CARA ATASI VIRUS RAMNIT dan VIRUS SALITY

Cara atasi Virus Ramnit dan Sality

Virus Ramnit + Sality ini sudah lama ada, dan dimodifikasi sedemikian rupa sehingga menjadikan dirinya salah satu virus terkuat yang menyerang sistem yang ada di PC pengguna. Ibarat penyakit Kanker virus ini menyerang secara perlahan namun pasti. Bagaimana cara mengatasi virus ini dan sistem apa yang diserang oleh virus ini?

Pengalaman Pribadi saya, ketika PC saya terserang virus ini, terdeteksi seperti ini:Virus

Virus Name: Ramnit + Sality

Type : Fusion Virus

Registry

Value Name: Userinit

Key Path: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Dari hasil browsing, saya akan share hasil yang didapat untuk mengatasi virus ini.

Anda silahkan mau menggunakan metode yang mana, dan bagi sobat blogger yang mau berbagi pengalaman silahkan share disini!!!

1. Membasmi Ramnit

Ramnit alias Win32.Siggen.8 boleh saja dibilang barang lama. Tapi ternyata, sampai saat ini, korbannya terus berjatuhan. Tidak jarang sikorban akhirnya memutuskan untuk melakukan instalasi ulang terhadap sistem operasi Windowsnya. Perlukah?Sebelum memutuskan untuk menginstall ulang sistem yang terserang Ramnit, PCplus punya artikel menarik yang dibuat oleh tim Vaksin.com untuk mengenyahkan Ramnit dari PC kamu. Sebelum mulai menghajar Ramnit, ada baiknya kamu menyimak beberapa karakteristiknya.

Sudah terinfeksi / belum? 

Buat mengenali ciri-ciri PC yang terinfeksi Ramnit, simak beberapa gejala berikut ini: 

Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat .

Icon Removable media (USB Flash) berubah menjadi icon Folder .

User tidak dapat mengakses USB Flash dengan menampilkan pesan ”Access is denied” .

Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk .

Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash.

Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini. 

Kalau PC kamu sesuai dengan 6 gejala di atas, maka bisa dipastikan komputer sudah terinfeksi Ramnit. Sekarang, simak langkah di bawah ini untuk membersihkannya. 

Membersihkan Ramnit 

Karena Ramnit menyerang seluruh file-file yang punya ekstensi .EXE, .DLL dan .HTM/HTML maka pembersihan Ramnit harus dilakukan dalam mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat http://www.freedrweb.com/cureit/?lng=en dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password. 

1. Agar pembersihan dapat dilakukan optimal, scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus akan men-drop beberapa file di USB Flash atau HDD eksternal. 

2. Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada sistem operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara sebagai berikut: 

a. Klik menu [Start] 

b. Pilih [Run] 

c. Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK] 

d. Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7, Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” 

e. Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse] dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed], kemudian klik tombol [OK] 

Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut: http://www.freedrweb.com/livecd/?lng=en 

Tools Dr Web Live CD ini juga bisa ditemukan di CD PCplus edisi terbaru. Kamu cukup boot ulang komputer dengan urutan CD PCplus sebagai urutan boot awal. 

Cara menggunakan Dr Web Live CD 

Kamu disarankan untuk selalu memakai Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di dalam CD tersebut akan mengikuti versi Dr Web Live CD tersebut didownload. CD PCplus terbaru memuat versi Dr Web Live CD terbaru. Alternatif lain adalah menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan/download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis. 

Download software Dr.Web LiveCD.

Burn kedalam CD/DVD. (Burn dapat menggunakan Nero atau software sejenisnya)

Hubungkan USB Flash dan HDD eksternal ke komputer.

Booting komputer melalui CD/DVD ROM.

Kemudian akan muncul layar “Welcome to Dr.Web LiveCD”

Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard.

Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer kamu dari kemungkinan adanya virus.

Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.

Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan).

Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.

Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau kamu dapat menentukan file mana saja yang akan dibersihkan dengan men-check list pada opsi yang tersedia.

Kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus.

Tunggu sampai proses pembersihan selesai dilakukan.

Scan ulang komputer untuk memastikan komputer bersih dari virus.

Restart komputer. 

