.: Dee Personal Blog :.

Subtitle

Blog

Cara menghapus W32/SuspPack.AA.gen!Eldorado

Posted by Root on September 11, 2011 at 10:45 AM

Mungkin jika para pembaca akhir-akhir ini suka berfacebook ria, dan menemukan ada satu atau dua teman/rekan (yang ada di friendlist) mengirimkan sebuah link seperti ini melalui chat :

 

0|omfg lol ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|omg lol ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|haha lol ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|rofl lol ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|omfg haha ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|omg haha ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|haha haha ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|rofl haha ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|omfg ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|omg ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|haha ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

0|rofl ** http://img41.nimageshack.com/img41/i.php?#*#*#-Picture##.JPG

 

Sudah dapat dipastikan jika Windows yang rekan pembaca gunakan tersebut terserang W32/SuspPack.AA.gen!Eldorado.

 

Malware ini juga dikenal dengan :

TrojanSpy.OnLineGames.hip Oleh AntiVirus JiangMin

Trojan/Clicker.Costrat.kh Oleh AntiVirus TheHacker

Sumber : http://www.virustotal.com/file-scan/report.html?id=2db23c5cf8fcf18e67b1ace141daf584134b30b148cc96d1a830970fe866e1cd-1315275150

 

Malware yang diduga dibuat dengan menggunakan Visual C++ mampu mengirimkan link melalui layanan chatting dari facebook.

Tak hanya itu saja, Malware ini juga mendompleng pada svchost.exe dan bekerja sebagai rootkit, sehingga akan sulit untuk diterminate.

 

Langkah awal yang harus pembaca lakukan adalah :

1.Matikan System Restore.

2.Disconnect dari jaringan apapun.

3.Lakukan pembersihan menggunakan CCleaner (http://www.piriform.com/ccleaner/update?v=3.03.1366&l=1033).

Centang semua pada bagian Internet Explorer, kecuali bagian Saved Passwords.

Centang semua pada bagian Windows Explorer.

Centang semua pada bagian System, kecuali bagian Desktop ShortCuts dan Start Menu ShortCuts.

 

Langkah kedua yang harus pembaca lakukan adalah :

1.Mengecek dan menghapus keberadaan file : %TEMPDIR%\Srv%karakter acak%.tmp menggunakan WinRAR!

Kita bisa mengeksplorasi isi Harddisk kita menggunakan WinRAR layaknya Windows Explorer, tinggal drop down ajah Path yang mau di tuju.

Kenapa saya menganjurkan menggunakan WinRAR? Karena WinRAR dapat mendeteksi File-file yang terHidden!

Jika tidak bisa dihapus, Hapus lah lewat Safe Mode atau menggunakan Software UnLocker (http://download.cnet.com/Unlocker/3000-2248_4-10493998.html)!

Pada Windows XP yang saya pakai, %TEMPDIR% nya adalah C:\Documents and Settings\<Nama User Name>\Local Settings\Temp.

Untuk Windows versi lain, silahkan buka command prompt dan ketikkan : %temp% dan tekan enter untuk mengetahui lokasi Temp.

Masih dengan WinRAR :

Mengecek dan menghapus keberadaan file : C:\Windows\Fonts\uninstall_.exe.

Mengecek dan menghapus keberadaan file : C:\Windows\Fonts\unwise_.exe.

Mengecek dan menghapus keberadaan file : C:\Windows\System32\msxml71.dll

Mengecek dan menghapus keberadaan file : %TEMPDIR%\msxml71.dll

Mengecek dan menghapus keberadaan file : %TEMPDIR%\msxml71a.dll

Mengecek dan menghapus keberadaan file : C:\Windows\temp\msxml71.dll

Mengecek dan menghapus keberadaan file : C:\WINDOWS\Help\svchost.exe

Mengecek dan menghapus keberadaan file : C:\WINDOWS\system32\wmpknc32.exe

Mengecek dan menghapus keberadaan file : C:\WINDOWS\system32\csrcs.exe

Jika tidak bisa dihapus, Hapus lah lewat Safe Mode atau menggunakan Software UnLocker!

 

Jika terdapat atau muncul Message Box

There has been an error starting this virtual appliance. Error code <letak file virus>, 0x00051: 5

Seperti ini :

Segera lah hapus lewat Safe Mode atau menggunakan Software UnLocker!

 

2.Buka Registry Editor (regedit.exe) dari Run.

Masuk ke : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv%karakter acak%

Hapus Registry Keys : Srv%karakter acak%, klik kanan Delete!

 

Masuk ke : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv%karakter acak%\parameters

Hapus Registry Keys : Srv%karakter acak%, klik kanan Delete!

 

Masuk ke : HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Srv%karakter acak%

Hapus Registry Keys : Srv%karakter acak%, klik kanan Delete!

 

Langkah pembersihan :

Download dan burn ke CD Dr.Web Cure It Live CD : http://www.freedrweb.com/livecd/

Proses download dan burn harus dilakukan di PC/Notebook yang bersih dari Virus/Worm/Trojan/Spyware.

Setelah itu lakukan booting via CD yang sudah berisi Dr.Web Cure It Live CD, dari sini kita bisa lakukan pembersihan terhadap Malware W32/SuspPack.AA.gen!Eldorado (http://www.softpedia.com/get/Antivirus/Dr-Web-LiveCD.shtml).

Setelah selesai di Scanning, boot kembali ke Windows XP.

Download Dr.Web Cure It : http://www.freedrweb.com/cureit/

Proses download harus dilakukan di PC/Notebook yang bersih dari Virus/Worm/Trojan/Spyware.

Jalankan Dr.Web Cure It dan lakukan full scanning/complete scanning hingga selesai.

 

Langkah terakhir yang harus pembaca lakukan adalah melakukan Repair Windows, bukan Re-Install Windows ataupun Fresh/Clean Install. Ini dimaksudkan untuk mereplace file yang terinjeksi oleh Malware ini (svchost.exe). Setelah itu aktifkan kembali koneksi Internet pembaca dan update Anti-Virusnya. Bila masih belum yakin aman, silahkan pembaca lakukan full scanning/complete scanning menggunakan Anti-Virus dengan database yang terupdate.

 

Tips dari saya!

1.Jika ada yang mengirimkan link apapun melalui Chat/Message/Wall/Comment/Events di Facebook, jangan di klik. Kecuali karena memang pembaca yang meminta dikirimkan sebuah link dari rekan pembaca.

2.Beritahu rekan pembaca jika ada yang terinfeksi Malware ini, suruh dia untuk register ke forum ini dan membaca thread ini.

3.Pembaca juga jangan ikut menyebarkan link yang mencurigakan, jika pembaca ingin memperingati rekan-rekan cukup dengan ajak mereka untuk register ke forum ini dan membaca thread ini.

4.Jangan lupa untuk selalu melogout facebook para pembaca jika sudah selesai berfacebook ria.

5.Gunakan https saat berfacebook ria.

6.Jika para pembaca sudah menjadi korban Malware ini. Gantilah password facebook para pembaca, dan aktifkan Device Recognition.

 

 

Categories: Malware Discussions, Tutorials, Tips & Tricks

Post a Comment

Oops!

Oops, you forgot something.

Oops!

The words you entered did not match the given text. Please try again.

Already a member? Sign In

0 Comments