Tuesday, April 8, 2008

Win32/Virut A (Virut) dan remover-nyah

Saat tulisan ini diturunkan saya masih bergumul dengan virus yang bernama Virut, dengan alias sebagai berikut :

Win32/Virut.D (AhnLab-V3), W32/Virut.E (AntiVir), Win32.Virtob.2.Gen (BitDefender), W32.Virut.ci (ClamAV), Win32.Virut.5 (DrWeb), W32/Virut.E (Fortinet), Virus.Win32.Virut.e (F-Secure), Virus.Win32.Virut.d (Ikarus), Virus.Win32.Virut.e (Kaspersky), W32/Virut (McAfee), Virus:Win32/Virut.D (Microsoft), Win32/Virut (NOD32v2), W32/Virutas.G (Panda), W32/Vetor-A (Sophos), W32.Virut.B (Symantec), Win32.Virut.Gen (VirusBuster), Win32.Virut.E (Webwasher-Gateway)

Terdeteksinya virus Virut ini juga sekaligus memupus kecurigaan dan kebingungan saya oleh keanehan tingkah laku komputer. Untuk informasi saat ini saya mengelola sebuah warnet di bilangan Ciomas Bogor.

Latar Belakang :
Lazimnya sebuah Warung Internet, pasti ada banyak ragam pengguna dan berbeda pula keperluannya. Ada yang perlu internet untuk mengerjakan tugas sekolahnya, ada pula yang sekedar iseng browsing atau chatting.

Nah, pengguna yang sekedar iseng ini seringkali yang menjadi masalah. Misalkan browsing ke situs porno atau download file yang tidak jelas keamanannya.
Untuk komputer warnet (sebanyak 12 PC) tidak ada masalah karena sudah diinstal DeepFreeze

Sedangkan untuk Game Center di lantai 2 pemasangan DeepFreeze jelas tidak dapat dilakukan karena hampir semua game online yang diinstal memerlukan update atau patch periodik. Sehingga apabila diinstal DeepFreeze maka setiap restart game tersebut akan selalu mendownload patch. Ada cara lain yaitu menginstal game online di partisi lain selain partisi yang dilindungi oleh DeepFreeze, tapi cara ini tidak saya lakukan karena selain harus instal ulang Windows (untuk memastikan awal yang bersih), instalasi game online di 8 komputer game juga memakan waktu.

Keanehan yang saya alami setelah terinfeksi virus yaitu setiap file hasil download selalu tidak dapat dieksekusi. Ada yang rewel "EXE Corrupted" atau "File Damaged". Misalkan download PCMAV terbaru. file yang telah selesai di-download selalu merengek "File Damaged or Infected by Virus".

Ada lagi file Patcher.exe yang menjadi file utama game Ayodance setelah dieksekusi beberapa detik dia akan menutup sendiri. Satu komputer yang telah selesai saya clean instal pun tidak luput dari serbuan Virut.

Berikut profil dari Win32/Virut ini, diterjemahkan dari situs AVG :

Win32/Virut adalah parasit penginfeksi file yang berekstensi .EXE, bertindak seperti IRC bot, berkomunikasi lewat port TCP 65520, lalu membuka channel #virtu di alamat server IRC proxim.ircgalaxy.pl

Langkah pertamanya setelah dijalankan adalah menyuntikkan prosesnya (winlogon.exe), alasannya adalah filrewall tidak akan mengenali virus ini. Kemudian virus akan menginfeksi file di harddisk lokal atau jaringan. Virus ini tidak bergantung pada penggunaan atau eksekusi file-file di harddisk.

File yang terinfeksi mempunyai ukuran file lebih besar sekitar 9kb, dan tidak akan menyimpan timestamp (waktu dibuat, waktu diubah) aslinya. Timestamp akan berubah ke waktu saat virus menginfeksinya.

Virus ini aktif dengan cara-cara yang "klasik" :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Catatan : nama file yang terinfeksi di entri registri bisa bervariasi. virus memilih nama dari file yang terinfeksi di folder sistem.

Virus ini tidak menggunakan teknik rootkit atau teknik siluman (hehe..saya nggak tau ni terjemahan pastinya dari kalimat "stealth"), virus ini juga membuat file yang tidak mempunyai fungsi yang juga mengandung virus.

Bagaimana membersihkan virus ini dari komputer ?
1. Download Virut Remover
2. Boot sistem ke safe mode
3. Scan dengan removal tool diatas. kalau removal tool merekomendasikan untuk restart komputer turuti saja.

Saya merekomendasikan matikan saja system restore selamanya ! memang sih fitur ini cukup berguna. Tapi bagi anda yang ingin hidup "lebih hidup" lebih baik matikan saja. Ini jalan utama bagi virus menginfeksi sistem. Soalnya apabila sistem terinfeksi, biarpun sudah di-scan dan bersih apabila masih ada virus yang terlewat di system restore ini dia akan kembali lagi.

hidup anti virus !.....mati virus ! yey jayus abis....
Posted by at
Labels:

51 comments:

  1. Audi NugrahaMay 19, 2008 at 9:44 AM

    Yah... bener - bener nih virus...
    NGERUSAK semua keygen sama backupan-ku...

    Makasih ya mas atas solusinya ^_^

    ReplyDelete
  2. esetiawanMay 19, 2008 at 5:21 PM

    Glad can help u.. ^^

    ReplyDelete
  3. Audi NugrahaMay 21, 2008 at 7:38 AM

    Tapi kok nongol lagi ya mas virusnya?
    Stress deh...

    Udah install ulang, scan pake AVG, NOD, NAV, KAV, McAfee (up2date + dari CD) Tapi... Errrr...

    Btw, mungkin antivirus buat DOS bisa jadi solusi...?

    Mau nyobain McAfee versi DOS tapi superdatnya itu lho 40MB++, capek downloadnya, hehehe....

    ReplyDelete
  4. esetiawanMay 22, 2008 at 12:29 AM

    Hmm..Install ulang Mindows maksudnya ? mungkin installer software si mas yang di CD/media lain udah terinfeksi. Coba di periksa satu-satu software yang si mas punya. Periksa juga entri startup : Service dan software yang dimuat saat startup. Pake HijackThis aja. Ada koq di artikel Blog ini.
    Paling enak sih format ulang + Clean Install ya ? hehehe
    Tapi Virut Remover kan bisa scan under "DOS". Coba scan di safe mode...

    Moga membantu

    ReplyDelete
  5. budiJune 2, 2008 at 6:41 PM

    mas punyaku kok ga bisa masuk safe mode yah, gimana?
    mohon bantuannya, makasih

    ReplyDelete
  6. esetiawanJune 2, 2008 at 11:01 PM

    Tekan tombol F8 saat startup (sesudah POST BIOS, sebelum logo Mindows keluar) -Pilih Safe Mode.
    Kalo tetep ngga bisa, coba di MSCONFIG :
    1. Start-Run-MSConfig
    2. Di Tab Boot.ini centang pilihan /safe boot-restart
    3. Kalau sudah selesai hilangkan lagi centang /safe boot.

    Mudah2an membantu ^^

    ReplyDelete
  7. zkyroomJune 9, 2008 at 4:28 AM

    matur suwun...bos

    ReplyDelete
  8. esetiawanJune 10, 2008 at 1:05 AM

    simsim... ^^

    ReplyDelete
  9. blackieJune 14, 2008 at 4:46 AM

    mas apa antivirus lagi yg lebih siiiiiip soalnya dikomputerku belum sampai selesai udah mati ngescannya, tp waktu dicoba dikomputer lain bisa sampai tuntas.

    ReplyDelete
  10. esetiawanJune 14, 2008 at 4:10 PM

    Waw..bisa diperjelas lagi kenapa mati sebelum tuntas ngescan ? Apakah dia restart atau shutdown ?
    Ada kemungkinan si virus sudah menguasai sistem sehingga dia mencoba melindungi dirinya sendiri. Cuba liat2 ke :
    http://esetiawan.wordpress.com/2008/02/04/virussurivvisursivurrusiv/
    dan juga baca lanjutannya.

    Atau coba juga scan dalam Safe Mode
    Semua anti virus itu bagus, asal rajin UPDATE ^^

    ReplyDelete
  11. Mas,tp aQ koq ga bs ya?Aq udah msk safe mode,tp pas aQ scan,koQ ada pesan "The virus is active in memory and may disrupt cleaning.It is necessary to run the remover after system reboot" lalu muncul pesan lagi "virus remover will check the files during nexJune 29, 2008 at 9:40 PM

    -

    ReplyDelete
  12. esetiawanJune 29, 2008 at 11:41 PM

    ya emang bagitu ^^ Itu brati komputermu ada virut yang aktif. Jadi si Virut Remover akan scan saat sistem restart (sebelum masuk windows karena virut belum aktif pada posisi ini). Restart aja...

    ReplyDelete
  13. NcienkSeptember 21, 2008 at 12:09 PM

    Kang urang bogor lain?
    Hehe..
    Wah ngeliat artikelnya jd tertarik bwt mencoba nie...maklum dah 4x instal ulang plus repair, masih nongol tuh virus...
    Td c dah bres pke ansav, kena smua tu virut win32, cuman gara2 di system, n harus di deleted, jd skrg ga bs login..
    Pdhal dah di repair nie kang?
    Gmna ya?
    Apa hrs format ke 5kalie?
    Hiks..bt euy...
    Bru gw seumur hidup sehari 4 kalie format kompi...edan nie virus..
    Tlg pencerahannya kang trims..

    ReplyDelete
  14. No2nkSeptember 21, 2008 at 12:11 PM

    Kang urang bogor lain?
    Hehe..
    Wah ngeliat artikelnya jd tertarik bwt mencoba nie...maklum dah 4x instal ulang plus repair, masih nongol tuh virus...
    Td c dah bres pke ansav, kena smua tu virut win32, cuman gara2 di system, n harus di deleted, jd skrg ga bs login..
    Pdhal dah di repair nie kang?
    Gmna ya?
    Apa hrs format ke 5kalie?
    Hiks..bt euy...
    Bru gw seumur hidup sehari 4 kalie format kompi...edan nie virus..
    Tlg pencerahannya kang trims..

    ReplyDelete
  15. esetiawanSeptember 22, 2008 at 4:22 PM

    Sumuhun abdi urang BGR. :D
    Kalo pake virut remover file yang kena virut mah bisa disembuhin, bukan dihapus.
    Seharusnya abis direpair bisa jalan lagi. Tapi kalau nggak bisa ya wayahna weeh clean install lagih..hehe...jangan lupa setelah instal XP, instal Anti virus dulu terus scan pake virut remover...mangga ah..punten lami :D

    ReplyDelete
  16. yoensNovember 13, 2008 at 7:58 PM

    laptop ku kayaknya kena ini virus..
    mau dibersihkan tapi kok gak bisa masuk safe mode...
    setelah boot, tekan f8, pilih safe mode, terus masuk desktop, tapi desktop nya blank ( gak ada menu, start, toolbar, icon dll, background warna item, dipojok2 ada tulisan safe mode)) jadi gak bisa apa2. gimana kang?

    ReplyDelete
  17. Eko SetiawanNovember 13, 2008 at 8:47 PM

    coba ini : Tekan CTRL+ALT+DEL..maka keluar task manager..klik File-Run, ketik Explorer lalu OK/Enter.
    Kalau lancar seharusnya desktop akan muncul. Kalau nggak coba aja buka virut remover di windows normal ^^

    ReplyDelete
  18. aliNovember 14, 2008 at 10:21 PM

    salam...
    mas, terima kasih atas infonya, tapi saya kesulitan masuk safe mode..
    sudah saya coba pake safeboot dari msconfig tapi malah bikin saya terjebak karena ga bisa masuk windows..ada solusi ga bagaimana caranya hilangkan virus tersebut tanpa format hardisk..
    terima kasih atas penjelasannya

    ReplyDelete
  19. esetiawanNovember 15, 2008 at 3:35 AM

    Hmm...coba ini :
    tekan F8 sebelum logo Windows dimuat saat startup, lalu pilih Normal atau Previous Working Configuration. Jika semua sudah tidak bisa, pilih opsi Repair using Recovery Console lalu ketik Fixboot dan FixMBR. moga membantu ^^

    ReplyDelete
  20. Ryan_BKBJanuary 5, 2009 at 10:16 PM

    Huh..., keren banget serangannya, sampai-sampai Anti-Virus yang menyebar tidak banyak yang bisa berkutik.
    Menurut pengalaman saya, si Virut ini bisa di remove (lepas) dengan Norman VC (Virus Control).
    Namun, Norman saya sudah hilang karena di install ulang, hik..., hik.... Sedih....

    ReplyDelete
  21. esetiawanJanuary 5, 2009 at 11:40 PM

    donlot lagi bos... ^^ ...

    ReplyDelete
  22. Ryan_BKBJanuary 10, 2009 at 5:22 PM

    Sudah sih di download, cuman susah di install.
    Gak bisa nginstall sendiri.
    Gimana nih bos?
    Ada solusi?!

    ReplyDelete
  23. esetiawanJanuary 10, 2009 at 8:28 PM

    nggak perlu install koq.. yang penting rmvirut.exe dan rmvirut.nt di satu direktori...jalanin aja langsung rmvirut.exe...(sifatnya portabel)

    ReplyDelete
  24. esetiawanJanuary 10, 2009 at 8:29 PM

    e maksudnya Norman yah? maaf itu silakan merujuk ke si pemberi download atau Readme-nya ^^

    ReplyDelete
  25. wilbertApril 7, 2009 at 4:48 PM

    mas w ini pencinta audition yang w nanya w maw mendownload patcher audition w

    ReplyDelete
  26. esetiawanApril 9, 2009 at 12:27 AM

    download patcher? Patch April ada disini http://122.102.49.138:81/Audition06036.exe. Kalau terinfeksi Virut ya jalankan dulu virut remover di komputer kamu. OKe!

    ReplyDelete
  27. liliApril 26, 2009 at 5:24 PM

    mas.. gimana cara matiin sistem restore?

    ReplyDelete
  28. AnonymousApril 27, 2009 at 4:26 AM

    hai lili. mematikan system restore adalah sbb:
    klik start-settings-control panel-system
    Klik tab System Restore lalu centang pilihan Turn Off System Restore on All Drives lalu klik OK.
    Kerugian mematikan system restore ini adalah kamu nggak bisa mengembalikan sistem ke keadaan sebelumnya. Hal ini berguna banget jika-misalnya hari ini Windows kamu ngadat-kamu tinggal menggunakan System Restore untuk mengembalikan system ke hari sebelumnya dimana Windows masih normal. Namun fitur ini juga dimanfaatkan virus untuk mengembalikan dirinya jika dihapus :(
    :) oke semoga membantu :)

    ReplyDelete
  29. esetiawanApril 27, 2009 at 4:27 AM

    Ooops...reply diatas adalah saya selaku Go....!!!! BLOG Writer :D ...

    ReplyDelete
  30. NinoMay 31, 2009 at 12:18 AM

    Baru-baru ini laptop saya kena virus..
    entah nama bekennya apa, sepertinya sih kena virut, McAfeee men-detect sebagai "generic.dx!rootkit" | Trojan
    gelagat kena virus:
    pertama" virus nge block antivirus yg sedang berpatroli (sy pake antivir yg free) sehingga pengamanan disabled, sy coba uninstall dan install lg, tp setup tidak pernah selesai (safe mode)
    akhirnya sy format C: dan install OS & NOD32 antivirus (.exe di sembuhkan (deleted & cleaned)), tetapi setelah restart explorer ga muncul, sy coba tskmgr,run,explorer bau muncul tuh. sy berkesimpulan laptop msh kena virus, akhirnya sy pake MCAfee, sejauh ini lancar tetapi setiap saat sy scan di memory selalu muncul virus
    hasil scan:
    1. Memory\NtCreateFile | generic.dx!rootkit | Trojan | deleted
    2. Memory\NtQueryInformationProcess | generic.dx!rootkit | Trojan | deleted

    report menunjukkan deleted tetapi setelah sy scan kembali, sll muncul report di atas..
    mohon bantuannya.. apakah saya perlu format seluruh partisi HDD sy?
    trims sebelumnya

    3. setiap saya akan browsing mengenai virut removal, hasil browse menunjukkan "Address not Found"

    please all butuh pencerahannya..

