ziddu

Kamis, 19 Agustus 2010

membersihkan virus adobe updater,Trojan sshnas,dll dan sshnas21dll

Apakah Anda pernah mendapatkan pesan untuk mendownload Adobe Flash Player Update ketika Anda melihat video streaming? Namun setelah itu bukannya video bisa diputar tapi justru muncul pesan error bertubi-tubi dari Antivirus kesayangan Anda?
Jika ya, Anda mungkin sedang berhadapan langsung dengan Virus trojan terkenal bernama flash-HQ-plugin. Ketika file yang menyaru sebagai updater Adobe ini sudah bersarang di PC, maka dia akan mendownload dan menginstall komponen utamanya yakni: c.exe, msa.exe dan sshnas.dll (sshnas21.dll). Jika semua file ini sudah lengkap maka virus ini akan mampu memasukkan dirinya ke dalam urutan booting sehingga ia akan otomatis berjalan layaknya program lain sejak saat Windows berjalan.

Trojan yang  juga disebut sebagai Trojan Fake Alert ini datang dari website berbahaya yang meminta pengaksesnya melakukan update software. Selain itu terkadang trojan ini disisipkan ke dalam Program Antivirus dan antispyware gratis yang banyak tersedia online. Setelah menyerang, Virus ini kemudian mampu mengambilalih berbagai fungsi  Windows seperti:
  • memunculkan windows popup
  • peringatan keamanan
  • membajak Internet Eksplorer
  • menonaktifkan Windows Task Manager
  • bahkan, menonaktifkan Registry Editor.
TITIK SERANGAN
Trojan yang kita bahas di sini secara otomoatis akan membuat file dan folder berikut. File ini yang seringkali kemudian dideteksi oleh Antivirus tiap kali trojan menjalankan aksinya.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\msa.exe
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
%UserProfile%\Local Settings\temp\a.exe
%UserProfile%\Local Settings\temp\b.exe
%UserProfile%\Local Settings\temp\c.exe
C:\WINDOWS\system32\sshnas.dll
Trojan ini juga membuat perubahan dalam registry sebagai berikut:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS
HKEY_CURRENT_USER\SOFTWARE\XML
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sshnas
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sshnas
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\videohost
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sshnas
Jika Anda mencoba melacak dengan Hijackthis, salah satu program detektor spyware yang ada di Hiren’s Boot CD, Anda akan menemukan laporan yang kurang lebih seperti ini:
O4 – HKCU\..\Run: [Videohost] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c.exe
O4 – HKCU\..\Run: [SSHNAS] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork
O4 – HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas.dll,AddConsoleAliasAW
O4 – HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AllocConsoleA
PEMBERSIHAN
Jika komputer Anda terinfeksi, untuk membersihkan secara tuntas trojan ini Anda perlu mengikuti tiap tahap di bawah ini. Yakni menghapus trojan sshnas.dll (sshnas21.dll), kemudian menghapus tuntas program dan berbagai komponen FakeAlert lainnya sebagai berikut:
Langkah Pertama:
1. Download OTM by Oldtimer dan ekstrak di folder manapun di PC Anda. Selanjutnya ekstrak sehingga Anda mendapatkan suatu file OTM.exe.
2. Jalankan OTM.exe, Jika muncul Security Warning, abaikan saja dan klik tombol Run.
Copy dan paste baris perintah berikut ini ke dalam jendela “Paste Instructions for Items to be Moved” (di bawah panel kuning):
:services
SSHNAS
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Videohost”=-
“SSHNAS”=-
“LosAlamos”=-
:files
%windir%\msa.exe
%windir%\system32\sshnas.dll
%windir%\system32\sshnas21.dll
%windir%\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
:Commands
[emptytemp]
[Reboot]
Keterangan:
Karena keterbatasan Tema Wordpress, Anda mungkin perlu mengubah tanda (“) kutip dalam baris perintah di atas. Gunakan tanda kutip biasa, di samping tombol [Enter].
3. Klik tombol Moveit! Tunggu beberapa saat hingga program ini selesai bekerja. Setelah itu OTM akan menampilkan sebuah laporan dan akan meminta Anda untuk melakukan Reboot, Pilih Yes.
Langkah Kedua
  1. Download MalwareBytes Anti-malware di sini. Ekstrak ke folder yang Anda inginkan sehingga Anda dapatkan sebuah file Installer.exe. Jangan lupa tutup semua program yang sedang berjalan di PC Anda.
  2. Dobel klik file mbam-setup.exe untuk memulai langkah instalasi program MalwareBytes Anti-malware ke PC Anda. Anda tidak perlu melakukan perubahan apapun selama proses Instalasi. Anda tinggal klik Next hingga langkah terakhir. Sebelum meng-klik Finish, pastikan Anda memilih checkboks  “Update Malwarebytes’ Anti-Malware” dan “Launch Malwarebytes’ Anti-Malware”. Akhiri instalasi dengan meng-klik Finish.
  3. Sekarang program MalwareBytes Anti-malware akan berjalan secara otomatis. Anda mungkin akan mendapatkan pesan untuk segera mengupdate database anti-malware. Tapi tenang saja, begitu update di internet tersedia dan Anda terkoneksi langsung dengan internet, program ini secara otomatis akan melakukan download update database.
  4. Setelah proses update selesai, Anda bisa memilih OK dan menuju ke Menu utama yang tampak seperti berikut ini:
  5. Pilih “Perform quick scan” dan klik tombol Scan untuk memulai proses scanning. Tunggu beberapa saat hingga proses selesai.
  6. Anda akan melihat pesan ketik Anti-Malware selesai menjalankan tugasnya. Klik tombol OK, dan tombol Show Results. Anda akan melihat tampilan laporan scanning seperti ini.
  7. Pilih semua checkbox yang ada dalam daftar dan klik tombol “Remove Selected”. Anti-Malware akan menghapus semua registry dan file yang terkait dengan Trojan FakeAlert dan menambahkannya kedalam folder karantina. Setelah selesai, Anda bisa melihat daftar file yang dieksekusi dalam sebuah file log.
  8. Setelah semua selesai, Anda akan diminta untuk melakukan Restart.
Selain cara yang sudah diulas di sini, sebagai alternatif, Anda juga bisa mencoba menggunakan cara lain menghalau Spyware Dengan SuperAntiSpyware Hiren’s 10 yang sudah saya tulis sebelumnya. Jangan lupa simak juga Ulah Serangan Spyware.
LINK DOWNLOAD
Berikut ini link download software yang diperlukan dalam artikel ini:
[OTM by Oldtimer] password: guntingbatukertas.com
[Download MalwareBytes Anti-malware]
Tulisan ini dimuat di Guntingbatukertas.com dari situs ini dan berbagai sumber lainnya.
Semoga berguna.

Tidak ada komentar: