Pages

Banner 468

Minggu, 18 Januari 2009

Virus FreE_MiNe.exe

 


FreE_MiNe.exe


Virus ini menginfeksi MS-WORD dengan ekstensi .exe dan jika di scan dengan antivirus (NOD 32, McAfee VirusScan Enterprise 8.5i Plus Patch 6, Norton,KAV) tidak terdeteksi sebagai virus. Jika virus ini berhasil menginfeksi system anda, dia akan memblok ansav.exe ( Menggunakan pengenalan signature file untuk memblok Ansav), blok cmd.exe. Melakukan modifikasi terhadap registry windows diantaranya :

*
Hide Ekstensi file
*
Hide protected operating system
*
Shell : explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
*
Userinit : userinit; C:\WINDOWS\system32\LoLOxz\smss.exe
*
system : C:\WINDOWS\system32\LoLOxz\smss.exe.

Virus ini juga mengcopy dirinya kesetiap drive lengkap dengan autorun.inf dan file free mine.exe, dan celakanya jika virus ini aktif dia akan menutup semua komunikasi jaringan pada komputer korban. Alias tidak ada koneksi sama sekali. Sy sdh coba scan dengan menggunakan PCMAV 1.7 build 1, hanya di katakan virus suspected, tapi tidak dapat di clean, juga tidak dapat di cure. Memformat ulang drive/flasdisk tidak menyelesaikan masalah, karena virus masih ada di system.

Setelah selama 4 hari sy googling, googling dan googling, akhirnya sy menemukan cara untuk menghapus virus ini, anti virusnya belum ada, karena ini tergolong virus baru, jadi harus mengerjakannya secara manual

1. System restore off
2. Booting safe mode
3. Start menu >> Run >> ketik “C:\Windows\system32\LoLOxz\”
4. Klik Tools >> Folder option >> Show hidden files and folders, uncheck di Hide extensions for known files types dan uncheck jg di Hide protected operating system files
5. Klik OK.
6. Nampak 2 file, smss.exe (icon word) dan file dengan ext dll. Hapus dua-duanya, baru bersihkan yang lainnya : Free_Mine.exe, autorun.inf
7. Kalo perlu registry cleaner

Jangan lupa untuk membersihkan flash disk yg terinfeksi dengan cara yang sama.

untuk mematikan system restore :

Start=>Klik kanan My Computer=>Properties=>System Restore=> turn off System restore.

untuk safe mode : setelah restrart : F8

untuk meng-recovery ms-word yg sdh terinfeksi bisa memakai software : GAV , pake program ini untuk scan flash disk aja, karena scanningnya lama banget, sy scan complete komputer butuh waktu 24 jam
kalo file-nya tidak bisa kehapus bisa pake unlocker

Setelah semua step tersebut, sy lakukan dan terakhir sy scan pake PCMAV, FreE_MiNe।exe ini sudah tidak terdeteksi lagi.
Setelah itu baru ketikkan perintah berikut : attrib -s -h *।* /s /d (untuk menampilkan file yang hilang akibat dihiden virus)



  1. Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

    1. Klik kanan repair.inf
    2. Klik install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"

HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD


Readmore...