    ReplyDelete
  31. esetiawanMay 31, 2009 at 1:11 AM

    Hai Nino. Seharusnya setelah format C: (clean install) belum akan ada virus yang muncul kecuali :
    1. Software pendukung seperti drivers dan lainnya sudah terkontaminasi virus pada installernya
    2. instalasi anti virus tidak pada urutan pertama setelah instalasi OS
    3. anti virus tidak update dan tidak menginstal Service Pack untuk OS.

    Jadi menurut saya urutan clean instal OS yang tepat adalah :
    1. format HDD (C:-nya saja)
    2. instal OS dan service pack nya
    3. instal anti virus dan updatenya. gunakan anti virus yang free dulu seperti AVG (untuk menghindari pencarian cr*ck atau k*ygen ke situs yang berbahaya)
    4. baru instal software pendukung dari sumber yg terpercaya.

    Untuk informasi lebih lanjut silakan kunjungi :
    http://esetiawan.wordpress.com/2008/10/05/tips-tips-mencegah-pc-kena-virus/
    dan
    http://esetiawan.wordpress.com/2009/03/14/worm-downadupconficker-dan-removal-tool-nyah/

    semoga membantu ^^

    ReplyDelete
  32. armanJune 17, 2009 at 2:53 AM

    Trims sarannya sangat berguna

    ReplyDelete
  33. MifDecember 26, 2009 at 8:09 PM

    wah,terima kasih banyak informasinya mas :D
    memang komputer saya terinfeksi virus virut ini, jadinya hampir semua file aplikasi tidak bisa jalan...

    ReplyDelete
  34. esetiawanJanuary 2, 2010 at 6:13 PM

    Terima kasih kembali ^^

    ReplyDelete
  35. om omJanuary 19, 2010 at 3:26 AM

    mas...numpang nimbrung yah.....baru-baru ini kompi wa kelakuannya aneh bet....itu plasdis(flashdisk) kalau dicolokin normal nggk kedetect di explorer start menu........padahal di start_bar(hmmm tempatnya si tombol start) ada icon USB aktip.......nah cara gua ngatasinnya sementara ini adalah komputer gua restart dengan flashdisk terpasang..sehingga setelah reboot FD_nya ke detect.....ini komputer pernah wa pasangin AVG 9 free...nah pas kedetect emang si pirut....tapi dia injek di system.(gua pernah ngalamin..dengan karspersky 9...gua gasak terus..berakhir di CD windows gua..><).
    ...mohon pencerahannya mas.....tanpa format ulang......^^

    ReplyDelete
  36. esetiawanJanuary 19, 2010 at 10:51 PM

    1. Boot di Safe mode
    2. Jalankan Virut Removal tool.. link nya ada di artikel ini.
    3. Sebelum menjalankan virut removal tool, ada baiknya anti virus pada mode normal di matikan dulu, atau IGNORE bila menemukan file yang terinfeksi virut. Ini karena tidak semua anti virus bisa "memisahkan" antara si virut dengan file asli yang terkontaminasi. Jadi biasanya hanya ada pilihan "DELETE" atau "Quarantine".
    Bila ini yang terjadi berarti hampir semua file .exe akan dihapus oleh si anti virus.. Lain dengan Virut Removal Tool.. dia mampu memisahkan virut dengan file-nya.

    ReplyDelete
  37. Be VeganMarch 9, 2010 at 6:55 AM

    saya juga kena virus virut dimana semua file exe saya terinfeksi muter2 cari cara dari dr web removal avg dll gak berhasil, terakhir pake mcafee (crackan) eh bisa loh dia clean file kita yang terinfeksi...sehingga semua file exe saya kembali normal :)

