Kemaren aq kedatangan sebuah notebook yang bener ² aneh. Aneh yang aq maksudkan disini adalah setiap aq buka program (apapun itu), beberapa detik kemudian pasti langsung "dimatikan" programnya. Secara insting, aq coba untuk start di safe mode dunks, tapi ternyata masih gitu juga. Trus coba lagi start di directory service restore mode, ternyata hasilnya ngga berbeda dengan yang di safe mode. Pusing deh.
Ciri ² yang sempat aq kenali di notebook ini menggunakan Process Explorer adalah :
- ada process yang bernama debug_32.exe
- ada juga process yang yang bernama compmgmt.exe
- Task manager didisable
- Run hilang
- Process Explorer hanya bisa dijalankan cuma beberapa detik saja, selanjutnya langsung mati sendiri
Dengan bantuan google, akhirnya aq temuin klo virusnya itu namanya W32.Killaut.A. Dan dari web nya symantec akhirnya aq bisa tau file ² yang berhubungan dengan worm itu. File ² itu adalah :
- %UserProfile%\My Documents\[CURRENT USER ACCOUNT].exe
- %System%\debug_32.exe
- %System%\MsMpEng.exe
- %Windir%\Tasks\At1.job
- %Windir%\Tasks\At2.job
- %Windir%\Tasks\dmadmin_1.exe
- %Windir%\compmgmt.exe
- %drive%\New_Folder.exe
Akhirnya aq mengakrabi dos lagi setelah sekian lama aq tidak pernah mengunjunginya. Aq cari file ² diatas dan dengan mantab aq hapus semua file ² itu. Ciri ² yang umum dari file ² diatas adalah atributnya Hidden, Read Only, System. Klo lo ngga bisa delete file ntu, lo harus ubah dulu atribut Read Only nya (attrib -R namafile).
Setelah itu aq coba untuk start di normal mode. Ternyata worm nya sudah ngga aktif lagi. Wah, ternyata pendeletanku berhasil juga mengenyahkan wormnya.
Yang tertinggal sekarang adalah bagaimana mengembalikan nilai-nilai register yang diubah oleh worm itu. Pilihanku jatuh ke Smadav 2009 rev.3 yang manstab itu. Thx yah developer Smadav. Setelah proses deep scan smadav nya selesai, dan aq coba untuk restart lagi, guess what, the notebook comes to live again.
And that's the other side story of mine
agus2lo
0 komentar:
Post a Comment