.: Dee Personal Blog :.

Subtitle

Blog

Hapus Tuntas Adware Yontoo

Posted by Root on August 9, 2013 at 12:10 PM





Yontoo atau YontooDesktop.exe adalah adware yang biasanya didistribusikan atau sengaja disematkan ke dalam sebuah program downloader gratisan, misal : free youtube downloader, free soundcloud downloader, dan lain-lain. Sekalinya adware ini tereksekusi maka akan menampilkan iklan-iklan dan membuka secara otomatis situs-situs iklan, bahkan jika kita sedang membrowsing situs tertentu yang notabene tidak memiliki iklan/ads, maka situs tersebut akan muncul iklan/ads dengan sendirinya. Nah seperti yang sudah dituliskan sebelumnya bahwa adware ini biasanya sengaja disematkan ke dalam sebuah program downloader gratisan, umumnya saat program downloader gratisan tersebut di install, maka akan mendownload/menginstall toolbar tertentu ke web browser, selain toolbar bisa juga yang diinstall adalah add-ons atau plugins. Yontoo Desktop dibuat menggunakan pemrograman Visual Studio, kemungkinan dibuat menggunakan Visual Basic .NET. Jika pada perangkat yang terinfeksi adware yontoo ini belum terinstall .Net Framework, maka adware ini tidak akan bekerja dan malah menampilkan pesan error seperti ini : 




Untuk menghapus adware yontoo ini cukup mudah, pertama pembaca harus menghapus secara manual terlebih dahulu. Pada tutorial kali ini penulis menggunakan Sistem Operasi Windows XP dalam pengetesan terhadap adware yontoo. Silahkan pembaca masuk ke control panel da pilih menu add or remove programs. Carilah Yonto 1.10.02 atau Yonto 1.10.03 (yang paling baru), agar lebih jelas perhatikanlah gambar di bawah ini : 




Klik tombol remove maka windows akan melakukan proses uninstallasi terhadap yontoo. Jika muncul opsi seperti gambar di bawah ini, harap dicentang semua opsinya.




Klik tombol next dan jika muncul pop-up yes-no-cancel, pilih saja yes. Seperti telah dijelaskan sebelumnya adware yontoo akan menginstall add-ons atau plugins pada web browser. Untuk itu pembaca juga harus menghapus add-ons tersebut agar web browser yang pembaca gunakan tidak mengalami masalah. Silahkan buka Internet Explorer, klik menu tools dan pilih manage add-ons, seperti pada gambar di bawah ini : 




Kemudian akan muncul pop-up manage add-ons, pada bagian toolbars and extensions carilah yontoo api dan juga yonto, kemudian lakuka penghapusan. Agar lebih jelas silahkan pembaca perhatikan gambar di bawah ini : 




Selanjutnya pembaca juga harus menghapus add-ons yontoo pada browser mozilla firefox (jika pada perangkat pembaca, menginstall mozilla firefox). Bukalah browser mozilla firefox kemudian klik menu tools dan pilih add-ons, seperti pada gambar di bawah ini : 

 


Kemudian akan muncul pop-up add-ons manager, carilah yontoo 1.20.00 atau 1.30.00 dan klik remove untuk menghapus add-ons tersebut. Agar lebih jelasnya lihatlah gambar di bawah ini : 

 


Jika pembaca menginstall browser google chrome, maka pembaca juga harus menghapus ekstensions yontoo dari browser google chrome. Klik pada icon garis-garis 3 pada pojok kanan atas, kemudian klik menu tools dan pilih extensions, seperti pada gambar di bawah ini : 




Pilih yontoo dan klik icon tempat sampah untuk menghapus extensions yontoo dari browser google chrome, seperti pada gambar di bawah ini : 