    ReplyDelete
  38. esetiawanMarch 9, 2010 at 7:06 PM

    mcafee ya? oke trims infonya ^^

    ReplyDelete
  39. akuMarch 11, 2010 at 2:15 PM

    komputerku juga kena tuchhh. tapi setelah aku scan dengan avira.... wuiiihhhh ada 180 w32/virut.... tapi kok komputerku gak apa - apa yahhh meski kena virus itu.
    nah yang ini lain lagi ceritanya.....
    flashdisku entah kenapa setiap file - file gambar selalu dirubah jadi file exe, sedangkan file aslinya di hiden. tapi file gambar yang ada di komputerku gak apa-apa... kena virus apa ini ya? oh ya file *.3gp malah di hapus bersih
    ada yang tau virus apa ini ya ? tolongin saya

    ReplyDelete
  40. guderianOctober 11, 2010 at 3:47 AM

    nice

    ReplyDelete
  41. asepNovember 26, 2010 at 12:57 PM

    pake avg udah ga mempan lagi..........

    ReplyDelete
  42. iksanFebruary 10, 2011 at 11:49 PM

    mas saya mau tanya pc saya kena w32/virut.Gen, anehnya virus ini bsa lolos padahal saya pakai AVIRA, BIT DEFENDER katanya BIT DEFENDER bagus tpi ko bsa lolos?

    ReplyDelete
  43. esetiawanFebruary 13, 2011 at 4:47 AM

    Mas Iksan. Pada dasarnya semua anti virus bagus, hanya yang penting anti virus tersebut harus ter-update secara reguler. Bila tidak update database virusnya, maka virus-virus baru tidak dikenali oleh si anti virus.
    Cobalah update dulu anti virus yang mas iksan pakai.
    Bisa download dari situs resminya, atau langsung lewat fitur update di anti virus.
    Cmiiw

    ReplyDelete
  44. the venomMarch 4, 2011 at 11:39 AM

    kok virusnya dah masuk sistem C yah padahal udah di deep freeze.

    waktu deep freeze sistem uadah bebas virus, tpi etelah beberapa hari berjalan kena lagi. direstart seharusnya udah nggak ada karena pake deep freeze lha kok nongol lagi.

    moga aja belumj ada virus yg bisa membobol deep freeze.

    ReplyDelete
  45. esetiawanMarch 6, 2011 at 7:27 AM

    Nggak mesti sih gan. Barangkali kenanya waktu restart-Thawed Deep Freeze. Secara teoritis susah sekali buat mencemari sistim yang memang udah di -virtualkan deep freeze lho.

    ReplyDelete
  46. rizkyJanuary 10, 2012 at 2:43 AM

    permisi mas,, saya ngalamin yang sama dengan yang di atas,,, tapi restart juga gak bisa,,,, gak bisa masuk masuk..... gimana ni ??? mohon bantuannya

    ReplyDelete
  47. esetiawanJanuary 12, 2012 at 5:47 AM

    Gak bisa masuk windows? Bisa dijelaskan nggak lebih detil lagi bang?

    ReplyDelete
  48. GuyxMarch 5, 2012 at 2:21 AM

    Kget+slut ma virut,tp slain itu ada jg yg b'0prasi kedetect avira TR/Crypt.XPACK.Gen2 gmana crx xmbuhin..??tlgin..taskbar+startmenu gmw muncul.tambh lg my c0mputer ic0nx gag jalan.bingung mw ngpain..tlg.in d0nk..

    ReplyDelete
  49. AzizMarch 14, 2012 at 1:31 PM

    Mas, laptop saya kena virus Win32/virut.gen

    apa cara remove nya seperti yang di atas?

    ReplyDelete
  50. esetiawanMarch 18, 2012 at 1:54 AM

    Coba dulu dengan Virut Remover yang ada di artikel ini yah.

    ReplyDelete
  51. Heryanto saputraOctober 1, 2012 at 5:21 AM

    Wah artikel ini sangat membantu dan setelah saya coba akhirnya berhasil, tpi mas setelah w32/virut nya terhapus saya restart dan masuk ke windows normal ternyata virusnya berubah jdi TR/Patched.gen setelah itu saya scan ulang laptop saya pke avira alhamdulillah sudah bersih, trus avira merekomendasikan untuk ngerestart laptop saya setelah saya restart layar saya jdi blank warna hitam? Klo gk salah ini trouble black screen yah mas, trus ngatasinnya gimana? Mohon solusinya mas, terima kasih

    ReplyDelete

Subscribe to: Post Comments (Atom)