2. Sumber

"Cara membersihkan Virus RAMNIT , mudah dan tuntas"…

Virus Ramnit:

Virus yang menginjeksi file .html , .exe dan .dll

Virus yang menular melalui removable disk ( UFD ) dengan cara mengcopy file .cpl dan .exe yang selalu bertambah dan berubah-ubah namanya. Yang tepatnya file tersebut berada di dalam folder Recycler dan 4 file shortcut copy of yang akan menjalankan file *.cpl infektor yang terdapat di folder recycler UFD.

Bila Virus tersebut telah meng-infeksi system komputer , virus tersebut akan membuat dan menjalankan file svchost.exe yang akan melakukan berbagai hal: a. membuat file bernama : watermark.exe yang bertempat di folder : C:\programfiles\mikrosoft\watermark.exe. b. merubah registry userinit.exe mejadi menjalankan : watermark.exe , sehingga virus tersebut menguasai sistem secara permanen , dengan cara menginfeksi file berekstensi .exe, .dll dan .html

Jika di properties , UFD akan terlihat banyak terpakai oleh file .cpl dan .exe di folder recycler.

Efeknya:

Virus ramnit akan membuat file program tidak berjalan dengan normal , misalnya: mozilla firefox , winamp dll

kita tidak bisa menghapus file watermark.exe yang ada difolder c:\programfiles\microsoft\watermark.exe , dikarenakan file tersebut dikunci oleh file svchost.exe-nya virus ramnit.

bila kita hapus file / folder yang ada didalam folder recycler UFD , file .cpl dan .exe akan muncul kembali.. dan terus menulis kembali…

Untuk system yang telah terinfeksi file tertentu.. misalnya : explorer.exe akan digantikan explorermgr.exe

Bila kita membersihkan virus ini tidak tuntas ( ada yang belum dibersihkan ) , Virus ini akan kembali bila kita menjalankan aplikasi ( misalnya : klik kanan ).

Cara membersihkannya:

Siapkan cleaner Anti Virus ( saya menggunakan ESET NOD32) download melalui internet atau bisa mendownload nya disini > dan simpan dalam bentuk file zip / RAR agar file exe tersebut tidak terinfeksi virus.

Simpan file tersebut di UFD atau copy paste di harddisk komputer yang telah terinfeksi.

Gunakan task manager , pilih task / tab processes dan end task semua file svchost.exe dan juga semua yang bisa di end task ( kecuali : task managernya ).

Open file cleaner ESET NOD32 yang sudah berbentuk zip /RAR , dengan menggunakan file open di task manager.Rubah pilihan program di open file menjadi allfiles agar file zip / rar dari ESET NOD32 bisa terlihat.

Setelah terbuka ESET NOD32 dengan winrar atau aplikasi lainnya.. silakan dobel klik file nod*.exe setelah next…next dipilihan action , sebelah kiri pilih Clean dan sebelah kanan pilih delete.Lalu jalankan Scan & clean

Setelah berjalan close / tutup winrar / aplikasi yang dibuat membuka NOD32 zip / RAR.

Silakan diawasi dengan task manager bila ada file svchost.exe keluar / tampil di processes segera di end task dan seperti biasa bila ada tampilan windows yang memperingatkan bahwa komputer akan shutdown dalam waktu 60 detik / 1 menit…. silakan ketik di menu file open /run : shutdown -a yang artinya -a adalah perintah shutdown untuk membatalkan aksinya…

Peringatan!, disaat ESET NOD 32 membersihkan file di komputer anda , jangan sampai membuka / menjalankan file apapun… karena jangankan menjalankan file exe , kita klik kanan aja sudah berarti menjalankan virus / svchost.exe-nya Virus Ramnit.

Ingat, yang perlu kita jaga adalah : mematikan / end task file svchost.exe selama ESET NOD32 membersihkan file di komputer kita.

Antisipasi Virus RAmnit:

Untuk menjaga Virus sejenis ramnit agar tidak kembali meng-infeksi komputer kita… disini saya sertakan berbagai trik… diantaranya:

Matikan autorun.inf windows bisa berbagai macam cara : dengan menggunakan gpedit.msc>>administrative template>>turn off auto play>>enable>>alldrive , atau menggunakan regedit: (Dapat dicari tipsnya di internet dengan kata kunci “cara agar virus tidak masuk melalui flash disk).

