Menulis apa yang bisa saya tulis

Tag: trojan

Trojan Win32/PSW.OnLineGames.NNU

Komputer #2 dikunjungi trojan lagi. Mungkin karena saya lupa install patch 958644. Nama trojannya Win32/PSW.OnLineGames.NNU. Tidak terdeteksi oleh antivirus ESET Nod32, tapi deskripsinya bisa ditemukan di situs ESET dan BitDefender. Ciri-cirinya ditemukan file herss.exe dan cvasds[random].dll di direktori %TEMP%. File herss.exe juga muncul di entry startup. Dan seperti yang lainnya, trojan ini juga menyembunyikan file beratribut hidden di explorer serta menghidupkan autorun.

Akhirnya bisa dibasmi manual. Pertama-tama saya install patch 958644, hapus herss.exe dari entry startup, hapus file C:\autorun.inf dan C:\nsd0q.exe (atau apapun nama file exe aneh yang muncul di direktori root), hapus %TEMP%\herss.dll dan terakhir hapus %TEMP%\cvasds[random].dll.

Sedikit kendala karena file %TEMP%\cvasds[random].dll diinjeksikan ke semua proses. Saya hapus dulu semua file trojan, restart, kemudian coba lagi hapus file %TEMP%\cvasds[random].dll. Sukses. Tidak muncul lagi file C:\autorun.inf dan komputer #2 tidak lagi menulari flashdisk yang ditancapkan.

Bleh.

Menghidupkan kembali Registry Editor

Pernah mencoba menjalankan regedit di Windows XP terus yang keluar malah pesan ini?

registry-disabled-00.jpg

Jika sudah begini, tool-tool lain yang memanipulasi registry juga tidak bisa dijalankan. Contohnya seperti TweakUI dari Microsoft.

tweak-ui-disabled-00.jpg

Kalau anda memiliki kewenangan sebagai administrator dan anda tidak pernah merasa menon-aktifkan Registry Editor, ada kemungkinan komputer anda terkena virus. Untuk mengaktifkan kembali Registry Editor, lakukan langkah-langkah berikut:

  • Jalankan gpedit.msc melalui dialog Run. Akan muncul window Group Policy.
  • Pilih menu Local Computer Policy \ User Configuration \ Administrative Templates \ System.
  • Double click pada item Prevent access to registry editing tools. Akan muncul window berikut:

group-policy-01.jpg

  • Klik pada pilihan Disabled. Klik tombol OK.

Sekarang coba jalankan lagi perintah regedit. Registry Editor (semestinya) akan muncul.

Bersih-bersih Virus, Trojan dan Worm

Bersih-bersih virus, worm dan trojan kali cukup sukses. Enam PC dengan Windows XP SP2 sudah terpasang anti virus, patch 958644 dari Microsoft, registry editor dan task manager bisa dijalankan, fasilitas autorun/autoplay sudah dimatikan, firewall sudah diaktifkan, startup di registry sudah dibersihkan dari virus loader, dan sudah dipastikan kalau PC bersangkutan tidak memberi “oleh-oleh” pada flashdisk yang ditancapkan.

Di PC terakhir, file comres.dll terinfeksi trojan Win32/PSW.OnLineGames.NRD. Tidak bisa dibersihkan, juga tidak bisa dihapus karena ternyata comres.dll diperlukan oleh sistem. Dicoba menghapus di safe mode juga tidak bisa. Terpaksa booting dengan CD installer Windows XP S2, masuk recovery console dan mengganti file comres.dll dengan file dari installer.

Dengan ini ruangan bagian kami saya nyataken resmi bersih dari virus (paling tidak saat ini).

Powered by WordPress & Theme by Anders Norén