Kantor sedang diributkan dengan virus. Pertama disadari oleh Dessy, yang akhirnya kirim email
Ternyata Pak Iwan mengalami hal yang serupa, meskipun mungkin virusnya beda
Bagio, yang semalam suntuk berusaha menyelesaikan proyek, terkena juga di laptop HP yang digunakan. Hanya saja dia belum sadar, karena laptop selalu nyala. Setelah dimatikan dan coba dipakai untuk presentasi ke tempat customer, barulah virus itu beroperasi.
Dedy, yang cukup pengalaman berurusan dengan virus, akhirnya turun tangan. Dia gak suka dengan solusi "install ulang" yang lebih suka kulakukan. Email info pun muncul darinya.
Selanjutnya ada info yang lebih lengkap lagi dari Dedy, setelah googling dan berhasil menerapkan di laptopnya.
Sepertinya laptopku belum terkena virus tersebut. So far, aku pakai ClaimAntivirus, antivirus gratisan dan opensource. Andai saja kami mulai biasa pakai Linux, ... setidaknya belum banyak orang buat virus untuk Linux.
Sekilas Info..
Teman2, baru2 ini PC ku terinfeksi *system.exe*
/System.exe is a Backdoor W32.Spybot.OBB.
System.exe spreads by e-mail and via network shares.
System.exe monitors user Internet activity and private information.
It sends stolen data to a hacker site
/Gejalanya PC akan restart sendiri, semakin lama dibiarkan akan semakin sering restart. Karena semua PC dikantor terhubung oleh LAN ada kemungkinan sudah menyebar ke PC lain (windows).
Cara mengeceknya bisa melalui task manager. Namanya *system.exe* (bukan *System*). Jika ada, berarti terinfeksi.
Mohon bantuan technical support untuk mencari cara menanggulanginya (saya juga sedang pelajari).
Thanks
Ternyata Pak Iwan mengalami hal yang serupa, meskipun mungkin virusnya beda
Malam,
PC saya terinfeksi virus dr minggu kemarin dan belum beres smp sekarang. Gara2nya dipinjam sm orang ...
Gejalanya, PC terasa lambat sekali, terus Command prompt, regedit, Windows installer, ... banyak aplikasi dasar (bawaan Windows) ga bisa di run.
Mo cek pake Kaspersky, ud download tp ga bs diinstall, PCMap jg ga bs install, pk Norton (yg sdh terinstall) ga kedetect. Di Task Manager banyak banyak proses 'ping.exe'.
Terpaksa cek virus dari jaringan, ... tapi kl dari jaringan drivenya (C: & D:) harus dishare full control. Di cek dari jaringan pk Kaspersky kedetect virus 'alman' yg sdh menginfeksi hampir semua exe file. Tapi dasar jaringan, habis di 'disinfect' ... masuk lagi virus yg sama dr jaringan.
Jadi, setelah Kaspersky dijalankan, kondisinya tetap sama saja virus ga ilang2 :-(
Registry semua diubah2 sm virusnya, sedangkan regedit didisable. Beberapa control panel utk manage komputer jg didisable. Capek deh...
Terakhir, kl boot komputernya jadi blue screen :-(( ... kecuali kl bootingnya pake F8 "Last known ..."
Jadi hampir seminggu ini ga bisa kerja ...
Ada yg bisa kasih saran?
Thx,
Iwan
Bagio, yang semalam suntuk berusaha menyelesaikan proyek, terkena juga di laptop HP yang digunakan. Hanya saja dia belum sadar, karena laptop selalu nyala. Setelah dimatikan dan coba dipakai untuk presentasi ke tempat customer, barulah virus itu beroperasi.
Dedy, yang cukup pengalaman berurusan dengan virus, akhirnya turun tangan. Dia gak suka dengan solusi "install ulang" yang lebih suka kulakukan. Email info pun muncul darinya.
Dear all,
Untuk virus "system.exe" memang virus jaringan. Prediksi awal saya adalah
virus ini menyerang untuk mencopykan file ke folder Windows kepada computer
yang "administrator"-nya tidak di password kemudian meng-update registry
computer target. Ternyata prediksi saya salah.
