salah satu Komputer warnet saya terinfeksi trojan/ransomware. Sebuah kenyataan yang mencabik harga diri saya sebagai seorang pelajar IT (doh!). Mungkinkah karena ‘security setting’ firewall yang terinstall pada saat online di Internet? Security setting di aplikasi Firewall Zone Alarm saya memang sengaja diturunkan filternya karena kecepatan akses internet agak lambat
Ingin tahu caranya?
Trojan/Ransomware adalah sebuah aplikasi mengganggu yang akan menyebabkan anda tidak bisa login untuk menggunakan komputer.
Trojan/Ransomware ini akan menampilkan sebuah layar peringatan yang mengatakan bahwa ada ‘error’ dalam system aplikasi anda, dan anda akan diminta untuk melakukan panggilan (menelepon) sejumlah nomor untuk mendapatkan kode aktifasi agar bisa menggunakan komputer tersebut.
Cara kerjanya mungkin sama seperti ketika Windows Operating System meminta anda menelepon Microsoft Call Center untuk mendapatkan kode aktifasi.
Apapun yang terjadi jangan menuruti perintah yang diberikan sang trojan karena nomor telephone yang diberikan adalah nomor telephone premium luar negeri yang pastinya akan membuat tagihan telephone anda membengkak.
Trojan/Ransomware ini akan menampilkan sebuah layar peringatan yang mengatakan bahwa ada ‘error’ dalam system aplikasi anda, dan anda akan diminta untuk melakukan panggilan (menelepon) sejumlah nomor untuk mendapatkan kode aktifasi agar bisa menggunakan komputer tersebut.
Cara kerjanya mungkin sama seperti ketika Windows Operating System meminta anda menelepon Microsoft Call Center untuk mendapatkan kode aktifasi.
Apapun yang terjadi jangan menuruti perintah yang diberikan sang trojan karena nomor telephone yang diberikan adalah nomor telephone premium luar negeri yang pastinya akan membuat tagihan telephone anda membengkak.
Berikut adalah screenshot yang ditampilkan trojan tersebut …
Bagaimana cara mengatasi hal ini? Karena program antivirus, baik itu buatan luar atau dalam negeri ternyata tidak bisa mendeteksi kehadiran trojan/ransomware ini. Dan parahnya fasilitas Safe Mode juga dikunci olehnya
Saya mencari informasi dari Google dengan menggunakan kata kata yang ada pada screenshot di atas “System plugin at address 0×00874324 got critical error” yang kemudian membawa saya ke sebuah blog bernama Malware Removal Instructions.
Informasi yang ada di dalam blog tersebut mengatakan bahwa code 27496 bisa digunakan untuk menghilangkan trojan ini,
Tapi tergantung! Beberapa orang memang melaporkan bisa menggunakan code tersebut, tapi saya dan beberapa orang lainnya ternyata tidak bisa menggunakan code tersebut. (Mungkinkah karena code tersebut harus diketikkan dengan menggunakan NUMPAD yang biasanya ada di sebelah kanan bagian keyboard? beberapa notebook tidak memiliki NUMPAD).
Cara kedua yang saya temukan selain penggunaan code 27496 adalah dengan ‘membanjiri’ system operasi dengan ‘multiple task manager windows’ dan cara inilah yang berhasil. here it is untuk tahap pertama … jika anda mengalami nasib yang sama!
- Pada layar biru tersebut, Tekan dan tahan tombol CTRL ALT DEL untuk membuka Task Manager sebanyak mungkin. Sebenarnya trojan/ransomware ini hanya menutupi dan mengunci layar desktop anda dan tidak mengunci fasilitas task manager. Anda harus menekan cukup lama sekitar 10 atau 20 detik agar banyak Task Manager Windows yang terbuka (saya meluncurkan lebih dari 100 task manager windows). Komputer anda mungkin akan terkesan ‘hang’ atau ‘melambat’ tapi biarkan saja sampai tampilan Task Manager keluar.
- Pilih salah satu Task manager Window dan pada ''Application Tab'' , akan anda temukan SATU aplikasi yang sedang berjalan. Tutup aplikasi tersebut karena dia (aplikasi trojan) yang menyebabkan layar biru ada (klik kanan n pilih end process). Aplikasi tersebut bernama “Window Guide Tour ..” atau mungkin bernama lain. Setelah aplikasi ini ditutup, anda akan menemukan blank screen (layar anda tidak menampilkan apapun kecuali tampilan Task Manager
- Masih di Task Manager. Create NEW TASK .. ketikkan explorer.exe dan tunggu .. layar desktop anda akan muncul.
Tahap kedua adalah tahap pembersihan secara manual … dan anda harus mencari file file milik trojan/ransomware tersebut pada folder Document And Settings ..
C:\Documents and Settings\[UserName]Application Data\svchost.exe
C:\Documents and Settings\[UserName]Application Data\delself.bat
C:\Documents and Settings\[UserName]Application Data\svchost.tmp_time
Jika ditemukan, delete file file tersebut svchost.exe delself.bat dan svchost.tmp_time. I my case, hanya ada satu file saja – svchost.exe – yang ditemukan (ini karena saya tidak berhasil memasukkan kode 27496)
Dan selanjutnya adalah kita bersih bersih Windows Registry. Cari line berikut dalam registry
masuk menu STAR > RUN
ketik REGEDIT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value registry yang terinfeksi di arahkan ke file svchost.exe yang tersimpan di dalam folder My Document And Setting.
GANTI value registry tersebut dengan C:\WINDOWS\system32\userinit.exe
That’s It! RESTART! Semoga berhasil!
http://www.untara.com/2011/05/07/trojanransomware-fake-critical/
http://www.untara.com/2011/05/07/trojanransomware-fake-critical/
No comments:
Post a Comment