalinya, sivirus ini menempatkan real entrypoint pada stack sebagai return address


Yang kemudian stack akan tampil seperti ini :

kemudian setelah itu virus ini mencetak PE header pada Kernel32.dll. setelah menulis PE Header sivirus ini mendisable windows file protection (SFC_OS.dll) lha dari sinilah si virus tersebut bisa menginfeksi file dengan ekstensi *.exe; *.scr ; *.dll; *.com. dan untuk tetap jalan setiap distartup virus ini terlebih dulu menginjeksi file winlogon.exe

atau lebih jelasnya baca disitus ini :

 http://www.teamfurry.com/wordpress/2007/02/15/under-the-hood-virut/

cara manual mungkin bikin bosan kalau hardisk besar dan  jumlah file gak sedikit. dengan sedikit googling akhirnya saya menemukan antivirus yang bisa menghapus  header dan entrypoint yang dibuat sivirut ini. namun kalau  virut tipe 5 atau tipe d kebanyakan file exenya akan korup gak bisa dibuka.

untuk yang mengalami gejala ini silahkan download antivirusnya di sini :

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

dijamin file anda tidak akan dihapus seperti yang dilakukan kebanyakan antivirus.
dan perlu diingat setelah komputer bersih jangan lupa untuk mengupdate antivirus anda. karena virus ini bersifat polymorph (bisa berubah menjadi varian baru). Deepfreeze tidak bisa diandalkan. karena deepfreeze sendiri terinfeksi. 

Source : http://sixfence.multiply.com/
-------------------------------------------------------------------------------------------------------

Virus.Win32.Virut.ce Removal 

Virus.Win32.Virut.ce is one of the many forms of the virut virus. Virut viruses are able to infect other executable files, making it hard to remove since they infect files that may be needed by Windows. Virut viruses tend to communicate with a server outside the user’s computer. Below are removal tools which may help you to remove Virus.Win32.Virut.ce.

AVG Internet Security Trial (Click Here To Download)
Symantec FixVirut (Click Here To Download)
AVG Win32/Virut Removal (Click Here To Download)

Common Questions -
1. What is a computer virus? (Click Here To Read)
2. How did I get this computer virus? (Click Here To Read)
3. What are some common symptoms that show that my computer may be infected? (Click Here To Read)
4. What are some antivirus and antispyware programs which I can use to remove viruses and spyware? (Click Here To Read)

We recommend that you follow our safety tips so that you can keep your computer clean. Please click here to view our safety tips

Source : http://www.virusremovalguru.com/?p=2518
-------------------------------------------------------------------------------------------------------

Win32 Virtob/Virut removal

November 8, 2007 at 7:54 pm · Filed under Windows

Today I got handed a machine riddled with a virus that avast! detects as “Win32 Virtob“, also known as “Win32 Virut“.

Virtob is a worm that spreads around your system on the back of executable files (.exe and .src), once the virus is running in the system memory, every executable you run after that will consequently be infected with the virus.

Once a system is infected it becomes very difficult to remove.

I discovered the system was infected with this worm when I installed avast! on the system. Avast! soon identified the virus in the infected files offering me a choice to repair, delete or move to chest.

I very quickly found that “repair” never worked, delete was a bad choice as they could be system executables that are needed, and so move to chest would also be a bad choice.

I had to find another approach.