Belum selesai, masih ada beberapa langkah pembersihan lagi yang harus pembaca lakukan. Perlu diketahui jikalau 9 dari 45 vendor anti-virus dapat mendeteksi adware yontoo ini, bahkan hingga tutorial ini ditulis, beberapa produk anti-virus besar seperti : AVG, Avira, Kaspersky dan Avast masih belum dapat mendeteksinya. Adapun ke-9 produk anti-virus yang dapat mendeteksi adware yontoo ini adalah : 

Antiy-avl mendeteksi yontoodesktop.exe sebagai WebToolbar/Win32.Dsearch 
F-Prot mendeteksi yontoodesktop.exe sebagai W32/ApplCtnX.Z 
K7 Antivirus mendeteksi yontoodesktop.exe sebagai Unwanted Program 
Kingsoft mendeteksi yontoodesktop.exe sebagai Win32.Troj.DSearch.F.(kcloud)
PCTools mendeteksi yontoodesktop.exe sebagai SecurityRisk.Yontoo!Rem 
SUPERAntiSpyware mendeteksi yontoodesktop.exe sebagai Trojan.Agent/Gen 
Symantec mendeteksi yontoodesktop.exe sebagai Yontoo 
Vipre mendeteksi yontoodesktop.exe sebagai Yontoo 
ViRobot mendeteksi yontoodesktop.exe sebagai Adware.DSearch.42784 


Berikut adalah ciri-ciri dari adware yontoo 

 


File name : YontooDesktop.exe 
Size : 41,7 KB (42.784 bytes) 
MD5 : 2a6c01bac0f8aa9143d61ae1e28e263a 
SHA1 : 4018a4069773fc6394ec87df693e7a8493df5757 
SHA256 : bc76991e06e36f6ec820b14ba40a7ed55a7b7f2519c39c28e1ae164f5b8f9035 
File version : 1.0.4778.22796 
Description : Yontoo Desktop 
Copyright : (c) Yontoo LLC. All rights reserved. 
Assembly Version : 1.0.4778.22796 
Company : Yontoo LLC 
File Version: 1.0.4778.22796 
Internal Name : YontooDesktop.exe 
Language : Language Neutral 
Original File Name : YontooDesktop.exe 
Product Name : Yontoo Desktop 
Product Version : 1.0.4778.22796 


Saat adware ini menginfeksi windows, maka akan membuat beberapa file dan folder pada lokasi tertentu. Disaranka bagi para pembaca, untuk mengecek keberadaan file-file dan folder-folder di bawah ini (jika ada, langsung saja dihapus) : 

C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Mozilla\Firefox\Profiles\STRING ACAK.default\bookmarkbackups\bookmarks-2013-03-31.json
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Mozilla\Firefox\Profiles\STRING ACAK.default\Extensions\[email protected]
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Mozilla\Firefox\Profiles\STRING ACAK.default\extensions\[email protected]\build.sh
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Mozilla\Firefox\Profiles\STRING ACAK.default\extensions\[email protected]\chrome.manifest
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Mozilla\Firefox\Profiles\STRING ACAK.default\extensions\[email protected]\config_build.sh
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Mozilla\Firefox\Profiles\STRING ACAK.default\extensions\[email protected]\content\about.xul
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\PlugIns.cache
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\yontoodesktop.exe
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\dat\Desktop.OS.dll
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\dat\Desktop.OS.Plugin.dll
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\dat\HealthMonitor.dat
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Application Data\Yontoo\dat\HeartBeat.dat  
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\back.js
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\background.html
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\manifest.json
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.3_0\yl.js
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_niapdbllcanepiiimjjndipklodoedlc_0.localstorage
C:\Documents and Settings\NAMA USER WINDOWS ANDA\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_niapdbllcanepiiimjjndipklodoedlc_0.localstorage-journal  
C:\Program Files\Yontoo\Y2Desktop.Updater.exe  
C:\Program Files\Yontoo\YontooIEClient.dll
C:\Program Files\Yontoo Layers
C:\Program Files\Yontoo Layers Client
C:\Program Files\Yontoo Layers Runtime\YontooIEClient.dll
C:\Users\NAMA USER WINDOWS ANDA\AppData\Local\Temp\YontooIEClient.dll
C:\Users\NAMA USER WINDOWS ANDA\AppData\Local\Temp\YontooSetup-S.exe
C:\Users\NAMA USER WINDOWS ANDA\AppData\Local\Temp\YontooSetup-Silent.exe
C:\Users\NAMA USER WINDOWS ANDA\AppData\Roaming\Yontoo\
C:\Users\NAMA USER WINDOWS ANDA\AppData\Roaming\Yontoo\YontooDesktop.exe
C:\WINDOWS\Prefetch\YONTOO-C4.EXE-STRING ACAK.pf (misal : YONTOO-C4.EXE-11DB6439.pf)
C:\WINDOWS\Prefetch\YONTOO-C4-10C0.EXE-STRING ACAK.pf (misal : YONTOO-C4-10C0.EXE-3510B2BC.pf)
C:\WINDOWS\Prefetch\YONTOODESKTOP.EXE-STRING ACAK.pf (misal : YONTOODESKTOP.EXE-1CAF6818.pf)