Terus terang ada untungnya computer saya tidak pernah mati (shutdown).
Karena komputer saya ternyata hampir kena juga, tetapi beruntung karena Cuma
di hibernate, maka virus tidak sempat dijalankan.
Kronologi:
Ketika menunggu bagyo yang sedang ngotak-atik computer HP yang terkena virus
di ruangan meeting Embossindo, iseng2, saya buka aplikasi anti-virus/spyware
saya yaitu "HijackThis". Dari list didapat ada upaya hijack untuk
menjalankan (HKLM/../RunOnce) aplikasi regsvr32 untuk DLL virusnya
(system.exe).
Virus ini lumayan pintar karena untuk memasukkan key ke registrynya, virus
ini mencoba dengan semua user yang ada pada computer target antara lain:
LOCAL SERVICE, NETWORK SERVICE, SYSTEM , Default User, postgres (kalau ada
postgres), dsb. (Dugaan saya sebelumnya hanya user "Administrator" yang
tidak dipassword)
Nah sepertinya user LOCAL SERVICE ini tidak dipassword sehingga tetap aja
virus bisa masuk ke registry (bugs / kelemahan windows), dan akibatnya
RunOnce akan dijalankan ketika computer restart.
Kenapa virus tersebut dapat menulis registry di computer saya?
Cek computer lagi, ternyata service "Remote Registry" saya dalam kondisi
"Start". Sehingga memungkinkan virus tsb dapat mengupdate registry melalui
jaringan.
Solusi, untuk computer yang belum kena atau baru saja diinstall, segera
matikan/stop service "Remote Registry".
Untuk menghilangkan virusnya saya sendiri belum turun effort untuk mencari
"how-to"-nya. Harusnya tidak susah cukup ber-googling ria.
Selamat berjuang,
Selanjutnya ada info yang lebih lengkap lagi dari Dedy, setelah googling dan berhasil menerapkan di laptopnya.
Dear all,
Berikut cara menghilangkan virus yang baru2 ini menyerang Invosa.
Virus diketahui dengan nama Win32.Lolyda.BZ, cara menghilangkannya adalah
sbb:
1. Windows harus dijalankan pada mode Windows Recovery. Karena pada safe
mode, virus tetap aktif.
2. Cara menjalankan mode recovery harus menggunakan Installer CD Windows.
3. Setelah masuk ke command prompt, kemudian masuk ke folder
c:\windows\system32, hapus file sbb (dengan perintah del [namafile]):
a. System.exe
b. HB*.dll (untuk menghapus tidak bisa menggunakan perintah del
HB*.dll, jadi harus satu-satu)
4. Setelah file dihapus semua, ketik disable hbkernel32. Langkah ini yang
paling penting, karena virus tersebut menjalankan service hbkernel32 ini
pada setiap boot.
5. Reboot computer.
6. Masuk ke safe mode, jalankan aplikasi HijackThis, kalau tidak punya dapat
di download di internet, atau ada di \\invosaserver\shared files\tmp
7. Berikut cara pake HijackThis, jalankan kemudian klik "Do a system scan
only"
8. Klik pada semua bagian O1 (hosts file)
9. bagian O4, HKLM/../Run yang mengandung System.exe, kemudian klik
checkbox.
10. Cari AppInit_DLLS yang mengandung HB*.dll, kemudian klik checkbox
11. Klik checkbox pada semua protocol hijack
12. Cari kata ThunderAdviser (ini spyware) di check juga untuk diremove
13. Setelah semua file yang mencurigakan di klik, lanjutkan dengan klik
tombol "fix checked".
14. Klik scan lagi, apakah AppInit_DLL dan System.exe sudah tidak muncul
lagi? Kalau masih muncul hubungi saya, karena berarti anda belum tahu
caranya.
Dedy
Sepertinya laptopku belum terkena virus tersebut. So far, aku pakai ClaimAntivirus, antivirus gratisan dan opensource. Andai saja kami mulai biasa pakai Linux, ... setidaknya belum banyak orang buat virus untuk Linux.
Comments