There were two options, I learned that Dr Web CureIT was able to “cure” the files. I was also told that AVG offered a Virut Removal Tool.
  • Download the above files (on a clean system).
  • Create a boot CD, using Bart’s PE builder, or download miniPE (on a clean system) and put them on the CD
    • or on a memory stick (preferably as read only).
  • Reboot into the CD.
  • Run the downloaded software against the infected hard drives.
Once the system is disinfected reboot normally, then:
  • Go to Start -> Run, type: sfc /scannow
    • Note: This may require your Windows CD, or an i386 directory.
  • Run a full system scan using at least two up-to-date antivirus applications. (List of antivirus software)
  • Reinstall any software that appears to be corrupt or missing.
  • Ensure your windows updates are up-to-date (Especially ensure you have this one).
  • I also recommend you delete your “Temporary Internet Files” and delete all content from your %tmp% directory.
 Source : http://www.hm2k.com/
-------------------------------------------------------------------------------------------------------

Aksi Virut
 
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki account user pada beberapa alamat e-mail, yaitu :
Fungsi yang Dimatikan
  • Windows Firewall dimatikan dan diproteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer mengaktifkan kembali Firewall.
  • File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun program aplikasi lainnya, akan muncul error saat dijalankan.
  • Tidak bisa melakukan share folder ataupun share drive. Hal ini dilakukan untuk mencegah akses share dari komputer lain.
Replace/Inject Network Driver
Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
  • ndis.sys
  • TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga komputer tersebut tidak dapat terkoneksi pada jaringan.

File Virus
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut :
  • C:Documents and Settings%user%reader_s.exe
  • C:Documents and Settings%user%%user%.exe
  • C:WINDOWSfontsservices.exe
  • C:WINDOWSSoftwareDistributionDownload[random_folder][nama_random].tmp
  • C:WINDOWSsystem32reader_s.exe
  • C:WINDOWSsystem32servises.exe
  • C:WINDOWSsystem32regedit.exe
  • C:WINDOWSsystem32[angka_random].tmp (beberapa file)
  • C:WINDOWSTempVRT[angka_random].tmp (beberapa file)
  • C:WINDOWSTemp~TM[angka_random].tmp (beberapa file)
  • C:WINDOWSTemp[angka_random].exe (beberapa file)
  • C:WINDOWSTemp[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.

Registry Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
22951 = C:WINDOWSsystem32[nama_random].tmp.exe
reader_s = C:WINDOWSsystem32reader_s.exe
Regedit32 = C:WINDOWSsystem32regedit.exe
servises = C:WINDOWSsystem32servises.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun
servises = C:WINDOWSsystem32servises.exe
exec = C:WINDOWSfontsservices.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
reader_s = C:Documents and Settingsklasnichreader_s.exe
servises = C:WINDOWSsystem32servises.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun
servises = C:WINDOWSsystem32servises.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion Windows
load = C:WINDOWSsystem32servises.exe
run = C:WINDOWSsystem32servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL
CheckedValue = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenNOHIDORSYS
CheckedValue = 0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandarProfileAuthorizedApplicationsList
\??C:WINDOWSsystem32winlogon.exe = \??C:WINDOWSsystem32winlogon.exe:*:enabled:@shell32.dll,-1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall StandardProfile
EnableFirewall = 0

Cara Pembersihan Virus
Matikan System Restore (XP/ME) (pada saat digunakan)

Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut: http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe

Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.

Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd.
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses pembersihan, disarankan segera restart komputer.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL, CheckedValue, 0×00010001, 1
HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile, EnableFirewall, 0×00010001, 1
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, reader_s
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, servises
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, load
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, run
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, reader_s
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, servises
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, 22951
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, Regedit32
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDORSYS
HKLM, SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandarProfileAuthorizedApplicationsList, \??C:WINDOWSsystem32winlogon.exe
HKLM, SOFTWAREPoliciesMicrosoftWindowsFirewall

Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys” (berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang belum terinfeksi. Biasanya file tersebut berada pada C:WINDOWSsystem32driver dan C:WINDOWSsystem32dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1 kb) dari komputer yang belum terinfeksi. Biasanya berada pada C:WINDOWSsystem32driveretc.

Anda bisa juga menggunakan tools perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link berikut: http://www.funkytoad.com/download/HostsXpert.zip
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan dapat mendeteksi dan membasmi virus ini dengan baik.

Source : http://c1p1.wordpress.com/

Baca Selengkapnya...