Jika pembaca malas memeriksanya dan sekaligus sebagai langkah pengecekan terakhir, maka penulis menyarankan untuk menguninstall anti-virus yang sedang pembaca gunakan saat ini dan kemudian pembaca harus menginstall PCTools Anti-Virus, yang dapat diunduh secara gratis di http://www.pctools.com/free-antivirus/download/.Setelah diunduh, lakukan installasi PCTools Anti-Virus dan kemudian update-lah PCTools Anti-Virus tersebut. Setelah diupdate, lakukan Full Scanning terhadap perangkat yang pembaca gunakan, dan tunggu hingga proses scanning selesai. Jika dipastikan sudah tidak terdeteksi adware yontoo ini, maka pembaca boleh menguninstall PCTools Anti-Virus ini dan kembali menggunakan anti-virus yang lama :) Penulis sengaja menyarankan menggunakan anti-virus PCTools ini untuk memastikan agar adware yontoo ini memang sudah benar-benar terhapus.


Selain file dan folder, adware ini juga membuat beberapa registry hive dan entries seperti berikut ini : 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}  
HKEY_CLASSES_ROOT\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
HKEY_CLASSES_ROOT\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
HKEY_CLASSES_ROOT\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
HKEY_CLASSES_ROOT\YontooIEClient.Layers.1
HKEY_CLASSES_ROOT\YontooIEClient.Api
HKEY_CLASSES_ROOT\YontooIEClient.Api.1
HKEY_CLASSES_ROOT\YontooIEClient.Layers
HKEY_LOCAL_MACHINE\Software\Classes\YontooIEClient.Api
HKEY_LOCAL_MACHINE\Software\Classes\YontooIEClient.Api.1
HKEY_LOCAL_MACHINE\Software\Classes\YontooIEClient.Layers
HKEY_LOCAL_MACHINE\Software\Classes\YontooIEClient.Layers.1
HKEY_LOCAL_MACHINE\Software\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
HKEY_LOCAL_MACHINE\Software\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
HKEY_LOCAL_MACHINE\Software\Classes\AppID\YontooIEClient.DLL
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:Yontoo Desktop
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
HKEY_LOCAL_MACHINE\Software\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}


Nah untuk penghapusannya, agar repot jika satu per satu di delete melalui registry editor, dan untuk cara singkat menghapus registry milik adware tersebut adalah dengan menggunakan aplikasi registry cleaner seperti TuneUp Registry Cleaner. 

 



Jika registry, file dan folder milik adware yontoo telah dihapus maka pembaca hanya tinggal menghapus file temporernya saja menggunakan CCleaner. 



Selesai, semoga tutorial ini bermanfaat :)






Categories: Malware Discussions

Post a Comment

Oops!

Oops, you forgot something.

Oops!

The words you entered did not match the given text. Please try again.

Already a member? Sign In

0 Comments