Rubah beberapa ektensi file yang berpotensi digunakan oleh virus dengan assosiasi file ( misalnya: assoc .vbs=txtfile ) terutama untuk Virus ramnit adalah ekstensi .cpl

Hapus selalu folder recycler didalam UFD , bila tidak bisa ada kemungkinan komputer kita terinfeksi Virus.

Dan hapus dengan menggunakan mini windows Xp ( hiren BOOt CD ) atau sistem berbasis linux , folder recycler dan restore yang ada di folder systeminformation

Install Anti virus dengan Update database terbaru… dan usahakan anti virus tersebut diupdate databasenya baik secara online ataupun offline.. 

Tool yang dibutuhkan:

- Antivirus ESET NOD32 v7. Free

- Antivirus SMADAV 

- Unlocker 

- Avast free versi terbarunya silahkan download di website resminya

- Ccleaner

Berikut langkah langkah pembasmian virus ramnit alias Virus Copy of Shortcut (1)(2)(3)(4) Recycler Autorun.inf:

1. Download semua tools (ada di menu download kecuali avast) ke dalam CD Kosong

gunakan warnet atau komputer temen yang bersih dari virus

2. Setelah semua komplit KIta lsng Ke TKP...go....go..

3. Putuskan komputer dari koneksi Internet 

4. Matikan System Restore komputer. Klik kanan My Computer>Properties>System

Restore>Turnoff System Restore on all drives

5. Show Hidden File klik Tools>Folder Options>View>Klik Show Hidden Files and Folder,

buang centang Hide extensions..dan Hide Protected..bila ada pertanyaan Yes aja.

6. Matikan fungsi autorun lewat start-run atau bisa dengan Win+R dan ketikan gpedit.msc .

pada computer configuration-system klik 2x pada “Turn off autoplay” klik enable dan bawahnya

klik pada All drive dan lakukan hal sama pada user configuration

7. Tekan CTRL+ALT+DEL pada Menu Processes cari SVCHOST.EXE dengan User Name

nya Account Anda kemudian klik End Process, SVCHOST.EXE palsu ini ada dua cek lagi ya..!

8. Lanjut .... ternyata lama juga ya? memang begitu, cape ngadepin virus ramnit tapi kesabaran

mampu mengalahkan segalanya .

9. Sekarang kita bunuh virusnya caranya Klik Start>Run>Browse..cari folder Microsoft klik

Kemudian Delete, ada di c:\Program Files\Microsoft\watermark.exe 

10. Jalankan Ramnit Killer dari CD Anda sampai selesai ( hanya membersihkan ramnit A)

11.Jalankan ESET NOD32 

12.Setelah Antivirus NOD32 muncul klik 

Klik Scan&Cleantunggu sampai selesai.

13.Jika Eset Nod32 minta restart ikutin saja, jangan lupa scan sekali lagi pake ESET NOD32

14.Sekarang gunakan Smadav untuk repair Regestry Windows (userinit.exe ini yang

dirusak oleh ramnit) klik Fix All

15.Selanjutnya gunakan Unlocker untuk menghapus folder atau file sisa virus yang susah di

hapus seperti Recycled atau autorun.inf, caranya mudah install kemudian jalankan Unlocker

cari file atau folder yang susah dihapus pada menu option klik Delete

16.Jalankan Ccleaner untuk menghapus file template windows dengan cepat

17.Untuk meyakinkan sisa virus habis, Gunakan Avast Free antivirus.

- Saya gunakan Av Smadav Free update terbaru, saya scan seluruh file yang ada di hardisk, dan saya membiarkan Smadav tetap aktif..

- Saya gunakan juga Avira Free update terbaru, saya kembali scan seluruh file yang ada di hardisk.

- Smadav dan Avira saya pertahankan dan saya gunakan kedua av ini untuk menjaga sistem yang ada, dan menurut saya dari dari hasil ujicoba yang saya lakukan ternyata sistem yang ada di PC saya, kembali stabil (saya tidak menemukan lagi Virus Copy of Shortcut (1)(2)(3)(4) Recycler Autorun.inf, watermark.exe, dan sejenisnya) 

- Terakhir, saya menggunakan Tune Up Utilities 2013 update terbaru untuk memperbaiki kerusakan file yang ada di registry (dapat juga menggunakan ccleaner).

Sumber: Dari berbagai sumber di internet, dengan kata kunci "cara mengatasi virus ramnit sality".