Virus Deadlock sang penghancur data

Keberadaan virus di Lokal di indonesia semakin hari semakin banyak saja dan efect yang ditimbulkannya pun tidak tanggung tanggung, seperti virus yang satu ini, efect yang ditimbulkannya patut diwaspadai, karena virus yang bersifat seperti Bom Waktu ini akan memusnahkan semua file dalam komputer anda, termasuk OS anda serta data flashdisk anda. sebenarnya misi virus ini adalah membawa pesan-pesan moral yang bertujuan untuk membangun bangsa ini dan juga sebagai alat kampanye salah satu pasangan capres. Namun cara penyampaianya yang salah dan sangat merugikan orang lain, katanya si ingin membangun bangsa tapi xo malah menghancurkan orang lain.

image002

Nah saya punya beberapa Tips untuk membasmi ini virus.

Ciri utama virus
Untuk itu saya sangat menyarankan anda membackup semua data penting anda karena sang virus akan menghancurkan semua data hardisk anda pada tanggal 12 & 13 setiap bulannya. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi dan kemunginan berasal dari salah satu kota di Kalimantan.

File induk virus.
2

Nah tanda-tanda bila virus ini sudah hadir di komputer anda adalah gambar desktop anda akan muncul pesan yang dibawa oleh virus ini, namun dengan munculnya pesan tersebut anda sudah terlambat untuk menyelamatkan komputer anda karena dengan munculnya gambar tersebut maka semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows.

Pesan yang dibawa virus.
3

Jika virus ini telah aktif maka akan menjalankan beberapa file induknya.

#C:\Windows\system32\apache.exe
#C:\Windows\system32\mysql.exe

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.

Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o mysql = C:\Windows\system32\mysql.exe
*HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o apache = C:\Windows\system32\apache.exe

Selain tanda diatas kita tidak bisa memprediksi ada atau tidaknya virus ini di komputer kita, karena tidak seperti kebanyakan virus lokal lainnya, virus ini tidak memblok Fungsi windows seperti Task Manager, Folder Options dan RUN, kehadiran virus ini baru terasa ketika muncul pesan error “Windows file Protection” yang menandakan ada suatu program yang berusaha untuk menghapus file system windows.

pesan error yang timbul.
4

Teknik Penyebarannya
Sama seperti kebanyakan virus lainnya virus ini masih memanfaatkan media flashdisk serta memory lainnya sebagai media penyebarannya. Dengan memanfaatkan Fungsi Autorun ia menjalankan tiga buah file virus.
o [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
o [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
o [Flashguard.exe] merupakan file induk yang akan di jalankan

Scipt Desktop.ini
5

Script Folder.htt
6

Cara Kerja virus
virus ini akan menjalankan aksinya setiap tanggal 12 – 13 sekitar jam 08.00 – 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error berikut.

5

Teknik Pembersihan
– Gunakan Anti virus.
Menurut Vaksin.com sampai saat ini baru Anti Virus Norman yang berhasil mendeteksi keberadaan virus ini, karena menurut pengetasan dilakukan beberapa anti virus lokal maupun Luar belum dapat mendetksi virus ini.

Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR.
7

Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, JANGAN sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstal ulang OS anda ke harddisk yang mengandung data yang ingin anda recover, kemungkinan keberhasilan recovery akan sangat rendah. Jika anda tidak berpengalaman akan data recovery Sebaiknya gunakan jasa Data Recovery profesional yang berpengalaman.

Cara pembasmian secara Manual
1. Disable [System Restore] selama proses pembersihan
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti “Process Explorer” kemudian matikan proses yang mempunyai nama “mysql.exe dan apache.exe”
.

Silahkan download “Process Explorer” pada akhir postingan.

8

3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada “Software Restriction Policies”. Fitur ini hanya ada pada komputer dengan sistem operasi “Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008”, dengan cara :

* Klik menu [Start]
* Klik menu [Run]
* Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
* Setelah muncul layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies” lalu klik “Create New Policies”
* Pada menu “Software Restriction Policies”, klik “Additional Rules”

9

* Klik kanan pada “Additional Rules”, kemudian pilih “New Hash Rule…”, kemudian akan muncul layar “New Hash Rule”
* Pada kolom “File hash” klik tombol “Browse” kemudian arahkan ke direktori [C:\Windows\system32\apache.exe].

10

Cari file apache di c://windows/system32/apache
11

* Kemudian klik tombol [Open]
* Pada kolom “Security level” pilih [Disallowed]

12

* Pada kolom “description” boleh di isi atau dikosongkan saja
* Klik tombol [Apply]
* Klik tombol [Ok]

Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara :

Buat script ini di notepad :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql

5. Hapus file induk virus yang ada di direktori
1. C:\Windows\system32\apache.exe
2. C:\Windows\system32\mysql.exe

6. Langkah akhirnya Gunakan Anit virus dengan update terbaru untuk pembersihan optimal.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di Bawah postingan.

pemberihan mengunakan Norman Malware Cleaner.
13

Catatan:
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error “NTLDR Is Missing” sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.

Download Process Explorer :

Process Explorer

Download Norman Malware Cleaner (free).

Norman Malware Cleaner

Sekian tentang Virus deadlock dari saya, semoga bermanfaat yia dan selalu Backup dat-data anda.
salam.

Sumber : em>Vaksin.com

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: